Kerberos 認証を使用するように SQL Server 2008 Analysis Services および SQL Server 2005 Analysis Services を構成する方法

文書翻訳 文書翻訳
文書番号: 917409
すべて展開する | すべて折りたたむ

目次

概要

Microsoft SQL Server 2008 Analysis Services または Microsoft SQL Server 2005 Analysis Services を実行しているコンピュータへの接続が確立され、その接続でダブルホップ認証シナリオが使用される場合は、認証プロトコルとして Kerberos を使用する必要があります。 たとえば、ダブルホップ認証シナリオでは、クライアント コンピュータは Microsoft インターネット インフォメーション サービス (IIS) を実行しているコンピュータにログオン資格情報を渡すことがあります。 IIS を実行しているコンピュータは、次にログオン資格情報を Analysis Services サーバーに渡す必要があります。 実行する必要がある手順は、SQL Server 2000 Analysis Services での手順とは異なります。

はじめに

この資料では、Kerberos 認証を使用するように SQL Server 2008 Analysis Services および SQL Server 2005 Analysis Services を構成する方法について説明します。

詳細

Kerberos 認証プロトコルを使用するように Analysis Services サーバーを構成する

Analysis Services サーバーの Analysis Services サービスについてサービス プリンシパル名 (SPN) を登録します。 Analysis Services サービスが SQL Server 2000 の LocalSystem アカウントのセキュリティ コンテキストで実行されている場合、SPN は自動的に作成されます。 ただし、Analysis Services サービスが LocalSystem アカウント以外のアカウントのセキュリティ コンテキストで実行されている場合は、SQL Server 2000 で SPN を作成する場合と同様に、SQL Server 2008 および SQL Server 2005 で SPN を手動で作成する必要があります。 SPN を作成するには、Microsoft Windows 2000 リソース キットの Setspn.exe ユーティリティを使用します。 このツールは Windows Server 2003 サポート ツールにも含まれています。 Windows Server 2003 サポート ツールは、Windows Server 2003 Service Pack 1 (SP1) に含まれています。

Windows 2000 リソース キットの Setspn ユーティリティをダウンロードするには、以下のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
Windows Server 2003 Service Pack 1 のサポート ツールを入手する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
892777 Windows Server 2003 Service Pack 1 のサポート ツール
また、Kerbtray ユーティリティを使用して、使用中である 1 つまたは複数の関連するコンピュータから Kerberos チケットを確認および削除できます。 Kerbtray ユーティリティをダウンロードするには、以下のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en
Setspn ユーティリティをダウンロードした後、以下の手順を実行します。

: Setspn コマンドを実行するには、Domain Administrators グループのメンバであることが必要です。 Analysis Services のインスタンスがクラスタ化されている場合は、Analysis Services の仮想名を完全修飾ドメイン名 (FQDN) として使用します。
  1. ドメイン アカウントで実行されている Analysis Services サーバーの SPN を作成するには、コマンド プロンプトで以下のコマンドを実行します。
    • Setspn.exe -A MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      : Fully_Qualified_domainName には、FQDN が入ります。
    • Setspn.exe -A MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. LocalSystem アカウントで実行されている Analysis Services サーバーの SPN を作成することが必要な場合は、コマンド プロンプトで以下のコマンドを実行します。
    • Setspn.exe -A MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -A MSOLAPSvc.3/serverHostName serverHostName
  3. Analysis Services サーバーの SPN が作成されたかどうかを確認するには、コマンド プロンプトで以下のコマンドを実行します。
    Setspn.exe -L OLAP_Service_Startup_Account
    Setspn.exe -L serverHostName
    Analysis Services サーバーの SPN が正常に作成された場合、このコマンドの結果は、通常、以下の形式で表示されます。
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName 
    MSOLAPSvc.3/serverHostName
: SQL Server 2005 Analysis Services は名前付きインスタンスとして動作できます。 これは、SQL Server 2000 Analysis Services ではサポートされません。 名前付きインスタンスを使用している場合も、同じ手順が適用されます。 ただし、以下の SPN 形式を構成する必要があります。 SQL Server エンジンとは異なり、コロンの後にポートを指定できません。 すべての機能が正常に動作するためには、実際のインスタンス名を使用する必要があります。
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

Active Directory 設定を構成する

Active Directory ディレクトリ サービス設定について、以下の条件をすべて満たしていることを確認します。
  • 委任されるユーザー アカウントについて、[アカウントは重要なので委任できない] チェック ボックスがオフになっている。
  • Analysis Services に接続している中間層のドメイン アカウントについて、[アカウントは委任に対して信頼されている] チェック ボックスがオンになっている。 たとえば、IIS が中間層であり、アプリケーション プールについてドメイン アカウントが使用されている場合は、そのアプリケーション プールのドメイン アカウントの [アカウントは委任に対して信頼されている] チェック ボックスがオンになっていることが必要です。
  • プロセスに関連するすべてのサービスおよび COM+ コンポーネントのアカウントについて、[アカウントは委任に対して信頼されている] チェック ボックスがオンになっている。
  • プロセスに関連するすべてのコンピュータについて、[コンピュータを委任に対して信頼する] チェック ボックスがオンになっている。
: プロセスに関連するすべてのアカウントおよびサーバーは、同じ Active Directory ドメインまたは同じフォレスト内の信頼されるドメインに属している必要があります。 Windows Server 2003 ネイティブ モードのフォレストがある場合、フォレスト間の委任を有効にする方法については、以下のマイクロソフト Web サイトの「フォレストの信頼」を参照してください。
http://technet.microsoft.com/ja-jp/library/cc773178.aspx

