Diensten, Konten und Verbindungen

In einer Reporting Services-Bereitstellung verwendete Verbindungen

Beim Planen einer Reporting Services-Bereitstellung gibt es drei Typen von Verbindungen, die Sie konfigurieren und verwalten müssen. Zunächst müssen Sie sich überlegen, wie die Benutzer eine Verbindung mit dem Berichtsserver herstellen. Dann müssen Sie planen, wie der Berichtsserver eine Verbindung mit der Berichtsserver-Datenbank herstellt. Und drittens müssen Sie wissen, wie die Berichtsautoren und Inhalts-Manager die Verbindungen mit externen Datenquellen definieren, die Daten für Berichte bereitstellen.

In der folgenden Abbildung werden die Verbindungen in einer Installation im systemeigenen Modus dargestellt. Dieses Diagramm stellt eine Einführung in die Typen von Verbindungen dar, die Sie definieren oder verwalten müssen.

Berichtsserver

Im folgenden Abschnitt werden ausführliche Informationen über die einzelnen Verbindungstypen bereitgestellt.

Der Benutzer stellt eine Verbindung mit dem Berichtsserver her:

Die Benutzer und Anwendungen stellen über HTTP-Anforderungen, die an eine URL geleitet werden, die für eine Berichtsserverinstanz reserviert und registriert ist, eine Verbindung mit einem Berichtsserver her. Sie können die URLs für SSL-Verbindungen so konfigurieren, dass die Benutzer über einen verschlüsselten Kanal auf den Berichtsserver zugreifen können.

Die Anforderung wird vom Report Server-Webdienst authentifiziert. Standardmäßig werden die Benutzer mithilfe ihrer Windows-Domänenanmeldeinformationen und der integrierten Sicherheit authentifiziert. Sie können jedoch auch einen Berichtsserver so konfigurieren, dass die Standardauthentifizierung verwendet wird. Weiterhin können Sie eine benutzerdefinierte Authentifizierungserweiterung bzw. ein HTTP-Modul erstellen und bereitstellen, um die standardmäßige Windows-Authentifizierung durch die Formularauthentifizierung oder eine Technologie für einmaliges Anmelden zu ersetzen. Im integrierten SharePoint-Modus können Sie auch den vertrauenswürdigen Modus verwenden. Wenn der Berichtsserver die benutzerdefinierte Formularauthentifizierung verwendet, stellt der Benutzer eine Verbindung mit dem Berichtsserver über eine Anmeldung her, die für diesen Authentifizierungserweiterung gültig ist. Bei Verwendung der Standardauthentifizierung, des benutzerdefinierten Authentifizierungstyps oder des vertrauenswürdigen Modus empfiehlt es sich, Secure Sockets Layer (SSL) zu verwenden.

Hinweis:  Nachdem der Benutzer authentifiziert wurde, überprüft der Berichtsserver die Berechtigungen für den Zugriff auf seinen Inhalt und seine Vorgänge. Die Berechtigungen sind in Rollenzuweisungen definiert, die beschreiben, welche Aufgaben ein Benutzer ausführen darf. Jeder Benutzer, der eine Verbindung mit dem Berichtsserver herstellt, muss über Rollenzuweisungen verfügen, die für das Konto definiert sind, das er für die Verbindung mit dem Berichtsserver verwendet.

Der Berichtsserver stellt eine Verbindung mit der Serverdatenbank her:

Berichtsserver-Datenbanken stellen den internen Speicher für den Berichtsserver bereit. Der Berichtsserver stellt eine Verbindung mit den Berichtsserver-Datenbanken her, um Inhalte, Serverstatus und Metadaten zu speichern und abzurufen. Im systemeigenen Modus werden Berichte, die auf dem Berichtsserver veröffentlicht werden, in den Berichtsserver-Datenbanken gespeichert. Im integrierten SharePoint-Modus werden Masterkopien von Berichten, Datenquellen und Modellen in SharePoint-Inhaltsdatenbanken gespeichert. Benutzer und andere Anwendungen stellen keine Verbindung mit der Berichtsserver-Datenbank her. Nur der Berichtsserver stellt eine Verbindung mit der Datenbank her.

Um die Datenbank zu erstellen und die Verbindung zu konfigurieren, können Sie entweder den Berichtsserver in der Standardkonfiguration installieren oder die Datenbankseite des Reporting Services-Konfigurationstools verwenden. Beim Konfigurieren der Berichtsserver-Datenbankverbindung erhalten Sie als Endergebnis eine Datenbankanmeldung, Berechtigungen, die dem Konto gewährt werden, und die Möglichkeit, vom Berichtsserverdienst aus eine Verbindung mit der Berichtsserver-Datenbank herzustellen.

