Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
SQL Server 2016 (13.x) Serviços de Relatórios e versões posteriores Power BI Report Server
O Reporting Services é implementado como um único serviço que contém um serviço Web Servidor de Relatórios, um portal Web e um aplicativo de processamento em segundo plano usado para processamento agendado de relatórios e entrega de assinaturas. Este artigo explica como a conta de serviço é configurada inicialmente e como modificar a conta ou senha usando a ferramenta Configuração do Reporting Services.
Configuração inicial
A conta de serviço do Servidor de Relatório é definida durante a Instalação. Você pode executar o serviço em uma conta de usuário de domínio ou em uma conta interna, como Conta de Serviço Virtual. Não há uma conta padrão; qualquer conta especificada na página Contas de Serviço do Assistente de Instalação se tornará a conta inicial do serviço Servidor de Relatório.
Importante
Embora o serviço Web Servidor de Relatório e o portal Web sejam aplicativos ASP.NET separados, eles são executados em uma única arquitetura de serviço dentro da mesma identidade de processo do Servidor de Relatório.
Observação
Não há suporte para contas de serviço internas do Windows (Serviço Local ou Serviço de Rede) como contas de serviço do servidor de relatório em um computador que seja um controlador de domínio.
Alterar a conta de serviço
Para exibir e reconfigurar as informações da conta de serviço, sempre use o Gerenciador de Configuração do Reporting Services. As informações de identidade do serviço são armazenadas internamente em vários locais. Quando você usa a ferramenta, todas as referências são atualizadas de acordo sempre que você altera a conta ou senha. O Gerenciador de Configuração do Reporting Services executa as seguintes etapas adicionais para garantir que o servidor de relatório permaneça disponível:
Adiciona automaticamente a nova conta ao grupo de servidores de relatório criado no computador local. Esse grupo é especificado nas ACLs (listas de controle de acesso) que protegem os arquivos do Reporting Services.
Atualiza automaticamente as permissões de entrada na instância do Mecanismo de Banco de Dados do SQL Server usada para hospedar o banco de dados do servidor de relatório. A nova conta é adicionada ao RSExecRole.
O início de sessão na base de dados da conta antiga não é removido automaticamente. Certifique-se de remover as contas que não estão mais em uso. Para obter mais informações, consulte Administrar um banco de dados do servidor de relatório (modo nativo do SSRS).
A concessão de permissões de banco de dados para uma nova conta de serviço só ocorre se você configurou a conexão de banco de dados do servidor de relatório para usar a conta de serviço em primeiro lugar. Se você configurou a conexão do banco de dados do servidor de relatório para usar uma conta de usuário de domínio ou uma entrada de banco de dados do SQL Server, a atualização da conta de serviço não afetará as informações de conexão.
Atualiza automaticamente a chave de criptografia para incluir as informações de perfil da nova conta.
Observação
Se o servidor de relatório fizer parte da implantação em expansão, somente o servidor de relatório que você está atualizando será afetado. As chaves de criptografia para outros servidores de relatório na implantação não são afetadas pela alteração da conta de serviço.
Configurar a conta de serviço do servidor de relatório
Inicie o Gerenciador de Configuração do Reporting Services e conecte-se ao servidor de relatório.
Na página Conta de Serviço, selecione a opção que descreve o tipo de conta que você deseja usar.
Se você selecionou uma conta de usuário do Windows, especifique a nova conta e senha. A conta não pode ter mais de 20 caracteres e não pode conter caracteres
" / \ [ ] : ; | = , + * ? < > 'especiais por regras de nomenclatura de conta de usuário do Windows.Se você implantar o servidor de relatório em uma rede que ofereça suporte à autenticação Kerberos, deverá registrar o SPN (Nome da Entidade de Serviço) do servidor de relatório com a conta de usuário de domínio especificada. Para obter mais informações, consulte Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório.
Selecione Aplicar.
Quando solicitado a fazer backup da chave simétrica, insira um nome de arquivo e um local para o backup de chave simétrica. Introduza uma palavra-passe para bloquear e desbloquear o ficheiro e, em seguida, selecione OK.