Analysis Services クライアント コンピュータを構成する

Analysis Services クライアント コンピュータについて、以下の条件を満たしていることを確認します。
  • Microsoft Internet Explorer 5.0 以降のバージョンがインストールされている。
  • コンピュータに Internet Explorer 6 がインストールされている場合、セキュリティの [統合 Windows 認証を使用する (再起動が必要)] オプションがオンになっている。
  • Analysis Services が名前付きインスタンスである場合、SQL Browser について MSOLAPDisco.3 SPN を作成している。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    950599 SQL Server 2005 Analysis Services または SQL Server 2005 の名前付きインスタンスへの接続を確立する際に SQL Server Browser サービスの SPN が必要である
: [統合 Windows 認証を使用する (再起動が必要)] オプションは、[インターネット オプション] ダイアログ ボックスの [詳細設定] タブの [セキュリティ] の下にあります。この設定を有効にするために、コンピュータの再起動が必要となることがあります。

IIS を実行しているコンピュータの設定を構成する

ダブルホップ認証シナリオで IIS を実行しているコンピュータについて、以下の条件を満たしていることを確認します。
  • Web サイト、またはクライアント Web アプリケーションに対して作成された仮想ディレクトリについて、IIS で以下の設定が構成されている。
    • ディレクトリ セキュリティの認証方法が [統合 Windows 認証] または [基本認証] に設定されている。
    • アプリケーション保護レベルが [高 (分離プロセス)] に設定されている。
  • Web サイト、またはクライアント Web アプリケーションに対して作成された仮想ディレクトリについて、以下のコンポーネント サービス設定が構成されている。
    • COM+ パッケージの偽装レベルが [委任する] に設定されている。偽装レベルの設定方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
      http://msdn2.microsoft.com/ja-jp/library/ms681722.aspx
    • COM+ パッケージのアプリケーション ID として、[アカウントは委任に対して信頼されている] チェック ボックスがオンになっている Windows ドメイン アカウントが設定されている。 アプリケーション ID の設定方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
      http://msdn2.microsoft.com/ja-jp/library/ms681314.aspx
  • Analysis Services サーバーに接続するために Analysis Services クライアント コンピュータで使用される接続文字列に、SSPI= Kerberos パラメータが含まれている。
  • 接続文字列のデータ ソース名が完全修飾ドメイン名 (FQDN) または NETBIOS 名のいずれかである。 たとえば、FQDN は myhost.mydomain.com、NETBIOS 名は myHostName の形式です。 数値で IP アドレスを指定した場合、Kerberos 認証は無効になります。
  • IIS を実行するコンピュータの SPN を作成して登録している。 作成する必要がある SPN は、コンピュータ名またはホスト名と、IIS のアプリケーション プール ID によって異なります。 IIS を実行しているコンピュータの SPN を作成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    929650 IIS 6.0 でホストされている Web アプリケーションを構成する場合の SPN の使用方法
    setspn -A http/IISComputerName IISComputerName
    IIS を実行しているコンピュータの SPN を手動で登録するには、「Kerberos 認証プロトコルを使用するように Analysis Services サーバーを構成する」の手順を実行します。
  • IIS サーバーでネゴシエート認証プロバイダを有効にして、Kerberos 認証を許可している。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    215383 ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法
  • Kerberos クライアントの時計とドメイン コントローラの時計を可能な限り厳密に同期している。 最大時間差の詳細については、以下のマイクロソフト Web サイトを参照してください。
    http://technet.microsoft.com/ja-jp/library/cc779260.aspx
これらの手順をすべて確認しても Kerberos を使用できない場合は、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている手順を実行して、システム イベント ログからトラブルシューティング情報を収集してください。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
262177 Kerberos イベント ログを有効にする方法

関連情報

Kerberos 認証を使用するように SQL Server 2000 Analysis サーバー コンピュータを構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
828280 Kerberos 認証を使用するように SQL Server 2000 Analysis Services のインスタンスを構成する方法
このトピックに関する TechNet Support WebCast の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
916962 [TechNet Support WebCast] Kerberos 認証用に Microsoft SQL Server 2005 Analysis Services を構成する
中間層のコンピュータに Microsoft SharePoint Portal Server がインストールされている場合、NTLM 認証のみを許可するように仮想ディレクトリを構成することができます。 仮想ディレクトリでネゴシエート (Kerberos) 認証を有効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
832769 Kerberos 認証を使用するように Windows SharePoint Services の仮想サーバーを構成する方法および Kerberos 認証から NTLM 認証に戻す方法

プロパティ

文書番号: 917409 - 最終更新日: 2011年5月16日 - リビジョン: 7.0
キーワード:?
kbhowto kbexpertiseadvanced kbsql2005as kbsqlmanagementtools KB917409
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com