Kerberos 認証を構成する (Office SharePoint Server)

  • [アーティクル]

この記事の内容 :

  • Kerberos 認証について

  • はじめに

  • SQL 通信の Kerberos 認証を構成する

  • サービス プリンシパル名にポート番号を含めるように Internet Explorer を構成する

  • Kerberos 認証を使用して Web アプリケーションのサービス プリンシパル名を作成する

  • サーバー ファームを展開する

  • ファーム内のサーバーのサービスを構成する

  • Kerberos 認証を使用して Web アプリケーションを作成する

  • ポータル サイトの Web アプリケーションでグループ作業ポータル テンプレートを使用してサイト コレクションを作成する

  • ファームの共有サービス プロバイダを作成する

  • Kerberos 認証を使用して Web アプリケーションに正しくアクセスできることを確認する

  • 検索インデックスが正しく機能していることを確認する

  • 検索クエリが正しく機能していることを確認する

  • Kerberos 認証の SSP インフラストラクチャを構成する

  • Active Directory の SSP サービス アカウントで新しいカスタム形式の SPN を登録する

  • Stsadm コマンドライン ツールを使用して Kerberos 認証を使用するように SSP インフラストラクチャを設定する

  • Office SharePoint Server を実行しているすべてのサーバーに新しいレジストリ キーを追加して、新しいカスタム形式の SPN の生成を有効にする

  • ルート レベルの共有サービス アクセスの Kerberos 認証を確認する

  • 仮想ディレクトリ レベルの共有サービス アクセスの Kerberos 認証を確認する

  • 構成の制限

  • 追加のリソースとトラブルシューティングのガイダンス

Kerberos 認証について

Kerberos は、チケット認証をサポートする安全なプロトコルです。Kerberos 認証サーバーは、有効なユーザー資格情報とサービス プリンシパル名 (SPN) がクライアント コンピュータ認証要求に含まれている場合、その要求に応じてチケットを発行します。クライアント コンピュータは、そのチケットを使用してネットワーク リソースにアクセスします。Kerberos 認証を有効にするには、クライアント コンピュータおよびサーバー コンピュータが、ドメインのキー配布センター (KDC) への信頼関係接続を保持していることが必要です。KDC は、共有秘密キーを配布して暗号化を有効にします。さらに、クライアント コンピュータおよびサーバー コンピュータは、Active Directory ディレクトリ サービスにアクセスできる必要があります。Active Directory では、フォレスト ルート ドメインが Kerberos 認証参照の中心となります。

Kerberos 認証を使用して、Microsoft Office SharePoint Server 2007 を実行しているサーバー ファームを展開するには、コンピュータにさまざまなアプリケーションをインストールして構成する必要があります。この記事では、Office SharePoint Server 2007 を実行しているサーバー ファームの例を示し、Kerberos 認証を使用して次の機能をサポートするようにサーバー ファームを展開および構成するためのガイダンスを示します。

  • Office SharePoint Server 2007 と Microsoft SQL Server データベース ソフトウェア間の通信。

  • SharePoint サーバーの全体管理 Web アプリケーションへのアクセス。

  • ポータル サイト Web アプリケーション、個人用サイト Web アプリケーション、および SSP 管理サイト Web アプリケーションを含む、その他の Web アプリケーションへのアクセス。

  • Office SharePoint Server 2007 共有サービス プロバイダ (SSP) インフラストラクチャ内の Office SharePoint Server 2007 Web アプリケーションの共有サービスへのアクセス。

はじめに

この記事は、次に関する知識を持っている管理レベルの担当者を対象としています。

  • Windows Server 2003

  • Active Directory

  • インターネット インフォメーション サービス (IIS) 6.0 (または IIS 7.0)

  • Windows SharePoint Services 3.0

  • Office SharePoint Server 2007

  • Windows Internet Explorer

  • Kerberos 認証 (Windows Server 2003 の Active Directory での実装)

  • Windows Server 2003 でのネットワーク負荷分散 (NLB)

