Configurar a conta de serviço do Servidor de Relatório (Gerenciador de Configurações do Servidor de Relatório)
Aplica-se a:
SQL Server 2016 (13.x) Reporting Services e posterior Power BI Report Server
Reporting Services é implementado com um único serviço que contém um serviço Web do Servidor de Relatório, um portal da Webe um aplicativo de processamento em segundo plano usado para processamento agendado de relatórios e entrega de assinaturas. Este tópico explica como uma conta de serviço é configurada inicialmente e como modificar a conta ou a senha usando a ferramenta Configuração do Reporting Services.
Configuração inicial
A conta de serviço do Servidor de Relatório é definida durante a Instalação. Você pode executar o serviço em uma conta de usuário do domínio ou uma conta interna, como uma Conta de Serviço Virtual. Não há nenhuma conta padrão. Qualquer conta especificada na página Contas de Serviço do Assistente de Instalação torna-se a conta inicial do serviço do Servidor de Relatório.
Importante
Embora o serviço Web do Servidor de Relatório e o portal da Web sejam aplicativos do ASP.NET separados, eles são executados em uma única arquitetura de serviço na mesma identidade de processo do Servidor de Relatório.
Observação
Não há suporte para contas de serviço internas do Windows (Serviço Local ou Serviço de Rede) como contas de serviço do servidor de relatório em um computador que seja controlador de domínio.
Alterando a conta de serviço
Para exibir e reconfigurar as informações da conta de serviço, sempre use o Reporting Services Configuration Manager. As informações sobre identidade de serviço são armazenadas internamente em vários locais. O uso da ferramenta garante que todas as referências sejam adequadamente atualizadas sempre que você alterar a conta ou a senha. O Reporting Services Configuration Manager executa as seguintes etapas adicionais para garantir que o servidor de relatório permaneça disponível:
Adiciona automaticamente a nova conta para o grupo de servidor de relatório criado no computador local. Esse grupo é especificado nas ACLs (listas de controle de acesso) que protegem os arquivos do Reporting Services .
Atualiza automaticamente as permissões de logon na instância do SQL Server Mecanismo de Banco de Dados usada para hospedar o banco de dados do servidor de relatório. A nova conta é adicionada à RSExecRole.
O log do banco de dados da conta antiga não é removido automaticamente. Lembre-se de remover contas que não estejam mais sendo usadas. Para obter mais informações, confira Administrar um banco de dados de servidor de relatório (modo nativo do SSRS).
A concessão de permissões do banco de dados para a nova conta de serviço ocorrerá apenas se você tiver configurado a conexão de banco de dados do servidor de relatório para usar a conta de serviço. Se tiver configurado a conexão do banco de dados do servidor de relatório para usar uma conta de usuário do domínio ou um logon do banco de dados do SQL Server , as informações sobre a conexão não terão sido afetadas pela atualização da conta de serviço.
Atualiza automaticamente a chave de criptografia para incluir as informações de perfil da conta nova.
Observação
Se o servidor de relatório fizer parte da implantação escalável, somente o servidor de relatório que você está atualizando será afetado. As chaves de criptografia para outros servidores de relatório na implantação não são afetadas pela alteração da conta de serviço.
Para configurar a conta de serviço do Servidor de Relatório
Inicie o gerenciador de Configuração do Reporting Services e conecte-se ao servidor de relatório.
Na página Conta de Serviço, selecione a opção que descreve o tipo de conta que você deseja usar.
Se você tiver selecionado uma conta de usuário do Windows, especifique a nova conta e a senha. A conta não pode ter mais de 20 caracteres e não pode conter os caracteres especiais " / \ [ ] : ; | = , + * ? <> ' de acordo com as regra de nomenclatura da conta de usuário do Windows.
Se o servidor de relatório for implantado em uma rede compatível com a autenticação Kerberos, você precisará registrar o SPN (nome da entidade de serviço) do servidor de relatório com a conta de usuário de domínio que você tiver especificado. Para obter mais informações, confira Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório.
Clique em Aplicar.
Quando for solicitado que você faça backup da chave simétrica, digite um nome e um local de arquivo para o backup da chave simétrica, digite uma senha para bloquear e desbloquear o arquivo e clique em OK.
