보고서 서버 서비스 계정 구성(보고서 서버 구성 관리자)
적용 대상: SQL Server Reporting Services 2016(13.x) 이상 Power BI Report Server
Reporting Services는 보고서 서버 웹 서비스, 웹 포털, 그리고 예약된 보고서 처리 및 구독 제공에 쓰이는 후순위 처리 애플리케이션을 포함하는 단일 서비스로 구현됩니다. 이 문서에서는 서비스 계정이 처음에 어떻게 구성되는지, Reporting Services 구성 도구를 사용해 계정이나 비밀번호를 수정하려면 어떻게 해야 하는지 설명합니다.
초기 구성
설치하는 동안 보고서 서버 서비스 계정이 정의됩니다. 이 서비스는 도메인 사용자 계정 아래에서나, 가상 서비스 계정과 같은 기본 제공 계정 아래에서 실행할 수 있습니다. 기본 계정이 없으며 설치 마법사의 Service Accounts 페이지에서 지정한 계정이 보고서 서버 서비스의 초기 계정이 됩니다.
중요
보고서 서버 웹 서비스 및 웹 포털 은 별도의 ASP.NET 애플리케이션이지만 동일한 보고서 서버 프로세스 ID 내의 단일 서비스 아키텍처에서 실행합니다.
참고 항목
도메인 컨트롤러인 컴퓨터에서는 기본 제공 Windows 서비스 계정(로컬 서비스 또는 네트워크 서비스)이 보고서 서버 서비스 계정으로 지원되지 않습니다.
서비스 계정을 변경합니다.
서비스 계정 정보를 보고 다시 구성하려면 항상 Reporting Services 구성 관리자를 사용합니다. 서비스 ID 정보는 내부적으로 여러 위치에 저장됩니다. 이 도구를 사용하면 계정이나 비밀번호를 변경할 때마다 모든 참조가 그에 따라 업데이트됩니다. Reporting Services 구성 관리자는 보고서 서버를 사용 가능한 상태로 유지하기 위한 다음과 같은 추가 단계를 수행합니다.
로컬 컴퓨터에서 생성된 보고서 서버 그룹에 새 계정을 자동으로 추가합니다. 이 그룹은 Reporting Services 파일의 보안을 유지하는 ACL(액세스 제어 목록)에 지정됩니다.
보고서 서버 데이터베이스 호스팅에 사용되는 SQL Server 데이터베이스 엔진 인스턴스에 대한 로그인 권한을 자동으로 업데이트합니다. 새 계정이 RSExecRole에 추가됩니다.
이전 계정에 대한 데이터베이스 로그인은 자동으로 제거되지 않습니다. 더 이상 사용하지 않는 계정을 제거해야 합니다. 자세한 내용은 보고서 서버 데이터베이스 관리(SSRS 기본 모드)를 참조하세요.
처음에 서비스 계정을 사용하도록 보고서 서버 데이터베이스 연결을 구성한 경우에만 데이터베이스 권한이 새 서비스 계정에 부여됩니다. 도메인 사용자 계정 또는 SQL Server 데이터베이스 로그인을 사용하도록 보고서 서버 데이터베이스 연결을 구성한 경우에는 서비스 계정 업데이트가 연결 정보에 영향을 미치지 않습니다.
새 계정의 프로필 정보를 포함하도록 자동으로 암호화 키를 업데이트합니다.
참고
보고서 서버가 스케일 아웃 배포에 속할 경우 업데이트하는 보고서 서버만 영향을 받습니다. 따라서 배포에 포함된 다른 보고서 서버의 암호화 키는 서비스 계정을 변경해도 영향을 받지 않습니다.
Report Server 서비스 계정 구성
Reporting Services 구성 관리자를 시작하고 보고서 서버에 연결합니다.
서비스 계정 페이지에서 사용하려는 계정 유형에 해당하는 옵션을 선택합니다.
Windows 사용자 계정을 선택한 경우 새 계정과 암호를 지정합니다. 계정은 20자를 초과할 수 없으며 Windows 사용자 계정 이름 지정 규칙에 따라 특수 문자
" / \ [ ] : ; | = , + * ? < > '
를 포함할 수 없습니다.보고서 서버를 Kerberos 인증을 지원하는 네트워크에 배포하면 지정한 도메인 사용자 계정으로 보고서 서버 SPN(서비스 사용자 이름)을 등록해야 합니다. 자세한 내용은 보고서 서버의 SPN(서비스 사용자 이름) 등록을 참조하세요.
적용을 선택합니다.
대칭 키를 백업하라는 메시지가 표시되면 대칭 키 백업을 위한 파일 이름과 위치를 입력합니다. 암호를 입력하여 파일을 잠그고 잠금을 해제한 다음 확인을 선택합니다.
