現在オフラインです。再接続するためにインターネットの接続を待っています

Kerberos 認証を使用するように SQL Server 2008 Analysis Services および SQL Server 2005 Analysis Services を構成する方法

概要
Microsoft SQL Server 2008 Analysis Services または Microsoft SQL Server 2005 Analysis Services を実行しているコンピュータへの接続が確立され、その接続でダブルホップ認証シナリオが使用される場合は、認証プロトコルとして Kerberos を使用する必要があります。 たとえば、ダブルホップ認証シナリオでは、クライアント コンピュータは Microsoft インターネット インフォメーション サービス (IIS) を実行しているコンピュータにログオン資格情報を渡すことがあります。 IIS を実行しているコンピュータは、次にログオン資格情報を Analysis Services サーバーに渡す必要があります。 実行する必要がある手順は、SQL Server 2000 Analysis Services での手順とは異なります。
はじめに
この資料では、Kerberos 認証を使用するように SQL Server 2008 Analysis Services および SQL Server 2005 Analysis Services を構成する方法について説明します。
詳細

Kerberos 認証プロトコルを使用するように Analysis Services サーバーを構成する

Analysis Services サーバーの Analysis Services サービスについてサービス プリンシパル名 (SPN) を登録します。 Analysis Services サービスが SQL Server 2000 の LocalSystem アカウントのセキュリティ コンテキストで実行されている場合、SPN は自動的に作成されます。 ただし、Analysis Services サービスが LocalSystem アカウント以外のアカウントのセキュリティ コンテキストで実行されている場合は、SQL Server 2000 で SPN を作成する場合と同様に、SQL Server 2008 および SQL Server 2005 で SPN を手動で作成する必要があります。 SPN を作成するには、Microsoft Windows 2000 リソース キットの Setspn.exe ユーティリティを使用します。 このツールは Windows Server 2003 サポート ツールにも含まれています。 Windows Server 2003 サポート ツールは、Windows Server 2003 Service Pack 1 (SP1) に含まれています。

Windows 2000 リソース キットの Setspn ユーティリティをダウンロードするには、以下のマイクロソフト Web サイトにアクセスしてください。 Windows Server 2003 Service Pack 1 のサポート ツールを入手する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
892777 Windows Server 2003 Service Pack 1 のサポート ツール
また、Kerbtray ユーティリティを使用して、使用中である 1 つまたは複数の関連するコンピュータから Kerberos チケットを確認および削除できます。 Kerbtray ユーティリティをダウンロードするには、以下のマイクロソフト Web サイトにアクセスしてください。 Setspn ユーティリティをダウンロードした後、以下の手順を実行します。

: Setspn コマンドを実行するには、Domain Administrators グループのメンバであることが必要です。 Analysis Services のインスタンスがクラスタ化されている場合は、Analysis Services の仮想名を完全修飾ドメイン名 (FQDN) として使用します。
  1. ドメイン アカウントで実行されている Analysis Services サーバーの SPN を作成するには、コマンド プロンプトで以下のコマンドを実行します。
    • Setspn.exe -A MSOLAPSvc.3/Fully_Qualified_domainName OLAP_Service_Startup_Account

      : Fully_Qualified_domainName には、FQDN が入ります。
    • Setspn.exe -A MSOLAPSvc.3/serverHostName OLAP_Service_Startup_Account
  2. LocalSystem アカウントで実行されている Analysis Services サーバーの SPN を作成することが必要な場合は、コマンド プロンプトで以下のコマンドを実行します。
    • Setspn.exe -A MSOLAPSvc.3/Fully_Qualified_domainName serverHostName
    • Setspn.exe -A MSOLAPSvc.3/serverHostName serverHostName
  3. Analysis Services サーバーの SPN が作成されたかどうかを確認するには、コマンド プロンプトで以下のコマンドを実行します。
    Setspn.exe -L OLAP_Service_Startup_AccountSetspn.exe -L serverHostName
    Analysis Services サーバーの SPN が正常に作成された場合、このコマンドの結果は、通常、以下の形式で表示されます。
    MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName MSOLAPSvc.3/serverHostName
: SQL Server 2005 Analysis Services は名前付きインスタンスとして動作できます。 これは、SQL Server 2000 Analysis Services ではサポートされません。 名前付きインスタンスを使用している場合も、同じ手順が適用されます。 ただし、以下の SPN 形式を構成する必要があります。 SQL Server エンジンとは異なり、コロンの後にポートを指定できません。 すべての機能が正常に動作するためには、実際のインスタンス名を使用する必要があります。
MSOLAPSvc.3/serverHostName.Fully_Qualified_domainName:instanceNameMSOLAPSvc.3/serverHostName:instanceName

