1

Мы сами и другой администратор пытались устранить проблему с двойной аутентификацией на нашем новом сервере отчетов (где отчет работает как аутентифицированный пользователь, но не может делегировать источник данных и возвращает «Ошибка аутентификации NT Authority \ Anonymous»), и мы, похоже, зашли в тупик. Вот немного о нашей настройке.SSRS 2016 Native Double-Hop Аутентификация Windows

У нас есть SSRS 2016, установленный на одном сервере, а наш источник данных для отчетов находится на другом сервере. Мы сделали следующие шаги, чтобы попытаться включить проверку подлинности

  1. Настройка групповой политики на сервере отчетов для того, чтобы делегирование полномочий
  2. Обеспечил что SSRS и MSSQLsrv на сервере отчетов имеют правильный набор SPN для учетной записи службы работает как услуги:
    • HTTP/NetBIOS: домен 80 \ SERVICENAME
    • HTTP/FQDN.contoso.com: домен 80 \ имя_службы
    • MSSQLSvc/FQDN.contoso.com: 1433 домен \ имя_службы
  3. Включите делегирование Kerberos в учетной записи службы и убедитесь, что «Учетная запись чувствительна и не может быть делегирована». флажок не установлен
  4. коммутируемой тег для < RSWindowsNegotiate/> в RSReportServer.config файл
  5. перезапустил службу

Мы по-прежнему получаете сообщение об ошибке при попытке подключения к источникам данных на сервере отчетов и даже проблемы с подключением к веб-странице через браузер. Как ни странно, мы попытались настроить сервер ссылок на сервере отчетов, настроив безопасность для запуска под пользователем, выполняющим эту команду, и смогли успешно выполнить двойной перехват на сервере ссылок, но все же не из SSRS.

Должен ли источник данных запускаться под учетной записью службы или может выполняться под учетной записью локальной службы SQL? Должна ли учетная запись службы делегировать права на подразделение, в котором существуют серверы? Какие еще предметы я могу потерять?

ответ

3

Мы, наконец, решили проблему через 6 месяцев.

После установки SPN для учетной записи службы SSRS (вам нужно только http/NetBIOS: 80 domain \ servicename и http/FQDN.contoso.com: 80 domain \ servicename), вам нужно установить вкладку «Делегация» в службе SSRS чтобы содержать «Доверять этому пользователю делегирование любой службе» или «Доверять этому пользователю только делегирование только указанным услугам ...», выберите службу MSSQLSRV из источника данных , который вы пытаетесь запросить.

Мы ошибочно полагали, что эта делегация указала, какие службы на сервере отчетов должны быть разрешены для передачи билета Kerberos, а не на какие серверы этой учетной записи службы разрешено отправлять их от имени пользователя.

В результате выяснилось, что не имеет значения, какая учетная запись службы работает с сервером sql-сервера источника данных, если у него есть правильное делегирование SPN и OU, не имеет ничего общего с этим типом делегирования Kerberos.