网络拓扑的解决方案设计注意事项

内部网络规划部署

Reporting Services报告服务通常部署在内部网网络拓扑中，其中报告访问和处理发生在企业网络的上下文中，通常在同一域内或受信任域内。对于内部网部署，您通常可以使用缺省安全特性以及在报告服务中包含最少配置的工具和应用程序。这个主题描述了内部网部署的特征，以便您能够更好地理解如何在整个安装过程中使用缺省特性。
安装和配置要求
您可以为所有安装和配置步骤使用安装和服务器配置工具。尽管您可以使用额外的技术和第三方产品，但是您更有可能使用所提供的工具和应用程序来完全部署报表服务。对于内部网部署，您可以选择安装默认配置，以便在操作状态下安装报表服务器，假设安装可以使用默认值来配置报表服务器实例。
服务器访问和身份验证
您可以使用网络计算机名称访问报表服务器和数据库引擎。要配置对报表服务器的访问，您可以指定将Windows域用户或组帐户映射到特定角色的角色分配。
Windows集成安全性是默认的安全扩展。报告服务器被预先配置为使用该扩展。所有用户都可以使用域中现有的安全基础设施进行身份验证。
委托和模拟是其他可能也可用的特性。在报告服务中，委托和模拟可以使用请求报告的用户的安全标识来从外部数据源检索数据。如果您的域配置不支持这些特性，那么您将遇到访问被拒绝的特性，如果报告的数据源属性指定了Windows集成安全选项，并且授权和模拟在您的领域中是不启用的。
报告分布和交付
当报表服务器开始处理订阅时，订阅所有者将被验证，以验证用户仍然是域中的有效Windows用户。然后报告服务器检查角色分配，以验证用户在运行报告之前仍然可以访问报告并将其交付到目标位置。如果您在内部网环境中部署报表服务，则使用网络中的安全基础设施自动执行这些身份验证检查。
在为文件共享交付定义交付选项时，您可以使用网络计算机指定目标服务器。在配置报表服务器电子邮件时，您可以在网络上使用SMTP服务器或网关，将电子邮件别名解析为Active Directory用户。

外联网或因特网部署计划

尽管SQL Server报告服务并不是为外部网或Internet报告部署场景而设计的，但是您可以成功地将报表服务放在面向Internet的Web服务器上，以便将一般信息分发给公共或私有企业数据给授权和经过身份验证的用户。
请注意
在面向internet的Web服务器上部署报表服务需要仔细评估。网络和安全软件、网络拓扑和域配置可以引入一些变量，这些变量使得为报表服务器部署指定一组精确的步骤变得困难。在评估一个用于Internet接入的报表服务器时，请确保您的测试场景包括您想要使用的所有特性，以及您总是通过使用安全连接进行测试。
外联网或互联网架构图
下面的例子为外联网或Internet部署提供了最佳实践部署配置的示例。

关于图表的要点包括以下内容：
三个防火墙在整个部署过程中提供了深度防御。在这个主题中提供了配置防火墙的建议。
入口点是一个包含ReportViewer控件的自定义因特网应用程序。控制主机托管在第二个防火墙后面的报表服务器上运行的报告。
报告使用来自只读数据源的数据，这些数据源是专门为报告目的而创建的。数据源包含从其他来源复制的数据，但是没有您在报告中永远不会使用的敏感数据值。
企业数据服务器包含您通过严格的权限和严格的防火墙设置保护的敏感数据。您还应该考虑将报表服务器数据库放在这个安全区域，以便所有需要读写访问的数据库服务器都可以使用第三个防火墙提供的保护。
一般的指导方针
下面的列表提供了在本主题中描述的拓扑中部署报表服务的广泛指导原则。这个列表作为计划您自己的部署计划的起点。您的网络拓扑结构的特定配置可能需要您执行在这个列表中没有描述的额外步骤。
在测试环境中部署配置是很重要的，以确认您理解所有的需求、设置、步骤，以及这些步骤的最佳顺序：
1，安装防火墙并识别服务器、帐户和权限。
2，为SSL连接创建或获取服务器证书。在所有托管服务器组件的计算机上安装证书。如果您安装了带有通配符设置的证书，您可以为多个url使用相同的证书。
3，设计和实现一种将公司数据复制到分离报表数据源的方法。您可以使用诸如复制、SQL Server集成服务或第三方产品之类的技术。
4，在files-only安装模式下安装报告服务，这样您就可以将其配置为对外部访问有效的设置。在SQL Server安装向导中，这是安装，但不配置选项。
5，在安装完成后运行Reporting Services配置工具，以配置报表服务器：
6，验证服务在一个最小特权帐户下运行。避免使用本地系统。如果您选择了本地系统，请更改帐户以使用网络服务或域用户帐户。
7，定义一个报告服务器URL，并选择一个报表管理器URL：
8，您应该创建多个URL来支持通过一个完全限定的域名（FQDN）来访问，该域名将被外部用户使用，以及使用网络名称的不同URL。如果您的Internet连接被禁用或脱机，使用两个不同的url将允许您连接到报表服务器。
9，您应该为您定义的FQDN url选择SSL证书。
10，创建报表服务器数据库。如果SQL Server实例位于不同的域中，并且没有启用Kerberos 5.0，那么请为报表服务器数据库连接使用SQL Server身份验证。使用SSL或IPSec保护报表服务器计算机和SQL Server数据库引擎实例之间的连接。
11，创建并部署一个定制的身份验证扩展。如果您使用的是作为ISAPI筛选器实现的单点登录技术，您必须使用ISA服务器来支持ISAPI筛选器。Reporting Services中的HTTP侦听器不支持ISAPI筛选器。
12，配置使用自定义身份验证扩展的安全原则的角色分配，并将它们映射到传递许可权以报告服务器操作的角色。
13，创建并部署使用ReportViewer Web服务器控件的Internet前端应用程序。
14，向报表服务器发布报告和其他内容类型。
15，配置防火墙设置。验证防火墙设置允许对下游计算机和应用程序的最小访问。