Active Directory 設定を構成する

Active Directory ディレクトリ サービス設定について、以下の条件をすべて満たしていることを確認します。
  • 委任されるユーザー アカウントについて、[アカウントは重要なので委任できない] チェック ボックスがオフになっている。
  • Analysis Services に接続している中間層のドメイン アカウントについて、[アカウントは委任に対して信頼されている] チェック ボックスがオンになっている。 たとえば、IIS が中間層であり、アプリケーション プールについてドメイン アカウントが使用されている場合は、そのアプリケーション プールのドメイン アカウントの [アカウントは委任に対して信頼されている] チェック ボックスがオンになっていることが必要です。
  • プロセスに関連するすべてのサービスおよび COM+ コンポーネントのアカウントについて、[アカウントは委任に対して信頼されている] チェック ボックスがオンになっている。
  • プロセスに関連するすべてのコンピュータについて、[コンピュータを委任に対して信頼する] チェック ボックスがオンになっている。
: プロセスに関連するすべてのアカウントおよびサーバーは、同じ Active Directory ドメインまたは同じフォレスト内の信頼されるドメインに属している必要があります。 Windows Server 2003 ネイティブ モードのフォレストがある場合、フォレスト間の委任を有効にする方法については、以下のマイクロソフト Web サイトの「フォレストの信頼」を参照してください。

Analysis Services クライアント コンピュータを構成する

Analysis Services クライアント コンピュータについて、以下の条件を満たしていることを確認します。
  • Microsoft Internet Explorer 5.0 以降のバージョンがインストールされている。
  • コンピュータに Internet Explorer 6 がインストールされている場合、セキュリティの [統合 Windows 認証を使用する (再起動が必要)] オプションがオンになっている。
  • Analysis Services が名前付きインスタンスである場合、SQL Browser について MSOLAPDisco.3 SPN を作成している。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    950599 SQL Server 2005 Analysis Services または SQL Server 2005 の名前付きインスタンスへの接続を確立する際に SQL Server Browser サービスの SPN が必要である
: [統合 Windows 認証を使用する (再起動が必要)] オプションは、[インターネット オプション] ダイアログ ボックスの [詳細設定] タブの [セキュリティ] の下にあります。この設定を有効にするために、コンピュータの再起動が必要となることがあります。

IIS を実行しているコンピュータの設定を構成する

ダブルホップ認証シナリオで IIS を実行しているコンピュータについて、以下の条件を満たしていることを確認します。
  • Web サイト、またはクライアント Web アプリケーションに対して作成された仮想ディレクトリについて、IIS で以下の設定が構成されている。
    • ディレクトリ セキュリティの認証方法が [統合 Windows 認証] または [基本認証] に設定されている。
    • アプリケーション保護レベルが [高 (分離プロセス)] に設定されている。
  • Web サイト、またはクライアント Web アプリケーションに対して作成された仮想ディレクトリについて、以下のコンポーネント サービス設定が構成されている。
    • COM+ パッケージの偽装レベルが [委任する] に設定されている。偽装レベルの設定方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
    • COM+ パッケージのアプリケーション ID として、[アカウントは委任に対して信頼されている] チェック ボックスがオンになっている Windows ドメイン アカウントが設定されている。 アプリケーション ID の設定方法の詳細については、以下のマイクロソフト Web サイトを参照してください。
  • Analysis Services サーバーに接続するために Analysis Services クライアント コンピュータで使用される接続文字列に、SSPI= Kerberos パラメータが含まれている。
  • 接続文字列のデータ ソース名が完全修飾ドメイン名 (FQDN) または NETBIOS 名のいずれかである。 たとえば、FQDN は myhost.mydomain.com、NETBIOS 名は myHostName の形式です。 数値で IP アドレスを指定した場合、Kerberos 認証は無効になります。
  • IIS を実行するコンピュータの SPN を作成して登録している。 作成する必要がある SPN は、コンピュータ名またはホスト名と、IIS のアプリケーション プール ID によって異なります。 IIS を実行しているコンピュータの SPN を作成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    929650 IIS 6.0 でホストされている Web アプリケーションを構成する場合の SPN の使用方法
    setspn -A http/IISComputerName IISComputerName
    IIS を実行しているコンピュータの SPN を手動で登録するには、「Kerberos 認証プロトコルを使用するように Analysis Services サーバーを構成する」の手順を実行します。
  • IIS サーバーでネゴシエート認証プロバイダを有効にして、Kerberos 認証を許可している。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    215383 ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法
  • Kerberos クライアントの時計とドメイン コントローラの時計を可能な限り厳密に同期している。 最大時間差の詳細については、以下のマイクロソフト Web サイトを参照してください。
これらの手順をすべて確認しても Kerberos を使用できない場合は、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている手順を実行して、システム イベント ログからトラブルシューティング情報を収集してください。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
262177 Kerberos イベント ログを有効にする方法
関連情報
Kerberos 認証を使用するように SQL Server 2000 Analysis サーバー コンピュータを構成する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
828280 Kerberos 認証を使用するように SQL Server 2000 Analysis Services のインスタンスを構成する方法
このトピックに関する TechNet Support WebCast の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
916962 [TechNet Support WebCast] Kerberos 認証用に Microsoft SQL Server 2005 Analysis Services を構成する
中間層のコンピュータに Microsoft SharePoint Portal Server がインストールされている場合、NTLM 認証のみを許可するように仮想ディレクトリを構成することができます。 仮想ディレクトリでネゴシエート (Kerberos) 認証を有効にする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
832769 Kerberos 認証を使用するように Windows SharePoint Services の仮想サーバーを構成する方法および Kerberos 認証から NTLM 認証に戻す方法
プロパティ

文書番号:917409 - 最終更新日: 05/16/2011 05:04:00 - リビジョン: 7.0

  • kbhowto kbexpertiseadvanced kbsql2005as kbsqlmanagementtools KB917409
フィードバック