FIX、ドメイン ユーザー アカウントの Kerberos の制約付き委任を使用すると、SQL Server 2005 フェールオーバー クラスターを構成する場合は、SQL Server エージェントを開始できないことがあります。

文書翻訳 文書翻訳
文書番号: 956378
バグ: # 50002978 (SQL 修正プログラム)
Microsoft Microsoft SQL Server 2005年修正プログラム 1 つのダウンロード ファイルとして配布しています。修正プログラムは累積的であるため、各新しいリリースすべての修正プログラムが含まれているし、以前の SQL Server 2005 に含まれていたすべてのセキュリティ修正プログラム リリースを修正します。
すべて展開する | すべて折りたたむ

目次

現象

次のシナリオを検討してください。
  • 「Kerberos 委任ドメイン ユーザー アカウントの制限」を使用するのには、Microsoft SQL Server 2005年のフェールオーバー クラスターを構成します。

    メモ 「Kerberos 委任を制約」を使用して、ユーザーに、"指定されたサービスのみへの委任でこのユーザーを信頼する] オプションを使用することを意味します。
  • ドメイン ユーザー アカウントにドメイン管理者のアクセス許可がありません。
  • SQL Server サービスとは、SQL Server エージェント サービスの両方をドメイン ユーザー アカウントで実行しています。
  • SQL Server 2005 Service Pack 2 (SP2) の累積的な更新 3 または後で累積的な更新プログラムを適用します。
このシナリオでは、SQL Server エージェントを開始できない可能性があり、次のエラー メッセージのいずれかが表示されることがあります。

エラー メッセージ 1
<date time="">- ![298] SQLServer エラー: 22022、CryptUnprotectData() のエラー-2146892987、' は、要求された操作を完了できません。コンピューターが委任に対して信頼される必要があり、現在のユーザー アカウントは、委任を許可するように構成する必要があります '。[SQLSTATE 42000]</date>
<date time=""></date> - ![442] ConnConnectAndSetCryptoForXpstar (0) に失敗しました。
<date time=""></date> - ?[098] SQLServerAgent が終了 (正常)

エラー メッセージ 2
<date time=""></date> - ![298] SQLServer エラー: 22022、CryptUnprotectData() の-2146893813、'は無効なキーを指定した状態を使用します' のエラーを返しました。[SQLSTATE 42000]
<date time=""></date> - ![442] ConnConnectAndSetCryptoForXpstar (0) に失敗しました。
<date time=""></date> - ?[098] SQLServerAgent が終了 (正常)

解決方法

累積的な更新プログラムの情報

この問題に対する修正は累積的な更新プログラム 9 で初めてリリースされました。この累積的な更新プログラム パッケージを SQL Server 2005 Service Pack 2 を入手する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
953752 SQL Server 2005 Service Pack 2 用の累積的な更新プログラム パッケージ 9
メモ ビルドは累積的であるため、新しい修正プログラム リリースすべての修正プログラムが含まれているし、以前の SQL Server 2005 に含まれていたすべてのセキュリティ修正プログラム リリースを修正します。マイクロソフトはこの修正プログラムを含む最新の修正プログラム リリースを適用を検討することをお勧めします。詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
937137 SQL Server 2005 Service Pack 2 のリリース以降後にリリースされた、SQL Server 2005 のビルドします。
特定の SQL Server のサービス パックの Microsoft SQL Server 2005年の修正プログラムが作成されます。SQL Server 2005 Service Pack 2 のインストールに SQL Server 2005 Service Pack 2 修正プログラムを適用する必要があります。既定では、SQL Server サービス パックで提供されている修正プログラム SQL Server の次の service pack に含まれてです。

回避策

Windows Server 2003 では、SQL Server 2005 の累積的な更新プログラム 3 またはそれ以降の累積的な更新を累積的な更新プログラム 9 をインストールした、クラスター化されたサーバー環境で制約付き委任を使用するには、次の手順をに従ってください。
  1. Active Directory ドメインの機能レベルの設定をかどうかを確認します。 Windows Server 2003.この設定を確認するには、Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) を開き、ドメイン ノードを右クリックし、クリックしてください プロパティ.

    メモ 場合は、 ドメインの機能レベル フィールドが表示されません。 Windows Server 2003、制約付き委任を使用することはできません。この例では、このメソッドは適用されません。は、 委任 以下に記載されているタブは利用できません。
  2. SETSPN ユーティリティは、サービス プリンシパル名 (Spn) を作成する手順 3 SQL Server Books Online「方法に:: を有効にする Kerberos 認証では、SQL Server フェールオーバー クラスター」のトピックの指示に従って MSSQLSvc サービス. します。この操作では、4 つすべての SPN 組み合わせを実行する必要があります。これらの組み合わせは次のとおりです。
    • MSSQLSvc/NETBIOSName
    • MSSQLSvc/FQDN
    • MSSQLSvc/NETBIOSName:Port
    • MSSQLSvc/FQDN:Port
    SETSPN ユーティリティを入手する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
    926027Windows Server 2003 Service Pack 2 に更新するには、Windows Server 2003 サポート ツールが含まれています。
  3. SQL Server 2005 のサービス アカウントの委任を設定します。これを行うには、次の手順を実行します。
    1. Active Directory ユーザーとコンピューター MMC を開きます。
    2. SQL Server サービスを実行する、ユーザー アカウント オブジェクトを検索する、ユーザー アカウントを右クリックし、クリックしてください プロパティ.
    3. で、 プロパティ ダイアログ ボックスをクリックして、 委任 タブします。
    4. 選択、 指定されたサービスのみへの委任でこのユーザーを信頼します。 オプション ボタン。
    5. 選択するか、 Kerberos のみを使用します。 ラジオ ボタンまたは 任意の認証プロトコルを使用します。 オプション ボタン。
    6. クリックしてください。 追加 .
    7. で、 サービスを追加します。 ダイアログ ボックス、クリックして ユーザーまたはコンピューター.
    8. で、 ユーザーまたはコンピューターを選択します。 ダイアログ ボックスで、SQL Server のサービスを実行しているは、ユーザー アカウントを入力、 オブジェクト名 ボックスとクリック [OK].