  • Active Directory ドメインでのコンピュータ アカウント

  • Active Directory ドメインでのユーザー アカウント

  • IIS Web サイトと、そのバインドおよび認証の設定

  • IIS Web サイトの IIS アプリケーション プール ID

  • SharePoint 製品とテクノロジ構成ウィザード

  • Windows SharePoint Services 3.0 および Office SharePoint Server 2007 Web アプリケーション

  • サーバーの全体管理ページ

  • サービス プリンシパル名 (SPN) および Active Directory ドメインで SPN を構成する方法

重要

Active Directory ドメインで SPN を作成するには、ドメイン管理者レベルのアクセス許可を持っている必要があります。

Office SharePoint Server 2007 の SSP インフラストラクチャでの Kerberos 認証には、Microsoft Office Servers インフラストラクチャ更新プログラムのインストールが必要です。

注意

SSP は、Web アプリケーションとそれらに関連する Web サイトに提供できる、一連のサービスおよびサービス データの論理グループです。SSP インフラストラクチャにより、サーバー ファーム、Web アプリケーション、およびサイト コレクション間でサービスを共有できるようになります。Office Server Web Services Web サイトは SSP インフラストラクチャです。SSP インフラストラクチャは、[完全] インストール オプションを使用して展開される Office SharePoint Server 2007 を実行している任意のサーバー上に存在します。Kerberos 認証は、Microsoft Office Servers インフラストラクチャ更新プログラムがインストールされていないと、Office Server Web Services Web サイトで機能しません。

この記事では、Kerberos 認証の詳細については説明しません。Kerberos は業界標準の認証方法であり、Active Directory に実装されています。

この記事では、Office SharePoint Server 2007 のインストール、または SharePoint 製品とテクノロジ構成ウィザードの使用に関する具体的な手順は示しません。

この記事では、サーバーの全体管理を使用して Office SharePoint Server 2007 Web アプリケーションを作成するための具体的な手順は示しません。

ソフトウェアのバージョンに関する要件

この記事のガイダンスおよびこのガイダンスを確認するために実行するテストは、Windows Server 2003 および Windows Update サイト (http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ja-jp) から最新の更新プログラムを適用した Internet Explorer を実行しているシステムを使用した結果に基づいています。インストールされているソフトウェアのバージョンは次のとおりです。

さらに、Active Directory ドメイン コントローラで、Windows Update サイト (http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ja-jp) から最新の更新プログラムを適用した Windows Server 2003 SP2 を実行していることを確認する必要があります。

既知の問題

Microsoft Office Servers インフラストラクチャ更新プログラムがインストールされていないと、Kerberos 認証を Office SharePoint Server 2007 の SSP インフラストラクチャで機能するように構成できません。したがって、Microsoft Office Servers インフラストラクチャ更新プログラムをインストールしていない場合は、SSP インフラストラクチャでの Kerberos 認証の構成に関するこの記事のガイダンスは無視してください。

Kerberos 認証を使用するように構成されている Web アプリケーションが、既定のポート (TCP ポート 80 および Secure Sockets Layer (SSL) ポート 443) にバインドされた IIS 仮想サーバー上にホストされている場合、Office SharePoint Server 2007 は、それらの Web アプリケーションをクロールできます。ただし、Kerberos 認証を使用するように構成されている Office SharePoint Server 2007 Web アプリケーションが、既定以外のポート (TCP ポート 80 および Secure Sockets Layer (SSL) ポート 443 以外のポート) にバインドされた IIS 仮想サーバー上にホストされている場合、Office SharePoint Server 2007 Search は、それらの Web アプリケーションをクロールできません。現時点で Office SharePoint Server 2007 Search がクロールできるのは、NTLM 認証または基本認証のどちらかを使用するように構成されている、既定以外のポートにバインドされた IIS 仮想サーバー上にホストされている Office SharePoint Server 2007 Web アプリケーションだけです。

Kerberos 認証を使用したエンド ユーザーのアクセスのために、既定以外のポートにバインドされた IIS 仮想サーバー上にしかホストできない Web アプリケーションを展開する必要があり、エンド ユーザーがクエリ結果を取得できるようにする場合は、次のことが必要になります。

