Kerberos 認証を使用するように SQL Server 2008 Analysis Services および SQL Server 2005 Analysis Services を構成する方法

概要

Microsoft SQL Server 2008 Analysis Services または Microsoft SQL Server 2005 Analysis Services を実行しているコンピュータへの接続が確立され、その接続でダブルホップ認証シナリオが使用される場合は、認証プロトコルとして Kerberos を使用する必要があります。たとえば、ダブルホップ認証シナリオでは、クライアントコンピュータは Microsoft インターネットインフォメーションサービス (IIS) を実行しているコンピュータにログオン資格情報を渡すことがあります。 IIS を実行しているコンピュータは、次にログオン資格情報を Analysis Services サーバーに渡す必要があります。実行する必要がある手順は、SQL Server 2000 Analysis Services での手順とは異なります。

先頭へ戻る

はじめに

この資料では、Kerberos 認証を使用するように SQL Server 2008 Analysis Services および SQL Server 2005 Analysis Services を構成する方法について説明します。

先頭へ戻る

詳細

Kerberos 認証プロトコルを使用するように Analysis Services サーバーを構成する

Analysis Services サーバーの Analysis Services サービスについてサービスプリンシパル名 (SPN) を登録します。 Analysis Services サービスが SQL Server 2000 の LocalSystem アカウントのセキュリティコンテキストで実行されている場合、SPN は自動的に作成されます。ただし、Analysis Services サービスが LocalSystem アカウント以外のアカウントのセキュリティコンテキストで実行されている場合は、SQL Server 2000 で SPN を作成する場合と同様に、SQL Server 2008 および SQL Server 2005 で SPN を手動で作成する必要があります。 SPN を作成するには、Microsoft Windows 2000 リソースキットの Setspn.exe ユーティリティを使用します。このツールは Windows Server 2003 サポートツールにも含まれています。 Windows Server 2003 サポートツールは、Windows Server 2003 Service Pack 1 (SP1) に含まれています。

Windows 2000 リソースキットの Setspn ユーティリティをダウンロードするには、以下のマイクロソフト Web サイトにアクセスしてください。

http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)

Windows Server 2003 Service Pack 1 のサポートツールを入手する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

892777? (http://support.microsoft.com/kb/892777/ ) Windows Server 2003 Service Pack 1 のサポートツール

また、Kerbtray ユーティリティを使用して、使用中である 1 つまたは複数の関連するコンピュータから Kerberos チケットを確認および削除できます。 Kerbtray ユーティリティをダウンロードするには、以下のマイクロソフト Web サイトにアクセスしてください。

http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=4e3a58be-29f6-49f6-85be-e866af8e7a88&displaylang=en)

Setspn ユーティリティをダウンロードした後、以下の手順を実行します。

注 : Setspn コマンドを実行するには、Domain Administrators グループのメンバであることが必要です。 Analysis Services のインスタンスがクラスタ化されている場合は、Analysis Services の仮想名を完全修飾ドメイン名 (FQDN) として使用します。

ドメインアカウントで実行されている Analysis Services サーバーの SPN を作成するには、コマンドプロンプトで以下のコマンドを実行します。
- Setspn.exe -A MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account
  
  注 : Fully_Qualified_domainName には、FQDN が入ります。
- Setspn.exe -A MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
LocalSystem アカウントで実行されている Analysis Services サーバーの SPN を作成することが必要な場合は、コマンドプロンプトで以下のコマンドを実行します。
- Setspn.exe -A MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
- Setspn.exe -A MSOLAPSvc.3/serverHostName serverHostName
Analysis Services サーバーの SPN が作成されたかどうかを確認するには、コマンドプロンプトで以下のコマンドを実行します。
Setspn.exe -L OLAP_Service_Startup_Account Setspn.exe -L serverHostName
Analysis Services サーバーの SPN が正常に作成された場合、このコマンドの結果は、通常、以下の形式で表示されます。
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName MSOLAPSvc.3/serverHostName

注 : SQL Server 2005 Analysis Services は名前付きインスタンスとして動作できます。これは、SQL Server 2000 Analysis Services ではサポートされません。名前付きインスタンスを使用している場合も、同じ手順が適用されます。ただし、以下の SPN 形式を構成する必要があります。 SQL Server エンジンとは異なり、コロンの後にポートを指定できません。すべての機能が正常に動作するためには、実際のインスタンス名を使用する必要があります。

MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceName
MSOLAPSvc.3/serverHostName:instanceName

先頭へ戻る

Active Directory 設定を構成する

Active Directory ディレクトリサービス設定について、以下の条件をすべて満たしていることを確認します。

委任されるユーザーアカウントについて、[アカウントは重要なので委任できない] チェックボックスがオフになっている。
Analysis Services に接続している中間層のドメインアカウントについて、[アカウントは委任に対して信頼されている] チェックボックスがオンになっている。たとえば、IIS が中間層であり、アプリケーションプールについてドメインアカウントが使用されている場合は、そのアプリケーションプールのドメインアカウントの [アカウントは委任に対して信頼されている] チェックボックスがオンになっていることが必要です。
プロセスに関連するすべてのサービスおよび COM+ コンポーネントのアカウントについて、[アカウントは委任に対して信頼されている] チェックボックスがオンになっている。
プロセスに関連するすべてのコンピュータについて、[コンピュータを委任に対して信頼する] チェックボックスがオンになっている。

