Sql server 2008 如何在Reporting Services 2008 r2环境中管理Kerberos身份验证问题

我几乎没有SSR2008报告。我已经创建了一组用户，并为该组授予了所有必需的权限

现在，当我运行这些报告时，我发现了一个奇怪的错误

用户“NT授权\匿名登录”登录失败。

我不知道它是从哪里来的

我得到的建议是，这是一个与Kerberos身份验证相关的问题。请有人知道如何解决这个让我知道

或者有人知道如何解决这个kerberos问题，如果可能的话，也可以分步告诉我

谢谢

---

Vik

您的报告是否使用直通集成身份验证、定义用户集成身份验证或sql用户身份验证？我怀疑第一种情况，在这种情况下，您正在处理模拟和委托之间的区别

使用集成身份验证连接到web服务器时，在幕后实际上使用的是NTLM或Kerberos。两者都允许运行web服务器的进程充当您的角色。NTLM通过安全令牌进行的模拟可防止服务器连接到您的另一台服务器（即，连接到DB服务器），并再次充当您的角色这就是“双跳”问题。相反，Kerberos使用委托，传递一个票证，每个服务器都可以检查其有效性并允许

要使Kerberos正常工作，有几个要求

• 如果您使用除主DNS名称（用作别名）以外的名称连接到web服务器，则必须使用SetSPN将别名注册为机器的有效别名。即使没有SPN（服务主体名称），您也可能会遇到问题。仔细检查服务器上的SPN，看看它是否符合您的预期
• 在域策略中，您最初连接到的服务器必须是“受信任的委派服务器”
• 运行web服务器的用户也必须是“受信任的委派用户”

您可以通过使报表存储某种凭证而不是使用直通身份验证来解决所有这些问题

dev和test之间的区别可能是IIS用户或数据源

---

现在，我在这里假设您没有使用SharePoint，只是在进行普通的SSRS web安装。因此，如果这不正确，请这样说。

您的报告是使用直通集成身份验证、定义用户集成身份验证还是sql用户身份验证？我怀疑第一种情况，在这种情况下，您正在处理模拟和委托之间的区别

使用集成身份验证连接到web服务器时，在幕后实际上使用的是NTLM或Kerberos。两者都允许运行web服务器的进程充当您的角色。NTLM通过安全令牌进行的模拟可防止服务器连接到您的另一台服务器（即，连接到DB服务器），并再次充当您的角色这就是“双跳”问题。相反，Kerberos使用委托，传递一个票证，每个服务器都可以检查其有效性并允许

要使Kerberos正常工作，有几个要求

• 如果您使用除主DNS名称（用作别名）以外的名称连接到web服务器，则必须使用SetSPN将别名注册为机器的有效别名。即使没有SPN（服务主体名称），您也可能会遇到问题。仔细检查服务器上的SPN，看看它是否符合您的预期
• 在域策略中，您最初连接到的服务器必须是“受信任的委派服务器”
• 运行web服务器的用户也必须是“受信任的委派用户”

您可以通过使报表存储某种凭证而不是使用直通身份验证来解决所有这些问题

dev和test之间的区别可能是IIS用户或数据源

---

现在，我在这里假设您没有使用SharePoint，只是在进行普通的SSRS web安装。因此，如果这是不正确的，请这样说。

可能是个问题。您能给出解决方案吗？双跳问题与NTLM有关。你能告诉我们更多关于建筑的情况吗？您正在使用SSR，但可以通过多种不同的方式进行部署。用户是否通过标准报表管理器、SharePoint或某种自定义web前端进行访问？用户是否通过标准报表管理器进行访问。在开发环境中，报告工作正常。甚至用户也可以访问它们。但在测试环境中，我遇到了这个恼人的登录错误。报告是在SSRS2008R2中创建的。部署在指定的开发和测试服务器中。在dev中工作正常，但使用相同的权限，我在测试中出错。可能是个问题。您能给出解决方案吗？双跃点问题是NTLM。你能告诉我们更多关于建筑的情况吗？您正在使用SSR，但可以通过多种不同的方式进行部署。用户是否通过标准报表管理器、SharePoint或某种自定义web前端进行访问？用户是否通过标准报表管理器进行访问。在开发环境中，报告工作正常。甚至用户也可以访问它们。但在测试环境中，我遇到了这个恼人的登录错误。报告是在SSRS2008R2中创建的。部署在指定的开发和测试服务器中。在dev中工作正常，但使用相同的权限，我在测试中出错。