  • 既定以外のポートを使用する他の IIS 仮想サーバー上に、同じ Web アプリケーションがホストされている必要があります。

  • Web アプリケーションは、NTLM 認証または基本認証のどちらかを使用するように構成されている必要があります。

  • 検索インデックスは、NTLM 認証または基本認証を使用して Web アプリケーションをクロールする必要があります。

この記事では、次の内容に関するガイダンスを示します。

  • 既定以外のポートにバインドされた IIS 仮想サーバー上にホストされているサーバーの全体管理 Web アプリケーションを、Kerberos 認証を使用して構成する。

  • 既定のポートにバインドされ、IIS ホスト ヘッダー バインドを持つ IIS 仮想サーバー上にホストされているポータル アプリケーション、個人用アプリケーション、および共有サービスを、Kerberos 認証を使用して構成する。

  • 検索インデックスが、Kerberos 認証を使用して正しく Office SharePoint Server 2007 Web アプリケーションをクロールできるようにする。

  • Kerberos 認証された Web アプリケーションにアクセスするユーザーが、それらの Web アプリケーションの検索クエリ結果を正しく取得できるようにする。

  • SSP インフラストラクチャに対して Kerberos 認証を構成する (Microsoft Office Servers インフラストラクチャ更新プログラムがインストールされている場合)。

追加の背景情報

Kerberos 認証を使用するときは、Kerberos を使用して認証を行おうとしているクライアントの動作が、正確な認証機能の条件の 1 つとなることを理解するのが重要です。Kerberos 認証を使用する Office SharePoint Server 2007 ファームの展開では、Office SharePoint Server 2007 はクライアントではありません。Kerberos 認証を使用して Office SharePoint Server 2007 を実行するサーバー ファームを展開する前に、次のクライアントの動作について理解する必要があります。

  • ブラウザ (この記事では、ブラウザは常に Windows Internet Explorer です)。

  • Microsoft .NET Framework。

ブラウザは、Office SharePoint Server 2007 Web アプリケーションで Web ページを参照するときに使用されるクライアントです。Office SharePoint Server 2007 が、Office SharePoint Server 2007 のローカル コンテンツ ソースをクロールする SSP 認証を呼び出すなどのタスクを実行するときは, .NET Framework がクライアントとして機能します。

Kerberos 認証が正しく機能するためには、Active Directory で SPN を作成する必要があります。これらの SPN が対応するサービスが、既定以外のポートでリッスンしている場合、SPN にはポート番号を含める必要があります。これは、SPN を意味のあるものとするためです。また、重複した SPN の作成を防ぐ目的もあります。

クライアント (Internet Explorer または .NET Framework) が、Kerberos 認証を使用してリソースにアクセスしようとするときは、Kerberos 認証プロセスの一部として使用される SPN をクライアントが構築する必要があります。Active Directory で構成された SPN に一致する SPN をクライアントが構築しない場合、Kerberos 認証は失敗し、通常は "アクセス拒否" エラーが発生します。

Internet Explorer のバージョンによっては、ポート番号を含む SPN を構築できないことがあります。IIS で既定以外のポート番号にバインドされた Office SharePoint Server 2007 Web アプリケーションを使用している場合、作成する SPN にポート番号を含めるように Internet Explorer で指定することが必要になる場合があります。Office SharePoint Server 2007 を実行しているファームでは、サーバーの全体管理 Web アプリケーションは、既定で、既定以外のポートにバインドされた IIS 仮想サーバーによってホストされます。そのため、この記事では、IIS ポートにバインドされた Web サイトと IIS ホスト ヘッダーにバインドされた Web サイトの両方について説明し、SPN にポート番号を含めるように Internet Explorer に指定するための手順へのリンクを示します。

Office SharePoint Server 2007 を実行しているファームでは、既定で .NET Framework はポート番号を含む SPN を構築しません。これが、既定以外のポートにバインドされた IIS 仮想サーバー上に Web アプリケーションがホストされていると、Kerberos 認証を使用して Web アプリケーションを検索でクロールできない理由です。また、Microsoft Office Servers インフラストラクチャ更新プログラムがインストールされていないと、SSP インフラストラクチャに対して Kerberos 認証を正しく構成し、機能するようにできない理由でもあります。