Se o servidor de relatório usar a conta de serviço para conectar-se ao banco de dados do servidor de relatório, as informações de conexão serão atualizadas para usar a nova conta ou senha. A atualização das informações da conexão exige que você se conecte ao banco de dados. Se a caixa de diálogo Conexão de Banco de Dados do SQL Server for exibida, insira as credenciais que têm permissão para se conectar ao banco de dados e, em seguida, clique em OK.
Quando for avisado para restaurar a chave simétrica, digite a senha que você especificou na etapa 5 e clique em OK.
Revise as mensagens de status no painel Resultados para verificar se todas as tarefas foram concluídas com êxito.
Escolhendo uma conta
Para obter melhores resultados, especifique uma conta que tenha permissões de conexão de rede, com acesso aos controladores de domínio da rede e com gateways ou servidores SMTP corporativos. A tabela a seguir resume as contas e fornece recomendações para usá-las.
Observação
Não há suporte para gMSAs (Contas de Serviço Gerenciado de Grupo) como uma conta de serviço do servidor de relatório.
| Conta | Explicação |
|---|---|
| Contas de usuário de domínio | Se você tiver uma conta de usuário de domínio do Windows que possua as permissões mínimas necessárias para operações do servidor de relatório, deverá usá-la. É recomendável uma conta de usuário de domínio porque ela isola o serviço Servidor de Relatório dos outros aplicativos. A execução de vários aplicativos em uma conta compartilhada, como Serviço de Rede, aumenta o risco de um usuário mal-intencionado assumir o controle do servidor de relatório, pois a violação de segurança de um aplicativo pode se estender facilmente a todos os aplicativos executados na mesma conta. Se você usar uma conta de usuário de domínio, será necessário alterar a senha periodicamente, caso a organização imponha uma política de expiração de senha. Talvez também seja necessário registrar o serviço com a conta de usuário. Para obter mais informações, confira Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório. Evite usar uma conta de usuário local do Windows. Normalmente, as contas locais não têm permissão suficiente para acessar recursos em outros computadores. Para obter mais informações sobre como o uso de uma conta local limita as funcionalidades do servidor de relatório, veja Considerações sobre o uso de contas locais neste tópico. |
| Conta de Serviço Virtual | Conta de Serviço Virtual representa o serviço Windows. É uma conta interna com menos privilégios que tem permissões de logon na rede. Essa conta é recomendada caso você não tenha uma conta de usuário de domínio disponível ou se quiser evitar interrupções de serviço que possam ocorrer em consequência de políticas de expiração de senha. |
| Serviço de Rede | Serviço de rede é uma conta interna com menos privilégios que tem a permissões de logon na rede. Se você selecionar Serviço de Rede, tente minimizar o número de serviços que são executados na mesma conta. Uma violação de segurança em qualquer aplicativo compromete a segurança de todos os outros aplicativos executados na mesma conta. |
| Serviço Local | Serviço Local é uma conta interna semelhante a uma conta de usuário autenticada local do Windows. Os serviços executados como a conta Serviço Local acessam os recursos de rede como uma sessão nula sem credenciais. Essa conta não é apropriada para cenários de implantação de intranet em que o servidor de relatório deve se conectar a um banco de dados do servidor de relatório remoto ou a um controlador de domínio de rede para autenticar um usuário antes de abrir um relatório ou processar uma assinatura. |
| Sistema Local | Sistema Local é uma conta altamente privilegiada que não é exigida para executar um servidor de relatório. Evite usar essa conta para instalações do servidor de relatório. Escolha uma conta de domínio ou um Serviço de Rede . |
Considerações sobre o uso de contas locais
A primeira questão a ser considerada ao usar contas locais é se o servidor de relatório exige acesso aos servidores de banco de dados remotos, aos servidores de email e aos controladores de domínio. Se você configurar o servidor de relatório para ser executado como uma conta de usuário local do Windows, um Serviço Local ou um Sistema Local, surgirão questões que deverão ser consideradas com relação à especificação das demais configurações e à criação e à entrega de assinaturas.
