El mensaje de error Log on Failed Ensure the user name and password are correct en Reporting Services 2008 R2, al acceder a un Origen de Datos de SQL Server utilizando un usuario de Directorio Activo para impersonarse, es un error que podemos encontrarnos no sólo porque estemos utilizando unas credenciales incorrectas, ni por falta de permisos en SQL Server.
Recientemente, me encontré este problema, sobre una Granja NLB de Reporting Services 2008 R2. Sorprendentemente, en otras Granjas, este mismo error no se producía, pudiendo configurar un Origen de Datos idéntico, y funcionando todo correctamente. Pero por desgracia, en una de las Granjas (la de Producción, para más INRI), el error se producía.
Tras varias pruebas, y después de unas cuantas búsquedas en Internet, y de comprobar las diferencias existentes entre las distintas Granjas de Reporting Services 2008 R2, finalmente encontramos la raíz del problema.
Parece ser, que para que un Origen de Datos se pueda conectar a SQL Server utilizando una cuenta de usuario para impersonarse, dicha cuenta de usuario debe de tener concedido el derecho de Allow Logon Locally sobre los servidores de Reporting Services 2008 R2.
Hasta aquí bien, pero, si nadie ha tocado este derecho (ni en las políticas locales de las máquinas, ni a través de GPOs de Directorio Activo) ¿Por qué funciona en una máquinas y en otras no?
Finalmente, parece que las máquinas en las que todo funcionaba correctamente, eras máquinas instaladas desde cero, utilizando una Maqueta, resultando una instalación de Windows Server 2008 R2 muy parecida a una instalación por defecto, en la cual, estaba concedido el derecho Allow Logon Locally sobre BUILTIN\Users en la política local de la máquina (Local Computer Policy).
Sin embargo, las máquinas en las que NO funcionaba, eran máquinas que utilizaban otra maqueta distinta, bastante diferente y muy personalizada, en la cual estaba modificada la configuración del derecho Allow Logon Locally en la política local de la máquina, de tal modo, que NO estaba incluido BUILTIN\Users, mientras que se había incluido a Power Users.
En ambos casos, no había políticas de Directorio Activo que sobrescribieran la configuración de la política local de la máquina, y tampoco estaba configurada la política Deny Logon Locally.
Finalmente, para solucionarlo, agregamos a BUILTIN\Users en el derecho Allow Logon Locally en la política local de la máquina, y el problema quedó solucionado.
Poco más por hoy. Como siempre, confío que la lectura resulte de interés.