注 : プロセスに関連するすべてのアカウントおよびサーバーは、同じ Active Directory ドメインまたは同じフォレスト内の信頼されるドメインに属している必要があります。 Windows Server 2003 ネイティブモードのフォレストがある場合、フォレスト間の委任を有効にする方法については、以下のマイクロソフト Web サイトの「フォレストの信頼」を参照してください。

http://technet.microsoft.com/ja-jp/library/cc773178.aspx (http://technet.microsoft.com/ja-jp/library/cc773178.aspx)

先頭へ戻る

Analysis Services クライアントコンピュータを構成する

Analysis Services クライアントコンピュータについて、以下の条件を満たしていることを確認します。

Microsoft Internet Explorer 5.0 以降のバージョンがインストールされている。
コンピュータに Internet Explorer 6 がインストールされている場合、セキュリティの [統合 Windows 認証を使用する (再起動が必要)] オプションがオンになっている。
Analysis Services が名前付きインスタンスである場合、SQL Browser について MSOLAPDisco.3 SPN を作成している。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
950599? (http://support.microsoft.com/kb/950599/ ) SQL Server 2005 Analysis Services または SQL Server 2005 の名前付きインスタンスへの接続を確立する際に SQL Server Browser サービスの SPN が必要である

注 : [統合 Windows 認証を使用する (再起動が必要)] オプションは、[インターネットオプション] ダイアログボックスの [詳細設定] タブの [セキュリティ] の下にあります。この設定を有効にするために、コンピュータの再起動が必要となることがあります。

先頭へ戻る

IIS を実行しているコンピュータの設定を構成する

ダブルホップ認証シナリオで IIS を実行しているコンピュータについて、以下の条件を満たしていることを確認します。

Web サイト、またはクライアント Web アプリケーションに対して作成された仮想ディレクトリについて、IIS で以下の設定が構成されている。
- ディレクトリセキュリティの認証方法が [統合 Windows 認証] または [基本認証] に設定されている。
- アプリケーション保護レベルが [高 (分離プロセス)] に設定されている。
Web サイト、またはクライアント Web アプリケーションに対して作成された仮想ディレクトリについて、以下のコンポーネントサービス設定が構成されている。
- COM+ パッケージの偽装レベルが [委任する] に設定されている。偽装レベルの設定方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
  http://msdn2.microsoft.com/ja-jp/library/ms681722.aspx (http://msdn2.microsoft.com/ja-jp/library/ms681722.aspx)
- COM+ パッケージのアプリケーション ID として、[アカウントは委任に対して信頼されている] チェックボックスがオンになっている Windows ドメインアカウントが設定されている。アプリケーション ID の設定方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
  http://msdn2.microsoft.com/ja-jp/library/ms681314.aspx (http://msdn2.microsoft.com/ja-jp/library/ms681314.aspx)
Analysis Services サーバーに接続するために Analysis Services クライアントコンピュータで使用される接続文字列に、SSPI= Kerberos パラメータが含まれている。
接続文字列のデータソース名が完全修飾ドメイン名 (FQDN) または NETBIOS 名のいずれかである。たとえば、FQDN は myhost.mydomain.com、NETBIOS 名は myHostName の形式です。数値で IP アドレスを指定した場合、Kerberos 認証は無効になります。
IIS を実行するコンピュータの SPN を作成して登録している。作成する必要がある SPN は、コンピュータ名またはホスト名と、IIS のアプリケーションプール ID によって異なります。 IIS を実行しているコンピュータの SPN を作成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
929650? (http://support.microsoft.com/kb/929650/ ) IIS 6.0 でホストされている Web アプリケーションを構成する場合の SPN の使用方法
setspn -A http/IISComputerName IISComputerName
IIS を実行しているコンピュータの SPN を手動で登録するには、「Kerberos 認証プロトコルを使用するように Analysis Services サーバーを構成する」の手順を実行します。
IIS サーバーでネゴシエート認証プロバイダを有効にして、Kerberos 認証を許可している。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
215383? (http://support.microsoft.com/kb/215383/ ) ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法
Kerberos クライアントの時計とドメインコントローラの時計を可能な限り厳密に同期している。最大時間差の詳細については、以下のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/ja-jp/library/cc779260.aspx (http://technet.microsoft.com/ja-jp/library/cc779260.aspx)

これらの手順をすべて確認しても Kerberos を使用できない場合は、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている手順を実行して、システムイベントログからトラブルシューティング情報を収集してください。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

262177? (http://support.microsoft.com/kb/262177/ ) Kerberos イベントログを有効にする方法

先頭へ戻る

関連情報

Kerberos 認証を使用するように SQL Server 2000 Analysis サーバーコンピュータを構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

828280? (http://support.microsoft.com/kb/828280/ ) Kerberos 認証を使用するように SQL Server 2000 Analysis Services のインスタンスを構成する方法

このトピックに関する TechNet Support WebCast の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

916962? (http://support.microsoft.com/kb/916962/ ) [TechNet Support WebCast] Kerberos 認証用に Microsoft SQL Server 2005 Analysis Services を構成する

中間層のコンピュータに Microsoft SharePoint Portal Server がインストールされている場合、NTLM 認証のみを許可するように仮想ディレクトリを構成することができます。仮想ディレクトリでネゴシエート (Kerberos) 認証を有効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

832769? (http://support.microsoft.com/kb/832769/ ) Kerberos 認証を使用するように Windows SharePoint Services の仮想サーバーを構成する方法および Kerberos 認証から NTLM 認証に戻す方法

先頭へ戻る

この資料は以下の製品について記述したものです。

Microsoft SQL Server 2008 Analysis Services
Microsoft SQL Server 2005 Analysis Services

先頭へ戻る

kbexpertiseadvanced kbsql2005as kbhowto KB917409

先頭へ戻る

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"