我正在尝试运行SQL Server Reporting Services,其中报表的数据位于不同服务器上的SQL Server数据库上。已为报表服务器和报表启用集成身份验证。我已经确认Kerberos委派通过使用Internet Explorer从网络内部运行报告正常工作。
但是,当我通过防火墙打开报表服务器时,我无法运行报表。我收到以下错误:报告处理过程中出错。无法创建与数据源'frattoxppro2'的连接。用户'NT AUTHORITY \ ANONYMOUS LOGON'登录失败。
Kerberos身份验证不在防火墙外工作吗?
答案 0 :(得分:5)
Kerberos需要与KDC的端口88连接,在这种情况下,很可能是您的DC。
您可能希望查看的是HTTPS +基本身份验证+协议转换,以获取基本身份验证并将其转换为基于DC的Kerberos票证以进行委派和后端身份验证。
Protocol Transition with Constrained Delegation Technical Supplement
How To: Use Protocol Transition and Constrained Delegation in ASP.NET
不是最简单的设置,但是当它工作时,它的效果非常好。
答案 1 :(得分:0)
我真的不能告诉你为什么kerberos不适合你,但确实有一个替代建议你的配置。您可以使用ISA服务公开报告服务器,而不是简单地在防火墙中挖洞。这是我们公司成功完成的事情 - 它重新发布报告服务站点,以便浏览器与ISA通信,而不是直接与服务器通信。 ISA服务也非常乐意通过您的凭据。