Se o servidor de relatório usar a conta de serviço para se conectar ao banco de dados do servidor de relatório, as informações de conexão serão atualizadas para usar a nova conta ou senha. A atualização das informações de conexão requer que você se conecte ao banco de dados. Se a caixa de diálogo Conexão de Banco de Dados do SQL Server for exibida, insira as credenciais que têm permissão para se conectar ao banco de dados e selecione OK.
Quando lhe for pedido para restaurar a chave simétrica, introduza a palavra-passe que especificou no passo 5 e, em seguida, selecione OK.
Para verificar todas as tarefas concluídas com êxito, revise as mensagens de status no painel Resultados.
Escolher uma conta
Para obter melhores resultados, especifique uma conta que tenha permissões de conexão de rede, com acesso a controladores de domínio de rede e servidores ou gateways SMTP corporativos. A tabela a seguir resume as contas e fornece recomendações sobre como usá-las.
Observação
Visão geral das contas de serviço gerenciado de grupo não são suportadas como uma conta de serviço do servidor de relatório.
| Conta | Explicação |
|---|---|
| Contas de usuário de domínio | Se você tiver uma conta de usuário de domínio do Windows que tenha as permissões mínimas necessárias para operações do servidor de relatório, deverá usá-la. Você deve usar uma conta de usuário de domínio porque ela isola o serviço Servidor de Relatório de outros aplicativos. Se você executar vários aplicativos em uma conta compartilhada, como o Serviço de Rede, aumentará o risco de um usuário mal-intencionado assumir o controle do servidor de relatório. Uma violação de segurança para qualquer aplicativo pode facilmente se estender a todos os aplicativos executados sob a mesma conta. Se utilizar uma conta de utilizador de domínio, terá de alterar a palavra-passe periodicamente se a sua organização aplicar uma política de expiração de palavra-passe. Também pode ser necessário registrar o serviço com a conta de usuário. Para obter mais informações, consulte Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório. Evite contas de usuário locais do Windows. As contas locais normalmente não têm permissão suficiente para acessar recursos em outros computadores. Para obter mais informações sobre como as contas locais limitam a funcionalidade do servidor de relatório, consulte Considerações sobre o uso de contas locais. |
| Conta de Serviço Virtual | A Conta de Serviço Virtual representa o serviço do Windows. É uma conta interna de privilégios mínimos que tem permissões de entrada na rede. Você deve usar essa conta se não tiver uma conta de usuário de domínio disponível ou se quiser evitar interrupções de serviço que possam ocorrer como resultado de políticas de expiração de senha. |
| Serviço de Rede |
O Serviço de Rede é uma conta interna de privilégios mínimos que tem permissões de entrada na rede. Se você selecionar Serviço de Rede, tente minimizar o número de outros serviços executados na mesma conta. Uma violação de segurança para qualquer aplicativo compromete a segurança de todos os outros aplicativos executados na mesma conta. |
| Serviço Local | O Serviço Local é uma conta interna que é como uma conta de usuário local autenticada do Windows. Os serviços executados como a conta de Serviço Local acessam recursos de rede como uma sessão nula sem credenciais. Essa conta não é apropriada para cenários de implantação de intranet em que o servidor de relatório deve se conectar a um banco de dados de servidor de relatório remoto ou a um controlador de domínio de rede para autenticar um usuário antes de abrir um relatório ou processar uma assinatura. |
| Sistema Local | O Sistema Local é uma conta altamente privilegiada que não é necessária para executar um servidor de relatório. Evite essa conta para instalações do servidor de relatório. Em vez disso, escolha uma conta de domínio ou Serviço de Rede . |
Considerações para contas locais
A principal consideração para contas locais é se o servidor de relatório requer acesso a servidores de banco de dados remotos, servidores de email e controladores de domínio. Se você configurar o servidor de relatório para ser executado como uma conta de usuário local do Windows, Serviço Local ou Sistema Local, apresentará considerações que devem ser levadas em conta na forma como você define outras definições de configuração. Na criação e entrega de assinaturas, você também deve considerar o seguinte:
A execução do serviço em uma conta local limita suas opções posteriormente se você configurar uma conexão com um banco de dados do servidor de relatório remoto. Especificamente, se você usar um banco de dados de servidor de relatório remoto, precisará configurar a conexão para usar uma conta de usuário de domínio ou um usuário de banco de dados do SQL Server que tenha permissão para entrar na instância remota do SQL Server.