보고서 서버에서 서비스 계정을 사용하여 보고서 서버 데이터베이스에 연결하는 경우 새 계정 또는 암호를 사용하도록 연결 정보가 업데이트됩니다. 연결 정보를 업데이트하려면 데이터베이스에 연결해야 합니다. SQL Server 데이터베이스 연결 대화 상자가 나타나면 데이터베이스에 연결할 권한이 있는 자격 증명을 입력한 후 확인을 선택합니다.
대칭 키를 복원하라는 메시지가 표시되면 5단계에서 지정한 암호를 입력한 다음 확인을 선택합니다.
모든 태스크가 성공적으로 완료되었는지 확인하려면 결과 창에서 상태 메시지를 검토합니다.
계정 선택
최선의 결과를 얻으려면, 네트워크 연결 권한이 있고, 네트워크 도메인 컨트롤러 및 기업 SMTP(Simple Mail Transfer Protocol) 서버 또는 게이트웨이에 대한 액세스 권한이 있는 계정을 지정하세요. 다음 표에 계정을 요약하고 권장 사용 방법을 제시했습니다.
참고 항목
그룹 관리 서비스 계정 개요는 보고서 서버 서비스 계정으로 지원되지 않습니다.
계정 | 설명 |
---|---|
도메인 사용자 계정 | 보고서 서버 작업에 필요한 최소 권한이 있는 Windows 도메인 사용자 계정이 있으면 이러한 계정을 사용해야 합니다. 도메인 사용자 계정을 사용해야 합니다. 이 계정은 보고서 서버 서비스를 다른 애플리케이션에서 격리하기 때문입니다. 공유 계정 하나 아래에 애플리케이션을 여러 개 실행하는 경우(예: 네트워크 서비스), 악의적인 사용자가 보고서 서버를 장악할 위험이 커집니다. 애플리케이션 하나만 보안 침해가 생겨도 같은 계정 아래에서 실행되는 모든 애플리케이션으로 확대되기 쉽습니다. 도메인 사용자 계정을 사용할 경우 조직에서 암호 만료 정책을 적용하면 정기적으로 암호를 변경해야 합니다. 이 사용자 계정으로 서비스를 등록해야 할 수도 있습니다. 자세한 내용은 보고서 서버의 SPN(서비스 사용자 이름) 등록을 참조하세요. 로컬 Windows 사용자 계정은 삼가세요. 일반적으로 로컬 계정에는 다른 컴퓨터의 리소스에 액세스할 수 있는 충분한 권한이 없습니다. 로컬 계정을 사용하면 보고서 서버 기능이 어떻게 제한되는지 자세한 정보는 로컬 계정 사용 시 고려 사항을 참조하세요. |
가상 서비스 계정 | 가상 서비스 계정은 Windows 서비스를 나타냅니다. 네트워크 로그인 권한이 있는 기본 제공 최소 권한 계정입니다. 이 계정은 사용 가능한 도메인 사용자 계정이 없거나 비밀번호 만료 정책으로 인해 발생할 수 있는 서비스 중단을 피하고자 하는 경우 사용하는 것이 좋습니다. |
네트워크 서비스 | 네트워크 서비스는 네트워크 로그인 권한이 있는 기본 제공 최소 권한 계정입니다. 네트워크 서비스를 선택할 경우 동일한 계정으로 실행하는 다른 서비스의 수를 최소화하십시오. 한 애플리케이션에 대한 보안 위반은 동일한 계정으로 실행되는 다른 모든 애플리케이션의 보안을 손상시킵니다. |
로컬 서비스 | 로컬 서비스는 인증된 로컬 Windows 사용자 계정과 비슷한 기본 제공 계정입니다. 로컬 서비스 계정으로 실행되는 서비스는 자격 증명이 없는 Null 세션으로 네트워크 리소스에 액세스합니다. 이 계정은 보고서 서버를 원격 보고서 서버 데이터베이스나 네트워크 도메인 컨트롤러에 연결하여 보고서를 열거나 구독을 처리하기 전에 사용자를 인증해야 하는 인트라넷 배포 시나리오에 적합하지 않습니다. |
로컬 시스템 | 로컬 시스템 은 높은 권한이 있는 계정이므로 보고서 서버를 실행하는 데 필요하지 않습니다. 보고서 서버 설치에는 이 계정을 사용하지 마십시오. 대신 도메인 계정 또는 네트워크 서비스 를 선택합니다. |
로컬 계정 관련 고려 사항
로컬 계정과 관련한 주된 고려 사항은 보고서 서버가 원격 데이터베이스 서버, 메일 서버, 도메인 컨트롤러에 액세스해야 하는지 아닌지입니다. 보고서 서버가 로컬 Windows 사용자 계정, 로컬 서비스나 로컬 시스템으로 실행되도록 구성하면 다른 구성 설정을 설정할 때 감안해야 하는 고려 사항이 생깁니다. 구독을 만들고 제공할 때는 다음과 같은 요소도 고려해야 합니다.