サーバー ファームのトポロジ

この記事では、Office SharePoint Server 2007 のサーバー ファームの次のトポロジについて説明します。

  • Windows NLB が構成され、フロントエンド Web サーバーとして機能している Windows Server 2003 を実行している 2 台のコンピュータ。

  • アプリケーション サーバーとして機能している Windows Server 2003 を実行している 3 台のコンピュータ。アプリケーション サーバーの 1 台は、サーバーの全体管理 Web アプリケーションをホストしています。2 台目のアプリケーション サーバーは検索クエリを実行しており、3 台目のアプリケーション サーバーは検索インデックスを実行しています。

  • Office SharePoint Server 2007 を実行しているファームの SQL ホストとして使用されており、Windows Server 2003 を実行している 1 台のコンピュータ。この記事のシナリオでは、Microsoft SQL Server 2000 SP4 または Microsoft SQL Server 2005 SP2 を使用できます。

この記事では、ファームで 1 つの SSP を構成するためのガイダンスを示します。

Active Directory、コンピュータの名前、および NLB の命名規則

この記事のシナリオでは、Active Directory、コンピュータの名前、および NLB に関して次の命名規則を使用します。

サーバーの役割 ドメイン名

Active Directory

mydomain.net

Office SharePoint Server 2007 を実行しているフロントエンド Web サーバー

mossfe1.mydomain.net

Office SharePoint Server 2007 を実行しているフロントエンド Web サーバー

mossfe2.mydomain.net

Office SharePoint Server 2007 サーバーの全体管理

mossadmin.mydomain.net

Office SharePoint Server 2007 を実行している検索インデックス

mosscrawl.mydomain.net

Office SharePoint Server 2007 を実行している検索クエリ

mossquery.mydomain.net

Office SharePoint Server 2007 を実行している SQL Server ホスト

mosssql.mydomain.net

mossfe1.mydomain.net および mossfe2.mydomain.net で NLB を構成すると、これらのシステムに NLB VIP が割り当てられます。このアドレスをポイントする一連の DNS ホスト名が DNS システムに登録されます。たとえば、NLB VIP が 192.168.100.200 である場合、次の DNS 名をこの IP アドレス (192.168.100.200) に解決する一連の DNS レコードがあります。

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

  • kerbsspadmin.mydomain.net

Active Directory ドメイン アカウントの命名規則

この記事の例では、Office SharePoint Server 2007 を実行しているファームに使用されるサービス アカウントおよびアプリケーション プール ID で、次の表に示す命名規則を使用しています。

ドメイン アカウントまたはアプリケーション プール ID 名前

ローカル管理者のアカウント

  • Office SharePoint Server 2007 を実行しているすべてのサーバー (SQL Server を実行しているホスト コンピュータを除く)

  • Office SharePoint Server 2007 のセットアップおよび SharePoint 製品とテクノロジ構成ウィザードを実行するユーザー

MYDOMAIN\pscexec

SQL Server のホスト コンピュータのローカル管理者アカウント

mydomain\sqladmin

SQL ホストで SQL Server サービスを実行するために使用される SQL Server サービス アカウント

mydomain\mosssqlsvc

Office SharePoint Server 2007 のファーム管理者アカウント

mydomain\mossfarmadmin

これは、サーバーの全体管理のアプリケーション プール ID、および SharePoint Timer Service のサービス アカウントとして使用されます。

ポータル サイト Web アプリケーションの Office SharePoint Server 2007 アプリケーション プール ID

mydomain\portalpool

個人用サイト Web アプリケーションの Office SharePoint Server 2007 アプリケーション プール ID

mydomain\mysitepool

共有サービス管理 Web サイトの Office SharePoint Server 2007 アプリケーション プール ID

mydomain\sspadminpool

Office SharePoint Server 2007 SSP サービス アカウント

mydomain\sspsvc

Windows SharePoint Services 3.0 Search サービス アカウント

mydomain\wsssearch

Windows SharePoint Services 3.0 Search コンテンツ アクセス アカウント

mydomain\wsscrawl

Office SharePoint Server 2007 Search サービス アカウント

mydomain\mosssearch

Office SharePoint Server 2007 コンテンツ アクセス アカウント

mydomain\mosscrawl

準備段階の構成要件

サーバー ファーム内のコンピュータに Office SharePoint Server 2007 をインストールする前に、次の手順を実行済みであることを確認します。

