Конфигурация следующая:
SSRS и СУБД установлены на одной машине (SQL2017)
Запуск служб SSRS и ядра производятся от имени доменной учетки (для каждой службы разные)
SPN заданы и для учетки сиквела и для учетки SSRS
Включено полное делегирование для учетных записей и для самого сервера
В общем, всё, как описано
инструкции
Делегирование работает без проблем, если подключаться через SSMS в режиме "Проверка подлинности Windows"
Связанные сервера доступны. (с включенным параметром "Устанавливать с использованием текущего контекста безопасности")
Если смотреть текущие конекты с помощью
этого запроса
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
SELECT
sys.dm_exec_connections.session_id AS SPID,
sys.dm_exec_connections.connect_time AS Connect_Time,
hostname,
program_name,
DB_NAME(dbid) AS DatabaseName,
loginame AS LoginName,
sys.dm_exec_connections.auth_scheme as Auth_Scheme,
sys.dm_exec_connections.net_transport AS Net_Transport,
sys.dm_exec_connections.protocol_type as Protocol_Type,
sys.dm_exec_connections.client_net_address as Client_Net_Address,
sys.dm_exec_connections.local_net_address as Local_Net_Address,
sys.dm_exec_connections.local_tcp_port as Local_TCP_Port
FROM sys.sysprocesses
Right Outer JOIN sys.dm_exec_connections
ON sys.sysprocesses.spid=sys.dm_exec_connections.session_id
то показывает, что мой экземпляр SSMS подключен по Kerberos, а сам Report Server по NTLM, потому что он на той же машине, тут все ок
то, что мои права наследуются, можно убедиться и с помощью BULK INSERT, обратившись к сетевой шаре и в активных сеансах видно, что обращение идет от моего имени
теперь о чудесах (речь идет об отчетах, в которых включен параметр датасета "Войти в источник данных: Как пользователь, просматривающий отчет"):
1. запускаю IE, открываю отчет, в котором идет обращение к линку (со включенным параметром "с использованием текущего контекста") и все отрабатывает (проверяю на удаленном сервере - обращение от моего имени)
2. открываю другой отчет, где выполняется BULK INSERT из шары, тоже все отрабатывает (FileMonitor показывает что выполняется имперсонация и на машине, к которой идет обращение, в активных сеансах мое имя)
Проходит какое-то количество времени. Скажем, пару часов. Судя по всему, истекает время билета Kerberos (предположительно).
Открываю отчет 1. Говорит NT AUTHORITY\АНОНИМНЫЙ ВХОД
Открываю отчет 2. Говорит Ошибка операционной системы 5(доступ запрещен).
Ну ладно, билет кончился, но почему он (SSRS) не запрашивает новый?
Из этой ситуации есть 2 пути:
Первый: Подождать еще несколько часов (сколько точно не засекал, но часов через 5). Перезапустить IE, обратиться к отчету № 1 и вновь всё работает.
Второй:. Открыть настройки датасета, внести исправление в строку подключения, любое - точку с запятой поставить в конце (если ее не было) или удалить её (если она была). Нажимаем "Проверить соединение", затем ОК и повторно открываем отчет. О боги! Он опять работает. Пока не истечет тот самый таймаут, после которого история повторяется. Но это же бред!
И еще один момент:
Если "на холодную" запустить отчет № 2, то "Ошибка операционной системы 5(доступ запрещен).", а если предварительно запустить отчет № 1 (в котором связанный сервер используется), то и второй (в котором BULK INSERT) начинает работать (отмечу, что BULK INSERT обращается к шаре на отдельном сервере, не имеющем отношения к SQL)
Не понимаю в чем дело, месяц уже мучаюсь с этим.
Спасайте, господа!