Der Berichtsserver kann mithilfe der folgenden Kontotypen eine Verbindung mit seiner Datenbank herstellen:

  • Verwenden des Dienstkontos. Dies ist die Standardeinstellung.
  • Verwenden eines Domänenkontos.
  • Verwenden einer SQL Server-Anmeldung.

Der Berichtsserver stellt eine Verbindung mit externen Datenquellen her

Berichte enthalten oder verweisen auf Datenquellen-Verbindungsinformationen und Abfragen, die beim Ausführen des Berichts verarbeitet werden. Berichtsmodelle verweisen auch auf Datenquellen.

Damit die in einem Bericht verwendeten Daten abgerufen werden können, muss ein Berichtsserver Verbindungen zu anderen Servern herstellen, die die externen Datenquellen hosten. Beim Ausführen des Berichts oder Modells öffnet der Berichtsserver eine Verbindung mit dem Server oder Computer, stellt die Abfrage bereit, wartet auf das zurückgegebene Dataset und schließt dann die Verbindung, bevor er mit dem nächsten Verarbeitungsschritt fortfährt.

Verbindungen zu externen Datenquellen werden zunächst im Bericht definiert. Nach dem Veröffentlichen des Berichts werden sie dann unabhängig von dem Bericht verwaltet. Zur Laufzeit stellt der Berichtsserver diese Verbindungen für den Benutzer her, der den Bericht ausführt. Der Berichtsserver übergibt die Anmeldeinformationen an bestimmte Datenquellen. Der Berichtsserver kann beim Abrufen der Anmeldeinformationen für eine bestimmte Datenquellenverbindung eine der folgenden Methoden anwenden:

  • Verwenden von angenommenen Anmeldeinformationen oder delegierten Anmeldeinformationen des Benutzers, der den Bericht ausführt. Um eine Berichtsdatenquelle für die Verwendung der Windows-Authentifizierung zu konfigurieren, muss der Berichtsserver ebenfalls für die Verwendung der Standardsicherheitserweiterung von Windows konfiguriert werden. Wenn der Berichtsserver die Formularauthentifizierung oder die Standardauthentifizierung verwendet, ist ein Konfigurieren von Berichtsdatenquellen zur Verwendung von angenommenen oder delegierten Anmeldeinformationen nicht möglich.
  • Auffordern des Benutzers, die Anmeldeinformationen einzugeben.
  • Abrufen gespeicherter Anmeldeinformationen aus der Berichtsserver-Datenbank. Der Berichtsserver kann diese Anmeldeinformationen als Windows-Anmeldeinformationen behandeln und die Identität dieser annehmen, bevor eine Anforderung der Datenquelle ausgeführt wird.
  • Kein Verwenden von Anmeldeinformationen. Diese Option ist nur verfügbar, wenn Sie das Konto für das unbeaufsichtigte Ausführungskonto konfigurieren.

Die Netzwerktopologie, die Domäneneinschränkungen und der Datenquellentyp bestimmen, wie Verbindungen hergestellt werden, sowie die Authentifizierungsanbieter, die Sie verwenden können. So müssen z. B. zum Öffnen einer Datenquellenverbindung mithilfe des Kontexts der integrierten Sicherheit von Windows des Benutzers, der den Bericht anfordert, folgende Bedingungen erfüllt sein:

  • Die Datenquelle muss die integrierte Sicherheit von Windows unterstützen, und der Benutzer muss auf dem Datenbankserver über Anmelde- und Zugriffsberechtigungen verfügen.
  • Die Domänensicherheitsrichtlinien müssen die Kerberos-Netzwerkauthentifizierung unterstützen, wobei der Identitätswechsel und die Delegierung aktiviert sein müssen.
  • Die im Bericht definierten Datenquelleneigenschaften bzw. die freigegebene Datenquelle müssen auf die integrierte Sicherheit von Windows festgelegt sein.

Der Berichtsserver überprüft keine Verbindung oder Anmeldeinformationen, wenn sie erstellt werden. Um zu überprüfen, ob Verbindungseigenschaften gültig sind, müssen Sie den Bericht ausführen.

Konto für die unbeaufsichtigte Ausführung

Dieses Konto wird manchmal als unbeaufsichtigtes Berichtsverarbeitungskonto oder Ausführungskonto bezeichnet.

