SQL OLTP の Kerberos 認証 (SharePoint Server 2010)

適用先: SharePoint Server 2010

トピックの最終更新日: 2016-11-30

このシナリオのプロセスに従って、サンプル環境の SQL Server クラスターに対する Kerberos 認証を構成します。このプロセスを完了した後、SharePoint Server サービスが Kerberos プロトコルを使用してクラスターで認証されていることを検証します。

このシナリオでは、次のことを行います。

• Kerberos 認証を使用するように既存の SQL Server 2008 R2 クラスターを構成します。

• クライアントが Kerberos 認証を使用してクラスターで認証できることを確認します。

• 後のシナリオで使用するテスト データベースとサンプル データを作成します。

構成チェックリスト

シナリオ環境の詳細

このシナリオでは、Kerberos 認証を使用するように構成された SQL Server クラスターへの接続に対して SQL エイリアスを使用するように構成された SharePoint Server ファームが示されます。

構成手順

DNS を構成する

ユーザーの環境で SQL Server クラスターの DNS を構成します。この例には 1 つの SQL Server クラスター (MySqlCluster.vmlab.local、ポート 1433 で実行、クラスター IP は 192.168.8.135/4) があります。クラスターは、アクティブ/パッシブであり、SQL Server データベース エンジンが 1 番目のノードの既定のインスタンスで実行されます。

DNS の構成方法に関する一般的な情報については、「Managing DNS Records (英語)」を参照してください。

この例では、SQL Server クラスター用の DNS (A) レコードを構成しました。

Active Directory を構成する

SQL Server で Kerberos 認証を使用してクライアントを認証するには、SQL Server を実行するサービス アカウントにサービス プリンシパル名 (SPN) を登録する必要があります。SQL Server 名前付きインスタンスではなく既定のインスタンスを使用する構成では、SQL Server データベース エンジンのサービス プリンシパル名で次の形式が使用されます。

MSSQLSvc/<FQDN>:port

SQL Server 2008 の SPN を登録する方法の詳細については、「サービス プリンシパル名の登録」を参照してください。

この例では、次の SetSPN コマンドを使用して、SQL Server の SPN を SQL Server データベース エンジンのサービス アカウント (vmlab\svcSQL) に構成しました。

SetSPN -S MSSQLSVC/MySQLCluster.vmlab.local:1433 vmlab\svcSQL

SQL Server 名前付きインスタンス

既定のインスタンスではなく SQL Server 名前付きインスタンスを使用する場合、SQL Server インスタンスに固有の SPN と、SQL Server ブラウザー サービス用の SPN を登録する必要があります。名前付きインスタンスに対して Kerberos 認証を構成する方法については、以下の記事を参照してください。

• サービス プリンシパル名の登録

• 名前付きインスタンスの SQL Server Analysis Services または SQL Server の接続を確立すると、SQL Server ブラウザー サービスの SPN が必要です

SQL エイリアス

ファームを構築するときは、ベスト プラクティスとして、SQL Server コンピューターへの接続に SQL エイリアスの使用を検討する必要があります。SQL エイリアスを使用する場合、これらの接続用の Kerberos SPN の形式は変更されません。SQL Server の SPN に登録された DNS ホスト名 (A レコード) を引き続き使用します。たとえば、"MySQLCluster.vmlab.local" に対してエイリアス "SPFARMSQL" を登録した場合、SPFarmSQL に接続するときの SPN は "MSSQLSVC/MySQLCluster.vmlab.local:1433" のままです。

SQL Server Kerberos 構成を確認する

DNS とサービス プリンシパル名が構成されると、SharePoint Server を実行するコンピューターを再起動し、SharePoint Server サービスが Kerberos 認証を使用して SQL Server で認証されていることを確認できます。

クラスター構成を確認するには

1. SharePoint Server を実行するコンピューターを再起動します — この処理により、すべてのサービスが再起動され、再接続と、Kerberos 認証を使用する再接続が強制的に行われます。

2. SQL Server Management Studio を開いて、次のクエリを実行します。

   Select 
      s.session_id,
      s.login_name,
      s.host_name,
      c.auth_scheme
   from
   sys.dm_exec_connections c
   inner join
   sys.dm_exec_sessions s
   on c.session_id = s.session_id
   

   クエリでは、各セッションと接続に関するメタデータが返されます。セッション データは接続元の特定に役立ち、セッション情報では接続の認証スキームが明らかになります。

3. SharePoint Server サービスが Kerberos 認証を使用して認証されていることを確認します。Kerberos 認証が適切に構成されている場合、クエリ結果の [auth_scheme] 列に [Kerberos] が表示されます。

テスト SQL Server データベースとテスト テーブルを作成する

このドキュメント内のシナリオに含まれるさまざまな SharePoint Server サービス アプリケーション間の委任をテストするには、それらのサービスがアクセスするテスト データ ソースを構成する必要があります。このシナリオの最終手順で、後で使用する "Test" と呼ばれるテスト データベースと "Sales" と呼ばれるテスト テーブルを構成します。

1. SQL Server Management Studio で、"Test" と呼ばれる新しいデータベースを作成します。このデータベースを作成するときは、既定の設定を維持します。

2. 以下のスキームを使用して、Test データベースに新しいテーブルを作成します。

   列名	データ型	Null を許可
   地域	nvarchar(10)	いいえ
   年	nvarchar(4)	いいえ
   金額	money	いいえ
   RowId	int	いいえ

3. "Sales" という名前を付けてテーブルを保存します。

4. Management Studio で、テーブルにテスト データを挿入します。データ自体は重要ではなく、後のシナリオの機能に影響するものではありません。少しの行があれば十分です。