      メモ これは、手順 2 で作成したアカウントです。
    9. クリックしてください。 すべてを選択します。、し [OK] で、 サービスを追加します。 ダイアログ ボックスです。
    10. で、 プロパティ ダイアログ ボックス、クリックして [OK].
  4. SQL Server 仮想マシンのコンピューター アカウントに対して委任を設定します。アカウント SQL Server のクラスター リソース グループのネットワーク名リソースです。これを行うには、次の手順を実行します。
    1. Active Directory ユーザーとコンピューター MMC を開きます。
    2. SQL Server 仮想マシンのコンピューター アカウント オブジェクトを検索、コンピューター アカウントを右クリックし、クリックしてください プロパティ.
    3. で、 プロパティ ダイアログ ボックスをクリックして、 委任 タブします。
    4. 選択、 指定されたサービスのみへの委任でこのユーザーを信頼します。 オプション ボタン。
    5. 選択するか、 Kerberos のみを使用します。 ラジオ ボタンまたは 任意の認証プロトコルを使用します。 オプション ボタン。
    6. クリックしてください。 追加 .
    7. で、 サービスを追加します。 ダイアログ ボックス、クリックして ユーザーまたはコンピューター.
    8. で、 ユーザーまたはコンピューターを選択します。 ダイアログ ボックスで、SQL Server のサービスを実行しているは、ユーザー アカウントを入力、 オブジェクト名 ボックスとクリック [OK].

      メモ これは、手順 2 で作成したアカウントです。
    9. クリックしてください。 すべてを選択します。、し [OK] で、 サービスを追加します。 ダイアログ ボックスです。
    10. で、 プロパティ ダイアログボックスで、をクリックしてください [OK].
  5. 委任、クラスターの各クラスター内のノードのコンピューター アカウントを設定します。これを行うには、次の手順を実行します。
    1. Active Directory ユーザーとコンピューター MMC を開きます。
    2. いずれかのクラスター ノードのコンピューター アカウント オブジェクトを検索するには、アカウントを右クリックし、クリックしてください プロパティ.
    3. で、 プロパティ ダイアログ ボックスをクリックして、 委任 タブします。
    4. 選択、 指定されたサービスのみへの委任でこのユーザーを信頼します。 オプション ボタン。
    5. 選択、 任意の認証プロトコルを使用します。 オプション ボタン。
    6. クリックしてください。 追加 .
    7. で、 サービスを追加します。 ダイアログ ボックス、クリックして ユーザーまたはコンピューター.
    8. で、 ユーザーまたはコンピューターを選択します。 ダイアログ ボックスで、種類がこのドメイン内のすべてのドメイン コント ローラーのコンピューター アカウントをセミコロンで区切らで、 オブジェクト名 ボックスとクリック [OK]
    9. 利用可能なサービスの一覧で、選択、 cifs サービスとは protectedstorage 手順 h で、記載されているしをクリックして、[すべてのドメイン コント ローラーのサービス [OK] で、 サービスを追加します。 ダイアログ ボックスです。
    10. で、 プロパティ ダイアログ ボックス、クリックして [OK].
  6. すべてのクラスター ノードを再起動します。

状況

マイクロソフトでは、この「対象」に記載されているマイクロソフト製品の問題として認識しています。

詳細

変更されるファイルの詳細については、この Knowledge Base 資料に記載されている修正プログラムを含む累積的な更新プログラム パッケージを適用するのには、前提条件の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
953752 SQL Server 2005 Service Pack 2 用の累積的な更新プログラム パッケージ 9


SQL Server のフェールオーバー クラスター上の Kerberos 認証を有効にする方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/en-us/library/ms189585.aspx

関連情報

SQL Server サービス パック 2 の後の可能なビルドの一覧の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
937137 SQL Server 2005 Service Pack 2 のリリース以降後にリリースされた、SQL Server 2005 のビルドします。
SQL Server の増分サービス モデルの詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
935897 報告された問題に対する修正プログラムを提供するのには、SQL Server チームの増分サービス モデルを利用します。
SQL Server 2005 Service Pack 2 の入手方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
913089 SQL Server 2005 の最新の service pack を入手する方法
新機能と機能強化では、SQL Server 2005 Service Pack 2 の詳細については、次のマイクロソフト Web サイトを参照してください。
http://go.microsoft.com/fwlink/? か。LinkId 71711 =
SQL Server 更新プログラムの名前付けスキーマの詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
822499 Microsoft SQL Server のソフトウェア更新プログラム パッケージの新しい命名方式は
ソフトウェアの更新の用語の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
824684 マイクロソフトのソフトウェア更新プログラムの説明に使用される一般的な用語の説明

プロパティ

文書番号: 956378 - 最終更新日: 2011年7月20日 - リビジョン: 4.0
キーワード:?
kbfix kbqfe kbpubtypekc kbhotfixrollup kbexpertiseadvanced kbsql2005cluster kbmt KB956378 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:956378
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com