防火墙的配置
报告服务器应用程序的默认url假设端口80被启用并可用于报表服务器。如果您使用的是Windows防火墙，您必须打开端口80或其他可用于报告服务器HTTP请求的端口。如果您使用一个不同的端口，请确保在报表服务器url中指定它。要了解更多信息，请参阅如何配置防火墙以供报告服务器访问。有关默认的Windows防火墙设置的更多信息，以及影响数据库引擎、分析服务、报告服务和集成服务的TCP端口的描述，请参阅配置Windows防火墙以允许SQL Server访问。

在Internet应用程序中报告查看器Web服务器控件
要在Internet应用程序中部署报表，您可以将ReportViewer Web服务器控件嵌入到您创建和部署的定制Internet就绪应用程序中。ReportViewer Web服务器控件包含在Visual Studio 2005和以后的版本中，并且可以在您的应用程序中自由地发布。您可以配置控件来显示运行在报表服务器上的报表。您的应用程序和报表服务器之间的连接是由控件通过Web服务编程接口来处理的。所有的认证和授权都是由您的应用程序处理的，它通过一个单独的、用户信任的连接连接到报表服务器。
要了解更多信息，请参阅Visual Studio 2010中报告服务和ReportViewer控件。
报告管理器作为一个互联网或外联网的Web前端
报告管理器不是作为一个Internet应用程序设计的，但是如果您不能创建一个自定义的Internet应用程序，您可以使用报表管理器来查看通过Internet连接的报告。以下建议是作为部署的最佳实践建议提出的：
考虑在应用服务器上安装报表管理器作为单独的实例。报表管理器在报表服务器服务中运行。因此，要安装报表管理器，您必须安装报告服务，然后关闭服务中的Web服务和日程安排和交付特性。为了获得最好的结果，在一个面向internet的Web服务器上安装报告服务，只使用files-only安装模式。在SQL Server安装向导中，这是安装，但不配置选项。
创建并部署一个自定义安全扩展，以支持表单验证或技术上的单点登录。
为最小权限配置报表管理器。浏览器角色和系统用户角色足以查看报表。
为了将报表管理器指向运行在单独一台计算机上的不同报表服务器实例，您必须配置报表管理器URL，然后在RSReportServer中修改reportservervirtualdirectoryand和reportserverurl>设置。配置文件将报表管理器指向报表服务器实例。
在您正在连接的报表服务器上，关闭那些您将不使用的特性。示例可能包括我的报告、订阅和交付、报告构建器和客户端打印。
在Web中配置代理设置。配置文件
如果您使用报表管理器作为Internet部署的前端应用程序，并且报告服务器也安装在同一台计算机上，那么您必须指定一个Web。配置设置允许报表管理器在向安装在同一台计算机上的本地报表服务器发送请求时绕过代理服务器。
网络。配置设置是系统。净defaultProxy网络设置。默认情况下，defaultProxy在Web中是禁用的。用于报表管理器的配置文件。当报表管理器和报表服务器被部署在同一台计算机上时，这是推荐的配置。
如果您从早期版本的报告服务升级，那么报告管理器Web。配置文件不包括defaultProxy配置设置。您可以添加和设置defaultProxy设置，以绕过代理服务器，用于在同一台计算机上运行报表管理器和报表服务器的安装。将下列配置设置复制到报表管理器Web中。配置文件:

<configuration>
...
<system.net>
  <defaultProxy enabled="false" />
</system.net>
</configuration>

有关这些设置的更多信息，请参阅“配置Internet应用程序”和“defaultProxy元素（网络设置）”，在Microsoft.NET Framework开发人员指南中。

外联网和因特网部署的身份验证考虑
要在支持来自预定义的Microsoft Active Directory帐户连接的外联网场景中部署报表服务器，您可以使用默认的Windows身份验证安全扩展。计划为安全套接字层（SSL）连接和基本身份验证配置服务器。您可以使用Reporting Services配置工具将现有证书映射到报表服务器URL。您可以修改配置文件以指定身份验证类型。
要在支持来自单点登录技术或在数据库中存储用户身份信息的基于表单的身份验证模型的外联网场景中部署报表服务器，您必须创建一个自定义认证扩展来替换默认的Windows身份验证安全性扩展。当您向公众开放报表服务器时，通常使用基于表单的认证，但只希望经过身份验证的用户查看内容。默认情况下，SQL Server Reporting Services并不提供基于表单的认证模块。有关如何创建一个的更多信息，请参阅在线SQL Server书籍中的安全扩展。
验证网络部署
为了验证您的报告服务器连接是可访问的，您应该能够通过输入http：（或https：）//您的web服务器-完全合格的域名称/reportserver，在Internet连接上查看报表服务器文件夹名称空间，其中/reportserver是报告服务器虚拟目录的默认名称。