SharePoint Server 2013 の環境で、専用の分散キャッシュ サーバーを使用する場合、NTLM 認証要求が多数発生することがあります

現象

SharePoint Server 2013 の環境で、分散キャッシュ サービスを実行するサーバーと Web サーバーが分離されている場合、または分散キャッシュサービスが実行されている Web サーバーがファーム内に複数存在する場合、ドメイン コントローラーに対して、NTLM 認証要求が多数発生することがあります。この現象は、ファーム内に 1 台の Web サーバーがあり、そのサーバーだけが分散キャッシュ サービスを実行している場合には発生しません。

原因

SharePoint Server 2013 では、ログオントークン、フィードの情報など複数の情報を、分散キャッシュに保存し、SharePoint 2013 から頻繁にアクセスを行います。分散キャッシュ サービスを実行するサーバーと Web サーバーが分離されている場合、または分散キャッシュ サービスが実行されている Web サーバーがファーム内に複数存在する環境では、SharePoint 2013 からリモートの分散キャッシュ サービスをホストするサーバーに対する通信が発生します。この通信の中で、SharePoint  2013 は Kerberos 認証方式を使用して分散キャッシュ サービスにアクセスを行いますが、既定の設定では分散キャッシュ サービスのサービス プリンシパル名 (SPN) は登録されていません。

そのため、SharePoint サーバーからリモートの分散キャッシュ サービスに通信を行う際、KDC_ERR_S_PRINCIPAL_UNKNOWN エラーが返されることにより認証方式は NTLM にフォールバックされ、ドメイン コントローラーに対する NTLM 認証要求が多数発生します。

解決方法

本現象を回避するには、以下のどちらかの方法で分散キャッシュ サービス (AppFabric) のサービス プリンシパル名 (SPN) を登録します。

1. setspn.exe コマンドで登録する
2. ADSI エディターで登録する


1. setspn.exe コマンドで登録する
--------------------------------------
1). ドメイン コントローラー上で、コマンド プロンプトを管理者権限で起動します
2). 以下のコマンドを実行します。分散キャッシュ サービスを複数のサーバーで実行している場合には、各サーバーに対して実行します

setspn.exe –A AppFabricCachingService/<分散キャッシュ サービスを実行するサーバーのホスト名>:22233 <AppFabric サービス アカウント>
setspn.exe –A AppFabricCachingService/<分散キャッシュ サービスを実行するサーバーの完全修飾名(FQDN)>:22233 <AppFabric サービス アカウント>

以下の環境下での実行例を示します:
分散キャッシュ サービスを実行するサーバー名 : appfab.contoso.local
分散キャッシュ サービス アカウント名 : contoso\appfabserviceaccount

setspn.exe –A AppFabricCachingService/appfab:22233 contoso\appfabserviceaccount
setspn.exe –A AppFabricCachingService/appfab.contoso.local:22233 contoso\appfabserviceaccount


2. ADSI エディターで登録する
-----------------------------------------
管理ツールを利用して操作する場合には、以下を実施します。

1). ドメイン コントローラーにログインし、[スタート] – [管理ツール] – [ADSI エディター] を選択します
2). ADSI エディター ウィンドウで、[操作] – [接続] を選択し、[OK] を選択します。
3). 画面左のナビゲーション ツリーを展開し、AppFabric サービス アカウントを右クリック – [プロパティ] を選択します。
4). servicePrincipalName 属性を選択し、[編集] を選択します。
5). 複数値の文字列エディターで、下記のサービス プリンシパル名を追加します。分散キャッシュ サービスを複数のサーバーで実行している場合には、各サーバーに対して追加します

<分散キャッシュ サービスを実行するサーバーのホスト名>:22233
<分散キャッシュ サービスを実行するサーバーの完全修飾名(FQDN)>:22233

以下の環境下での実行例を示します:
分散キャッシュ サービスを実行するサーバー名 : appfab.contoso.local
AppFabricCachingService/appfab:22233
AppFabricCachingService/appfab.contoso.local:22233
プロパティ

文書番号:2956321 - 最終更新日: 2016/09/29 - リビジョン: 1

フィードバック