A execução do serviço em uma conta local introduz novos requisitos na criação de assinaturas. O servidor de relatório armazena informações sobre o usuário que cria a assinatura. Se o usuário criar a assinatura enquanto estiver conectado em uma conta de domínio, o serviço Servidor de Relatório tentará se conectar a um controlador de domínio para autenticar o usuário quando a assinatura for processada. Se o serviço for executado em uma conta local, a solicitação de autenticação falhará quando o servidor de relatório tentar enviar a solicitação para um controlador de domínio remoto. Para contornar essa limitação, você pode usar uma extensão de autenticação baseada em formulários personalizada ou fazer com que todos os usuários se conectem a um servidor de relatório em uma conta de usuário local.
A execução do serviço em uma conta local introduz novos requisitos para a entrega da assinatura. Algumas extensões de entrega têm informações de conta de usuário na definição de assinatura. Se você enviar relatórios para endereços de email baseados em contas de usuário de domínio e executar o serviço Servidor de Relatório em uma conta local, ele não poderá acessar um controlador de domínio remoto para resolver a conta de email de destino.
Não há suporte para contas de serviço internas do Windows (Serviço Local ou Serviço de Rede) como contas de serviço do servidor de relatório em um computador que seja um controlador de domínio.
Para obter ajuda para decidir sobre a melhor abordagem para sua implantação, consulte Configurar contas de serviço e permissões do Windows.
Atualizar uma palavra-passe expirada
Se o serviço Servidor de Relatório for executado em uma conta de domínio e a senha expirar antes que você possa atualizá-la no Gerenciador de Configuração do Servidor de Relatório, o serviço não será iniciado até que você especifique uma nova senha.
Se a senha da conta de serviço para o Mecanismo de Banco de Dados expirar, o erro rsReportServerDatabaseUnavailable ocorrerá quando você tentar se conectar ao servidor de relatório. Redefinir a senha resolve esse erro.
Solucionar erros de atualização de identidade de serviço
A alteração da identidade do serviço inicia uma série de eventos que incluem reiniciar o serviço, atualizar a chave de criptografia protegida por senha, atualizar as reservas de URL e atualizar as informações de conexão do banco de dados do servidor de relatório se você usar a conta de serviço para se conectar ao banco de dados do servidor de relatório. Você pode monitorar o status desses eventos exibindo as notificações no painel Resultados na parte inferior da página. Se ocorrerem erros durante esse processo, você pode tentar resolvê-los usando as seguintes técnicas:
Se a chave simétrica não puder ser restaurada, tente restaurá-la manualmente usando Restaurar na página Chaves de Criptografia. Se isso não funcionar, considere excluir o conteúdo criptografado. Você precisa recriar informações de conexão e assinaturas da fonte de dados, mas o restante do conteúdo ainda está disponível. Para obter mais informações, consulte Fazer backup e restaurar chaves de criptografia do SQL Server Reporting Services (SSRS).
Se o serviço não iniciar, reinicie-o manualmente usando o aplicativo de console Serviços nas Ferramentas do Administrador.
Erros de reserva de URL podem ocorrer quando você atualiza a conta de serviço. Cada reserva de URL inclui um descritor de segurança que inclui uma Lista de Controle de Acesso Discricionário (DACL) que concede permissão à conta de serviço para aceitar solicitações na URL. Quando você atualiza a conta, a URL deve ser recriada para atualizar a DACL com as novas informações da conta. Se a reserva de URL não puder ser recriada e você souber que a conta é válida, tente reiniciar o computador. Se o erro persistir, tente usar uma conta diferente.