レポート サーバー サービス アカウントの構成 (SSRS 構成マネージャー)

Reporting Services は、レポート サーバー Web サービス、レポート マネージャー、およびスケジュールされたレポート処理とサブスクリプション配信に使用されるバックグラウンド処理アプリケーションを含む 1 つのサービスとして実装されます。 このトピックでは、サービス アカウントの初期構成方法と、Reporting Services 構成ツールを使用してアカウントまたはパスワードを変更する方法について説明します。

初期構成

レポート サーバー サービスのアカウントは、セットアップ時に定義されます。 サービスは、ドメイン ユーザー アカウントまたは組み込み ( NetworkService アカウントなど) で実行できます。 既定のアカウントはありません。インストール ウィザードの [ サーバー構成 - サービス アカウント] ページで指定したアカウントは、レポート サーバー サービスの最初のアカウントになります。

サービス アカウントの変更

サービス アカウント情報を表示および再構成するには、常に Reporting Services 構成ツールを使用します。 サービス ID 情報は、内部の複数の場所に保存されています。 このツールを使用すると、アカウントまたはパスワードを変更するたびに、すべての参照が適切に更新されます。 Reporting Services 構成ツールでは、次の追加の手順を実行して、レポート サーバーを引き続き使用できるようにします。

• ローカル コンピューター上に作成されたレポート サーバー グループに、新しいアカウントを自動的に追加します。 このグループは、 Reporting Services ファイルをセキュリティで保護するアクセス制御リスト (ACL) 内で指定されます。

• レポート サーバー データベースのホストに使用される SQL Server データベース エンジン インスタンスのログイン権限を自動的に更新します。 新しいアカウントが RSExecRole に追加されます。

  古いアカウントのデータベース ログインは自動的には削除されません。 使用されなくなったするアカウントは削除するようにしてください。 詳細については、SQL Server オンライン ブックの レポート サーバー データベース (SSRS ネイティブ モード) の管理 を参照してください。

  新しいサービス アカウントへのデータベースアクセス許可の付与は、最初にサービス アカウントを使用するようにレポート サーバー データベース接続を構成した場合にのみ行われます。 ドメイン ユーザー アカウントまたは SQL Server データベース ログインを使用するようにレポート サーバー データベース接続を構成した場合、接続情報はサービス アカウントの更新の影響を受けません。

• 暗号化キーを自動的に更新し、新しいアカウントのプロファイル情報を取り込みます。

  注

  レポート サーバーがスケールアウト配置の一部である場合、更新するレポート サーバーのみが影響を受けます。 配置内の他のレポート サーバーの暗号化キーは、サービス アカウントを変更しても影響を受けません。

アカウントを設定する方法については、「 サービス アカウントの構成 (SSRS 構成マネージャー)」を参照してください。

アカウントの選択

レポート サーバー サービスは、次のいずれかの種類のアカウントで実行するように構成できます。

• 最小限の特権を持つ Windows ユーザー アカウント

• NetworkService

• LocalSystem

• 地域サービス

アカウントの種類を選択するための最適なアプローチは 1 つもありません。 各アカウントには、考慮する必要がある長所と短所があります。 Reporting Services を運用サーバーに展開する場合は、悪意のあるユーザーによって共有アカウントが侵害された場合に広範囲の損害を回避できるように、ドメイン ユーザー アカウントで実行するようにサービスを構成することをお勧めします。 また、このアカウントのログオン アクティビティの監査も容易になります。 Windows ユーザー アカウントを使用する場合のトレードオフは、Kerberos 認証を使用するネットワークに Reporting Services を展開する場合は、サービスをユーザー アカウントに登録する必要があるということです。 詳細については、「 レポート サーバーのサービス プリンシパル名 (SPN) を登録する」を参照してください。

このセクションの次のガイドラインとリンクは、デプロイに最適なアプローチを決定するのに役立ちます。

• サービス アカウント (SSRS ネイティブ モード)。

• SQL Server オンライン ブックで Windows サービス アカウントとアクセス許可を構成します。

• サービスとサービス アカウントのセキュリティ計画ガイド。

期限切れのパスワードの更新

Report Server サービスがドメイン アカウントで実行され、そのパスワードが期限切れになってから Reporting Services 構成ツールで更新できる場合、新しいパスワードを指定するまでサービスは開始されません。 サービスを開始できない場合は、Reporting Services 構成ツールを使用してそのサーバーに接続してアカウントを更新することはできません。 この場合は、ツールの組み合わせを使用してサーバーをオンラインに戻す必要があります。

パスワードをリセットするには、次の操作を行います。

1. [スタート] メニューの [コントロール パネル] をポイントし、[管理者ツール] をポイントし、[サービス] をクリックします。

2. SQL Server Reporting Services を右クリックし、[プロパティ] を選択します。

3. [ ログオン] をクリックし、新しいパスワードを入力します。

4. パスワードを更新したら、Reporting Services 構成ツールを起動し、[サービス アカウント] ページでパスワードを更新します。 この追加の手順は、レポート サーバーによって内部的に格納されているアカウント情報を更新するために必要です。

データベース エンジンのサービス アカウント パスワードの有効期限が切れると、レポート サーバーに接続しようとしたときに rsReportServerDatabaseUnavailable エラーが発生します。 パスワードを再設定すると、このエラーは解決されます。

SharePoint 統合レポート サーバーのレポート サーバー サービスの構成

SharePoint 統合モードでレポート サーバーを実行している場合は、次のいずれかの条件に該当する場合は、SharePoint 構成データベースに格納されているサービス アカウント情報を更新する必要があります。

• Reporting Services サービス アカウントの変更 (たとえば、NetworkService からドメイン ユーザー アカウントへの切り替え)。

• 追加の SharePoint Web アプリケーションを含むように SharePoint ファームを拡張する。 サーバー ファームがレポート サーバー統合用に構成されていて、新しく追加されたアプリケーションがファーム内の他のアプリケーションとは異なるユーザー アカウントで実行されるように構成されている場合は、データベース アクセス情報を更新する必要があります。

データベース アクセス情報をリセットした後、Windows SharePoint Services サービスを再起動して、古い接続が使用されなくなったことを確認する必要があります。

1. 管理ツールで、[SharePoint 2010 サーバーの全体管理] をクリックします。

2. [ アプリケーション管理] をクリックします。

3. [Reporting Services] セクションで、[ データベース アクセスの許可] をクリックします。

4. OK をクリックします。 [資格情報の入力] ダイアログ ボックスが表示されます。

5. レポート サーバーをホストするコンピューターのローカル管理者グループのメンバーであるユーザーの資格情報を入力します。 資格情報は、サービス アカウント情報を取得するためにレポート サーバー コンピューターへの 1 回限りの接続に使用されます。 各サービス アカウントに対して作成されたデータベース ログインは、SharePoint データベースで更新されます。

6. サービスを再起動するには、[ 操作] をクリックします。

7. [トポロジとサービス] で、[ サーバー上のサービス] をクリックします。

8. Windows SharePoint Services Web アプリケーションの場合は、[ 停止] をクリックします。

9. サービスが停止するのを待ちます。

10. [開始] をクリックします。

次のステップ

サービス アカウントの構成 (SSRS 構成マネージャー)サービス アカウント (SSRS ネイティブ モード)、レポート サーバーの URL の構成 (SSRS 構成マネージャー)、Reporting Services 構成マネージャー (ネイティブ モード)