Beim Bereitstellen von Anmeldeinformationen für das Konto für die unbeaufsichtigte Ausführung wird dieses Konto zum Ausführen von Berichten und Abrufen von Abbildungen aus URLs in Berichtsdefinitionen verwendet.

Sie können diese Option auswählen, wenn die Datenquelle keine Anmeldeinformationen verwendet (z.B., wenn es sich bei den Daten um ein XML-Dokument handelt). Für die Verbindung mit einem Computer, der eine Datenquelle hostet, verwendet der Berichtsserver das Konto für die unbeaufsichtigte Ausführung. Sie können dieses Konto mit dem Reporting Services-Konfigurationstool konfigurieren.

Der Berichtsserver stellt eine Verbindung mit Übermittlungszielen her

Der Berichtsserver verwendet eine Übermittlungserweiterung zum Zusammenstellen der Anmeldeinformationen, die zum Herstellen von Verbindungen mit Übermittlungszielen (z.B. einer Dateifreigabe) verwendet werden. Die Übermittlungserweiterung verwendet diese Anmeldeinformationen, um eine Verbindung mit dem Übermittlungsziel herzustellen.

In einer Reporting Services-Installation verwendete Dienste

In einer Reporting Services-Installation gibt es mehrere Dienste, die wichtige Funktionen für die interaktive Verarbeitung und die Hintergrundverarbeitung durchführen.
Im folgenden Abschnitt wird erläutert, welche Dienste in einer Bereitstellung verwendet werden.

Berichtsserverdienst

Ein Berichtsserver wird als Windows-Dienst implementiert, der eine Laufzeitumgebung für den Report Server-Webdienst, den Berichts-Manager und die Hintergrundverarbeitung bietet.

Der Dienst wird während des Setups registriert und konfiguriert. Ursprünglich wird er unter einem Konto ausgeführt, das Sie während des Setups angeben. Sie können ihn jedoch ändern oder das Kennwort im Reporting Services-Konfigurationstool aktualisieren. Verwenden Sie das Reporting Services-Konfigurationstool so, dass abhängige Einstellungen für die Verwendung der neuen Kontoinformationen aktualisiert werden.

Das ausgewählte Konto muss mindestens über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk und die Allow Log on Locally-Berechtigung auf dem Berichtsserver und den Computern mit der Berichtsserver-Datenbank verfügen. Stellen Sie sicher, ein Konto mit Minimalprivilegien auszuwählen. Wenn Sie Reporting Services auf einem Computer bereitstellen, auf dem Internetinformationsdienste (IIS) ausgeführt werden, bietet es sich an, das integrierte Network Service-Konto auszuwählen. Verwenden Sie zu Überwachungszwecken ein dediziertes Konto, das nur vom Reporting Services-Dienst verwendet wird.

Das Dienstkonto kann ein Windows-Benutzerkonto oder ein integriertes Konto, z. B. Lokales System, sein. Wenn Sie ein Domänenbenutzerkonto angeben und der Berichtsserver in einem Netzwerk bereitgestellt wird, der die Kerberos-Authentifizierung unterstützt, müssen Sie den Berichtsserver-Dienstprinzipalnamen (Service Principal Name, SPN) mit dem Domänenbenutzerkonto registrieren, das Sie verwenden möchten.

Die Berechtigungen für den Zugriff auf Reporting Services-Programmdateien werden von Reporting Services festgelegt und verwaltet, wenn Sie das Setup oder das Reporting Services-Konfigurationstool zum Konfigurieren des Kontos verwenden.

SQL Server-Dienst

Die Berichtsserver-Datenbank wird in einer Instanz von SQL Server 2005 oder SQL Server 2008 Datenbankmodul ausgeführt. Der Datenbankmodul wird als MSSQLSERVER oder als eine benannte Instanz ausgeführt. Dieser Dienst muss konfiguriert sein und ausgeführt werden.

Die Berechtigung für den Zugriff auf die Berichtsserver-Datenbank wird über die RSExecRole gewährt, die mit der Berichtsserver-Datenbank erstellt wird. Diese Rolle wird in den MSDB-, Master-, reportserver- und reportservertempdb-Datenbanken erstellt.

SQL Server-Agent-Dienst

Reporting Services verwendet den SQL Server-Agent-Dienst zum Auslösen von Ereignissen für geplante Prozesse als Zeitgeber. Dieser Dienst ist für geplante Vorgänge erforderlich. Er muss konfiguriert und auf dem Datenbankserver, der die Berichtsserver-Datenbank hostet, ausgeführt werden.