  • SQL ホストを含む、ファームで使用されるすべてのサーバーは、Windows Update サイト (http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ja-jp) から最新の更新プログラムを適用した Windows Server 2003 SP2 を使用してセットアップされている。

  • ファーム内のすべてのサーバーには、Windows Update サイト (http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ja-jp) から Internet Explorer 7 (および最新の更新プログラム) がインストールされている。

  • SQL Server (SQL Server 2000 SP4 または SQL Server 2005 SP2) が SQL ホスト コンピュータにインストールされ実行されている。また、SQL Server サービスがアカウント mydomain\sqlsvc として実行されている。SQL Server の既定のインスタンスがインストールされ、TCP ポート 1433 でリッスンしている。

  • SharePoint 製品とテクノロジ構成ウィザードを実行するユーザーが次のように追加されている。

    • SQL ホストで SQL ログインとして追加。

    • SQL ホストの SQL Server DBCreators ロールに追加。

    • SQL ホストの SQL Server Security Administrators ロールに追加。

SQL 通信の Kerberos 認証を構成する

Office SharePoint Server 2007 を実行するサーバーに Office SharePoint Server 2007 をインストールして構成する前に、SQL 通信の Kerberos 認証を構成します。この操作が必要となるのは、Office SharePoint Server 2007 を実行するコンピュータが SQL サーバーに接続できるようにするには、SQL 通信の Kerberos 認証を構成し、機能することを確認する必要があるためです。

Windows Server 2003 を実行しているホスト コンピュータにインストールされている任意のサービスに対して Kerberos 認証を構成するプロセスには、ホストでサービスを実行するために使用されるドメイン アカウントに対して SPN を作成することが含まれます。SPN は次のパーツで構成されます。

  • サービス名 (たとえば、MSSQLSvc または HTTP)

  • (実際または仮想の) ホスト名

  • ポート番号

次の一覧には、mosssql というコンピュータで実行され、ポート 1433 でリッスンしている SQL Server の既定のインスタンスでの SPN の例が含まれています。

  • MSSQLSvc/mosssql:1433

  • MSSQLSvc/mosssql.mydomain.com:1433

これらの SPN は、この記事で示すファームで使用される SQL ホスト上で SQL Server のインスタンス用に作成します。ネットワークのホストに対して、必ず NetBIOS 名と完全な DNS 名の両方を持つ SPN を作成する必要があります。

Active Directory ドメインでアカウントに SPN を設定するには、さまざまな方法を使用できます。1 つの方法は、Windows Server 2003 のリソース キット ツールに含まれている SETSPN.EXE ユーティリティを使用する方法です。別の方法として、Active Directory ドメイン コントローラで ADSIEDIT.MSC スナップインを使用することもできます。この記事では、ADSIEDIT.MSC スナップインの使用について説明します。

SQL Server で Kerberos 認証を構成するためには、次の 2 つの主要な手順があります。

  • SQL Server サービス アカウントの SPN を作成します。

  • Office SharePoint Server 2007 を実行しているサーバーを、SQL Server を実行しているサーバーに接続するために、Kerberos 認証が使用されていることを確認します。

SQL Server サービス アカウントの SPN を作成する

  1. ドメイン管理者権限を持つユーザーの資格情報を使用して、Active Directory ドメイン コントローラにログオンします。

  2. [ファイル名を指定して実行] ダイアログ ボックスに「ADSIEDIT.MSC」と入力します。

  3. 管理コンソールのダイアログ ボックスで、ドメイン コンテナのフォルダを展開します。

  4. ユーザー アカウントを含むコンテナ フォルダ (たとえば CN=Users) を展開します。

  5. SQL Server サービス アカウントのコンテナ (たとえば CN=mosssqlsvc) を見つけます。

  6. そのアカウントを右クリックし、[プロパティ] をクリックします。

  7. [SQL Server サービス アカウント] ダイアログ ボックスでプロパティの一覧を下にスクロールし、[servicePrincipalName] を見つけます。