로컬 계정 아래에서 서비스를 실행하면 나중에 연결을 원격 보고서 서버 데이터베이스에 대하여 구성하면 선택지가 제한됩니다. 특히 원격 보고서 서버 데이터베이스를 사용하는 경우 원격 SQL Server 인스턴스에 로그인할 수 있는 권한이 있는 SQL Server 데이터베이스 사용자 또는 도메인 사용자 계정을 사용하도록 연결을 구성해야 합니다.
로컬 계정으로 서비스를 실행하면 구독을 만들 때 새로운 요구 사항이 있습니다. 보고서 서버는 구독을 만드는 사용자에 대한 정보를 저장합니다. 사용자가 도메인 계정에서 로그온한 동안 구독을 만들 경우 보고서 서버 서비스는 도메인 컨트롤러에 연결하여 구독이 처리될 때 사용자를 인증하려고 합니다. 이 서비스가 로컬 계정에서 실행될 경우 보고서 서버가 원격 도메인 컨트롤러에 요청을 보내려고 하면 인증 요청이 실패합니다. 이러한 문제를 해결하려면 사용자 지정 폼 기반 인증 확장 프로그램을 사용하거나 모든 사용자가 로컬 사용자 계정에서 보고서 서버에 연결하도록 해야 합니다.
로컬 계정에서 서비스를 실행하는 경우 구독 배달에 대한 새로운 요구 사항이 있습니다. 일부 배달 확장 프로그램에는 구독 정의에 사용자 계정 정보가 있습니다. 보고서를 도메인 사용자 계정에 기반한 이메일 주소로 보내고, 보고서 서버 서비스를 로컬 계정 아래에서 실행하는 경우 서비스가 대상 이메일 계정을 확인하기 위해 원격 도메인 컨트롤러에 액세스할 수 없습니다.
기본 제공 Windows 서비스 계정(로컬 서비스 또는 네트워크 서비스)은 도메인 컨트롤러인 컴퓨터에서 보고서 서버 서비스 계정으로 지원되지 않습니다.
각자의 배포에 가장 적합한 방식을 결정하는 데 도움이 필요한 경우, 다음 지침을 참조하세요.
만료된 암호 업데이트
보고서 서버 서비스가 도메인 계정으로 실행되고, 보고서 서버 구성 관리자에서 업데이트할 수 있기 전에 암호가 만료된 경우 새 암호를 지정할 때까지 서비스가 시작되지 않습니다.
데이터베이스 엔진 의 서비스 계정 암호가 만료된 경우에는 보고서 서버에 연결하려고 할 때 rsReportServerDatabaseUnavailable 오류가 발생합니다. 이 오류를 해결하려면 암호를 다시 설정합니다.
서비스 ID 업데이트 오류 문제 해결
서비스 ID를 변경하면 일련의 이벤트가 시작됩니다. 예를 들어 서비스를 다시 시작하고, 비밀번호로 보호되는 암호화 키를 업데이트하고, 보고서 서버 데이터베이스 연결 정보를 업데이트합니다(보고서 서버 데이터베이스에 연결하는 데 서비스 계정을 사용하는 경우). 이러한 이벤트의 상태는 페이지 아래쪽에 있는 결과 창의 알림을 통해 모니터링할 수 있습니다. 이 프로세스 중에 오류가 발생하면, 다음 기법을 사용해 해결해 보세요.
대칭 키를 복원할 수 없는 경우 암호화 키 페이지의 복원을 사용하여 수동으로 복원할 수 있습니다. 이 방법으로 해결되지 않으면 암호화된 내용을 삭제합니다. 이 경우 데이터 원본 연결 정보와 구독은 다시 만들어야 하지만 나머지 내용은 계속 사용할 수 있습니다. 자세한 내용은 SSRS(SQL Server Reporting Services) 암호화 키 백업 및 복원을 참조하세요.
서비스가 시작되지 않는 경우 관리자 도구의 서비스 콘솔 애플리케이션을 사용하여 수동으로 서비스를 다시 시작합니다.
서비스 계정을 업데이트할 때 URL 예약 오류가 발생할 수 있습니다. 각 URL 예약에는 서비스 계정에 URL 요청을 수락할 권한을 부여하는 DACL(임의 액세스 제어 목록)이 포함된 보안 설명자가 있습니다. 계정을 업데이트할 때 URL을 다시 만들어 새 계정 정보로 DACL을 업데이트해야 합니다. URL 예약을 다시 만들 수 없지만 올바른 계정임이 확실한 경우에는 컴퓨터를 다시 시작합니다. 그래도 오류가 계속되면 다른 계정을 사용해 보십시오.