SharePoint Server 2013 の環境で、専用の分散キャッシュ サーバーを使用する場合、NTLM 認証要求が多数発生することがあります

現象
SharePoint Server 2013 の環境で、分散キャッシュ サービスを実行するサーバーと Web サーバーが分離されている場合、または分散キャッシュサービスが実行されている Web サーバーがファーム内に複数存在する場合、ドメイン コントローラーに対して、NTLM 認証要求が多数発生することがあります。この現象は、ファーム内に 1 台の Web サーバーがあり、そのサーバーだけが分散キャッシュ サービスを実行している場合には発生しません。
原因
SharePoint Server 2013 では、ログオントークン、フィードの情報など複数の情報を、分散キャッシュに保存し、SharePoint 2013 から頻繁にアクセスを行います。分散キャッシュ サービスを実行するサーバーと Web サーバーが分離されている場合、または分散キャッシュ サービスが実行されている Web サーバーがファーム内に複数存在する環境では、SharePoint 2013 からリモートの分散キャッシュ サービスをホストするサーバーに対する通信が発生します。この通信の中で、SharePoint  2013 は Kerberos 認証方式を使用して分散キャッシュ サービスにアクセスを行いますが、既定の設定では分散キャッシュ サービスのサービス プリンシパル名 (SPN) は登録されていません。

そのため、SharePoint サーバーからリモートの分散キャッシュ サービスに通信を行う際、KDC_ERR_S_PRINCIPAL_UNKNOWN エラーが返されることにより認証方式は NTLM にフォールバックされ、ドメイン コントローラーに対する NTLM 認証要求が多数発生します。
解決方法
本現象を回避するには、以下のどちらかの方法で分散キャッシュ サービス (AppFabric) のサービス プリンシパル名 (SPN) を登録します。

1. setspn.exe コマンドで登録する
2. ADSI エディターで登録する


1. setspn.exe コマンドで登録する
--------------------------------------
1). ドメイン コントローラー上で、コマンド プロンプトを管理者権限で起動します
2). 以下のコマンドを実行します。分散キャッシュ サービスを複数のサーバーで実行している場合には、各サーバーに対して実行します

setspn.exe –A AppFabricCachingService/<分散キャッシュ サービスを実行するサーバーのホスト名>:22233 <AppFabric サービス アカウント>
setspn.exe –A AppFabricCachingService/<分散キャッシュ サービスを実行するサーバーの完全修飾名(FQDN)>:22233 <AppFabric サービス アカウント>

以下の環境下での実行例を示します:
分散キャッシュ サービスを実行するサーバー名 : appfab.contoso.local
分散キャッシュ サービス アカウント名 : contoso\appfabserviceaccount

setspn.exe –A AppFabricCachingService/appfab:22233 contoso\appfabserviceaccount
setspn.exe –A AppFabricCachingService/appfab.contoso.local:22233 contoso\appfabserviceaccount


2. ADSI エディターで登録する
-----------------------------------------
管理ツールを利用して操作する場合には、以下を実施します。

1). ドメイン コントローラーにログインし、[スタート] – [管理ツール] – [ADSI エディター] を選択します
2). ADSI エディター ウィンドウで、[操作] – [接続] を選択し、[OK] を選択します。
3). 画面左のナビゲーション ツリーを展開し、AppFabric サービス アカウントを右クリック – [プロパティ] を選択します。
4). servicePrincipalName 属性を選択し、[編集] を選択します。
5). 複数値の文字列エディターで、下記のサービス プリンシパル名を追加します。分散キャッシュ サービスを複数のサーバーで実行している場合には、各サーバーに対して追加します

<分散キャッシュ サービスを実行するサーバーのホスト名>:22233
<分散キャッシュ サービスを実行するサーバーの完全修飾名(FQDN)>:22233

以下の環境下での実行例を示します:
分散キャッシュ サービスを実行するサーバー名 : appfab.contoso.local
AppFabricCachingService/appfab:22233
AppFabricCachingService/appfab.contoso.local:22233
状況
関連情報
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2956321 - 最終更新日: 09/20/2016 13:25:00 - リビジョン: 2.0

  • kbtshoot kbexpertiseadvanced KB2956321
フィードバック