  8. [servicePrincipalName] プロパティを選択し、[Edit] をクリックします。

  9. [Multi-valued String Editor] ダイアログ ボックスの [追加する値] フィールドに、SPN の「MSSQLSvc/mosssql:1433」を入力し、[追加] をクリックします。次に、このフィールドに SPN の「MSSQLSvc/mosssql.mydomain.com:1433」を入力し、[追加] をクリックします。

  10. [Multi-valued String Editor] ダイアログ ボックスで [OK] をクリックし、SQL Server サービス アカウントのプロパティのダイアログ ボックスで [OK] をクリックします。

Office SharePoint Server 2007 を実行しているサーバーを SQL Server に接続するために Kerberos 認証が使用されていることを確認する

Office SharePoint Server 2007 を実行しているサーバーのいずれかに SQL クライアント ツールをインストールし、それらのツールを使用して、Office SharePoint Server 2007 を実行しているサーバーから、SQL Server を実行しているサーバーに接続します。この記事では、Office SharePoint Server 2007 を実行しているサーバーへの SQL クライアント ツールのインストール手順については説明しません。確認の手順は、次の前提事項に基づいています。

  • SQL ホストで SQL Server 2005 SP2 を使用している。

  • アカウント mydomain\pscexec を使用し、Office SharePoint Server 2007 を実行しているいずれかのサーバーにログインしている。Office SharePoint Server 2007 を実行しているサーバーには、SQL 2005 クライアント ツールをインストール済みである。

  1. SQL Server 2005 Management Studio を実行します。

  2. [サーバーに接続] ダイアログ ボックスが表示されたら、SQL ホスト コンピュータの名前 (この例では、SQL ホスト コンピュータは mosssql) を入力し、[接続] をクリックして SQL ホスト コンピュータに接続します。

  3. この接続に Kerberos 認証が使用されたことを確認するため、SQL ホスト コンピュータでイベント ビューアを実行してセキュリティ イベント ログを検査します。次の表に示すデータに類似した [ログオン/ログオフ] という分類のイベントの監査成功レコードが表示されます。

    種類

    成功の監査

    ソース

    Security

    分類

    ログオン/ログオフ

    イベント ID

    540

    日付

    2007/10/31

    時刻

    16:12:24

    ユーザー

    MYDOMAIN\pscexec

    コンピュータ

    MOSSSQL

    説明

    以下の表は、成功したネットワーク ログオンの例を示しています。

    ユーザー名

    pscexec

    ドメイン

    MYDOMAIN

    ログオン ID

    (0x0,0x6F1AC9)

    ログオンの種類

    3

    ログオン プロセス

    Kerberos

    ワークステーション名

    ログオン GUID

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    呼び出し側ユーザー名

    呼び出し側ドメイン

    呼び出し側ログオン ID

    呼び出し側プロセス ID

    移行されたサービス

    ソース ネットワーク アドレス

    192.168.100.100

    ソース ポート

    2465

ログ エントリを検査して、次のことを確認します。

  1. ユーザー名が正しいこと。mydomain\pscexec アカウントがネットワーク経由で SQL ホストにログオンしたこと。

  2. ログオンの種類が 3 であること。種類 3 のログオンはネットワーク ログオンです。

  3. ログオン プロセスおよび認証パッケージの両方で Kerberos 認証を使用していること。これにより、Office SharePoint Server 2007 を実行しているサーバーが、SQL ホストと通信するために Kerberos 認証を使用していることを確認できます。

  4. ソース ネットワーク アドレスが、接続元のコンピュータの IP アドレスと一致すること。

"SSPI コンテキストを生成できません" のようなエラー メッセージが表示されて SQL ホストへの接続が失敗する場合、SQL Server のインスタンスに使用されている SPN に問題がある可能性があります。この問題のトラブルシューティングと修正の方法については、マイクロソフト サポート技術情報の記事「"SSPI コンテキストを生成できません" エラー メッセージのトラブルシューティング方法」(https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x411) を参照してください。