A execução do serviço em uma conta local limitará suas opções posteriormente se você configurar uma conexão com um banco de dados do servidor de relatório remoto. Especificamente, se você estiver usando um banco de dados do servidor de relatório remoto, será necessário configurar a conexão para que ela use uma conta de usuário de domínio ou um usuário do banco de dados do SQL Server que tenha permissão para entrar na instância remota do SQL Server.
A execução do serviço em uma conta local criará requisitos para a criação de assinaturas. O servidor de relatório armazena informações sobre o usuário que cria a assinatura. Se o usuário criar uma assinatura enquanto estiver conectado em uma conta de domínio, o serviço do Servidor de Relatório tentará se conectar a um controlador de domínio para autenticar o usuário durante o processamento da assinatura. Se o serviço for executado em uma conta local, a solicitação de autenticação falhará assim que o servidor de relatório tentar enviar a solicitação a um controlador de domínio remoto. Para solucionar temporariamente essa limitação, o usuário pode usar uma extensão personalizada de autenticação com base em formulário ou conectar todos os usuários a um servidor de relatório em uma conta de usuário local.
A execução do serviço em uma conta local criará novos requisitos para a entrega de assinaturas. Algumas extensões de entrega têm informações da conta de usuário na definição da assinatura. Se você estiver enviando relatórios para endereços de email com base em contas de usuário de domínio e executar o serviço do Servidor de Relatório em uma conta local, o serviço não poderá acessar um controlador de domínio remoto para resolver a conta de email de destino.
Não há suporte para contas de serviço internas do Windows (Serviço Local ou Serviço de Rede) como contas de serviço do servidor de relatório em um computador que seja controlador de domínio.
Os links e as diretrizes a seguir irão ajudá-lo a decidir qual a melhor opção para sua implantação.
The Services and Service Accounts Security Planning Guide (O guia de planejamento de segurança de serviços e de contas de serviço).
Atualizando uma senha expirada
Se o serviço do Servidor de Relatório for executado em uma conta de domínio e a senha expirar antes de ser atualizada no Gerenciador de Configurações do Servidor de Relatório, o serviço não será iniciado até que seja especificada uma nova senha.
Se a senha da conta de serviço do Mecanismo de Banco de Dados expirar, ocorrerá o erro rsReportServerDatabaseUnavailable quando você tentar se conectar ao servidor de relatório. A redefinição da senha resolve esse erro.
Solucionando problemas de erros de atualização de identidade do serviço
A alteração da identidade do serviço inicia uma série de eventos que incluem o reinício do serviço, a atualização da chave de criptografia protegida por senha, a atualização das reservas de URL e a atualização das informações de conexão de banco de dados do servidor de relatório, caso você esteja usando a conta de serviço para se conectar ao banco de dados do servidor de relatório. Você pode monitorar o status desses eventos pela exibição das notificações no painel Resultados, na parte inferior da página. Se ocorrerem erros durante esse processo, você poderá tentar resolvê-los usando as seguintes técnicas:
Se a chave simétrica não puder ser restaurada, você poderá tentar restaurá-la manualmente usando Restaurar na página Chaves de criptografia. Se isso não funcionar, considere a exclusão do conteúdo criptografado. Você precisará recriar as informações de conexão de fonte de dados e as assinaturas, mas o restante do conteúdo ainda estará disponível. Para saber mais, confira Back Up and Restore Reporting Services Encryption Keys.
Se o serviço não for iniciado, reinicie-o manualmente usando o aplicativo de console Serviços nas Ferramentas do Administrador.
Podem ocorrer erros de reserva de URL ao atualizar a conta de serviço. Cada reserva de URL inclui um descritor de segurança que inclui uma DACL (Lista de Controle de Acesso Discricionário) que concede permissão à conta de serviço para aceitar solicitações na URL. Quando você atualizar a conta, a URL deverá ser recriada a fim de atualizar a DACL com as novas informações de conta. Se a reserva de URL não puder ser recriada e você souber que a conta é válida, tente reiniciar o computador. Se o erro persistir, tente usar uma conta diferente.
Próximas etapas
Configurar as URLs do servidor de relatório (Gerenciador de Configurações do Servidor de Relatório)Gerenciador de Configurações do Servidor de Relatório (modo nativo)
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de