Wenn der Berichtsserver mithilfe eines Domänenkontos und der Windows-Authentifizierung (im Gegensatz zu einer SQL Server-Anmeldung oder einem Dienstkonto) eine Verbindung mit SQL Server herstellt, muss der SQL Server-Agent-Dienst unter einem Domänenkonto ausgeführt werden. Wenn der Berichtsserver als Domänenbenutzer ausgeführt wird, erstellt der Berichtsserver SQL Server-Agent-Aufträge, die sich im Besitz dieses Domänenkontos befinden. Damit der SQL Server-Agent einen Task an den Prozessor für Zeitplanung und Übermittlung weiterleiten kann, muss der SQL Server-Agent über die Berechtigung zum Zugriff auf die Auftragsinformationen für die Aufträge im Besitz eines Domänenkontos verfügen. Wenn der SQL Server-Agent als lokales Benutzerkonto ausgeführt wird, verfügt der Dienst nicht über die Berechtigung zum Zugriff auf die Informationen des Domänenkontos, und das Berichtsabonnement und die Übermittlung von Berichten schlagen fehl.

SQL Server-Browserdienst

Wenn Sie mit einer benannten Remoteinstanz von Datenbankmodul zum Hosten der Berichtsserver-Datenbank arbeiten, aktivieren Sie den SQL Server-Browserdienst auf dem Remoteserver und führen ihn aus. Der SQL Server-Browser stellt dem Reporting Services-Konfigurationstool die Portnummer bereit, die von der benannten Instanz verwendet wird. Das Reporting Services-Konfigurationstool verwendet die Portnummer, um beim Erstellen oder Konfigurieren der Berichtsserver-Datenbank eine Verbindung mit Datenbankmodul herzustellen.

Windows-Verwaltungsinstrumentation

Der WMI-Dient (Windows Management Instrumentation) muss aktiviert sein und auf jedem Berichtsserver ausgeführt werden, den Sie konfigurieren. Das Reporting Services-Konfigurationstool verwendet zum Herstellen einer Verbindung zu lokalen oder Remoteberichtsservern den WMI-Anbieter des Berichtsservers. Wenn Sie einen Remoteberichtsserver konfigurieren, muss für den Computer der WMI-Remotezugriff zulässig sein.

Remoteprozeduraufruf (RPC)

Dieser Dienst ist Teil des Kernbetriebssystems und wird standardmäßig für den automatischen Start aktiviert. Reporting Services verwendet ihn zum Initialisieren des Berichtsservers. Dieser Dienst muss für Berichtsservervorgänge konfiguriert und ausgeführt werden. Darüber hinaus muss DCOM mit RPC aktiviert werden, um Remoteverwaltung mit dem Reporting Services-Konfigurationstool zuzulassen.

Administratorberechtigungen

Zur Verwaltung von Diensten, Konten und Verbindungen in einer Reporting Services-Installation muss das Konto, mit dem Sie angemeldet sind, Mitglied der lokalen Administratorengruppe auf dem Berichtsservercomputer sein. Administratorberechtigungen sind für Folgendes erforderlich:

  • Führen Sie SQL Server Setup aus.
  • Ausführen des Reporting Services-Konfigurationstools. Wenn Sie einen Berichtsserver für die Remoteverwaltung konfigurieren, können Sie das Tool als Nichtadministrator ausführen, falls Sie die Berechtigungen dazu aktivieren.
  • Führen Sie SQL Server Management Studio aus, wenn Sie kein Element der Systemadministrator-Rolle in Reporting Services sind.
  • Unter Windows Vista oder Windows Server 2008 müssen Sie Administrator sein, um den Berichtsserver für die lokale Verwaltung zu konfigurieren.
  • Auf einem Server, auf dem sich eine Instanz eines SharePoint-Produkts oder einer SharePoint-Technologie befindet, mit der Sie eine Berichts- oder Dienstinstanz integrieren, müssen Sie zum Installieren und Konfigurieren des Reporting Services-Add-Ins Administrator sein. Darüber hinaus muss der Benutzer, der das Add-In installiert, zur Administratorgruppe für die SharePoint-Websiteauflistung gehören. Wenn dies nicht der Fall ist, wird das Reporting Services-Feature nach der Installation nicht aktiviert und ein Element der Administratorgruppe für die Websiteauflistung muss das Reporting Services-Feature aktivieren, damit es verwendet werden kann.