サービス プリンシパル名にポート番号を含めるように Internet Explorer を構成する

多くのバージョンの Internet Explorer では、構築される SPN にポート番号は含まれません。この問題を含むバージョンの Internet Explorer 6 を使用しているかどうかの確認と、問題を修正するために必要な手順については、マイクロソフト サポート技術情報の記事「Internet Explorer 6 は、Windows XP と Windows Server 2003 非標準ポートを使用する Web サイトに接続するために、Kerberos 認証プロトコルは使用できません。」(https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x411) を参照してください。この記事に示されている DLL のバージョン番号を慎重に確認し、使用中のバージョンの Internet Explorer で、この記事に示されている修正プログラムが必要かどうかを判断してください。使用中のバージョンの Internet Explorer でポート番号を含む SPN が構築されず、既定以外のポートにバインドされた IIS 仮想サーバー上にホストされている Office SharePoint Server 2007 Web アプリケーションを使用している場合、そのバージョンの Internet Explorer を使用している Web アプリケーションに移動できるようにするには、この修正プログラムを適用する必要があります。この記事では、使用中のバージョンの Internet Explorer で構築される SPN に、ポート番号が含まれることを確認する必要があります。これは、サーバーの全体管理 Web アプリケーション用に Active Directory に追加する SPN に、ポート番号が含まれるためです。

Kerberos 認証を使用して Web アプリケーションのサービス プリンシパル名を作成する

Kerberos 認証に関して、IIS ベースの Office SharePoint Server 2007 Web アプリケーションに特別なことはありません。Kerberos 認証では、それらのアプリケーションは単に IIS Web サイトとして扱われます。

この手順では、次の情報が必要です。

  • SPN のサービス クラス (この記事では、Office SharePoint Server 2007 Web アプリケーションの場合、常に HTTP となります)。

  • Kerberos 認証を使用するすべての Office SharePoint Server 2007 Web アプリケーションの URL。

  • SPN のホスト名部分 (実際名または仮想名。この記事では両方について説明します)。

  • SPN のポート番号部分 (この記事で説明するシナリオでは、IIS ポート ベースおよび IIS ホスト ヘッダー ベースの両方の Office SharePoint Server 2007 Web アプリケーションが使用されます)。

  • SPN を作成する Windows Active Directory アカウント。

次の表は、この記事のシナリオの情報を示しています。

URL Active Directory アカウント SPN

http://mossadmin.mydomain.net:10000

mossfarmadmin

  • HTTP/mossadmin.mydomain.net:10000

  • HTTP/mossadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

http://kerbsspadmin.mydomain.net/ssp/admin

sspadminpool

  • HTTP/kerbsspadmin.mydomain.net

  • HTTP/kerbsspadmin

この表に関するメモ :

  • この表の最初の URL はサーバーの全体管理用であり、ポート番号が使用されます。ポート 10000 を使用する必要はありません。これは、この記事で一貫して使用する例にすぎません。

  • 次の 3 つの URL は、それぞれポータル サイト、個人用サイト、および共有サービス管理サイトを示しています。

このガイダンスを使用して、Office SharePoint Server 2007 Web アプリケーションで Kerberos 認証をサポートするために Active Directory で必要な SPN を作成します。ドメインの管理者権限を持っているアカウントを使用して、環境のドメイン コントローラにログオンする必要があります。SPN を作成するには、前に説明した SETSPN.EXE ユーティリティまたは ADSIEDIT.MSC スナップインを使用します。ADSIEDIT.MSC スナップインを使用する場合は、SPN の作成に関してこの記事で前に説明した手順を参照してください。Active Directory の各アカウントに対して、確実に正しい SPN を作成してください。

サーバー ファームを展開する

サーバー ファームの展開には、次の手順が含まれます。

  1. Office SharePoint Server 2007 を実行しているすべてのサーバーで、Office SharePoint Server 2007 をセットアップします。

  2. SharePoint 製品とテクノロジ構成ウィザードを実行して新しいファームを作成します。この手順には、既定以外のポートにバインドされ、Kerberos 認証を使用する IIS 仮想サーバー上にホストされる Office SharePoint Server 2007 サーバーの全体管理 Web アプリケーションの作成が含まれます。

  3. SharePoint 製品とテクノロジ構成ウィザードを実行し、他のサーバーをファームに参加させます。

  4. 次のものに対して、ファーム内のサーバーのサービスを構成します。

    • Windows SharePoint Services 3.0 Search サービス

    • Office SharePoint Server 2007 検索インデックス

    • Office SharePoint Server 2007 検索クエリ

  5. Kerberos 認証を使用して、ポータル サイト、個人用サイト、および共有サービス管理サイトに使用される Web アプリケーションを作成します。

  6. ポータル サイト Web アプリケーションで、グループ作業ポータル テンプレートを使用してサイト コレクションを作成します。

  7. ファームの共有サービス プロバイダを作成します。

  8. Kerberos 認証を使用して Web アプリケーションに正しく接続できることを確認します。

  9. 検索インデックスが正常に機能することを確認します。

  10. 検索クエリが正常に機能することを確認します。

  11. SSP インフラストラクチャを Kerberos 認証用に構成します。これは、Microsoft Office Servers インフラストラクチャ更新プログラムのインストールを必要とするオプションの手順です。

  12. Kerberos 認証を使用する SSP の機能を確認します。これは、Microsoft Office Servers インフラストラクチャ更新プログラムのインストールを必要とするオプションの手順です。

すべてのサーバーに Office SharePoint Server 2007 をインストールする

これは、Office SharePoint Server 2007 セットアップを実行して、Office SharePoint Server 2007 を実行しているサーバーに Office SharePoint Server 2007 バイナリをインストールする単純なプロセスです。アカウント mydomain\pscexec を使用して、Office SharePoint Server 2007 を実行しているそれぞれのコンピュータにログオンします。これに関する詳細な手順は示しません。この記事に示すシナリオでは、Office SharePoint Server 2007 を必要とするすべてのサーバーで、Office SharePoint Server 2007 の [完全] インストールを実行します。

SharePoint 製品とテクノロジ構成ウィザードを実行して新しいファームを作成する

この記事に示すシナリオでは、最初に MOSSADMIN 検索インデックス サーバーから SharePoint 製品とテクノロジ構成ウィザードを実行して、MOSSADMIN が Office SharePoint Server 2007 サーバーの全体管理 Web アプリケーションをホストするようにします。

MOSSCRAWL サーバーでセットアップが完了すると、SharePoint 製品とテクノロジ構成ウィザードを実行するチェック ボックスがオンになった状態で、[セットアップ完了] ダイアログ ボックスが表示されます。このチェック ボックスはオンのままにし、セットアップのダイアログ ボックスを閉じて SharePoint 製品とテクノロジ構成ウィザードを実行します。

このコンピュータで SharePoint 製品とテクノロジ構成ウィザードを実行するときは、次の設定を使用して新しいファームを作成するようにウィザードで指定します。

  • データベース サーバー名を指定します (この記事では、MOSSSQL というサーバー名)。

  • 構成データベース名を指定します (既定値を使用するか、選択する名前を指定します)。

  • データベース アクセス (ファーム管理者) アカウントの情報を指定します。この記事のシナリオでは、このアカウントは mydomain\mossfarmadmin です。

  • Office SharePoint Server 2007 サーバーの全体管理 Web アプリケーションに必要な情報を指定します。この記事のシナリオでは、この情報は次のとおりです。

    • サーバーの全体管理 Web アプリケーションのポート番号 : 10000

    • 認証方法 : ネゴシエート

必要な情報をすべて指定すると、SharePoint 製品とテクノロジ構成ウィザードは正常に終了します。正常に終了した場合は、Kerberos 認証を使用して、Office SharePoint Server 2007 サーバーの全体管理 Web アプリケーションのホーム ページにアクセスできることを確認します。そのためには、次の手順を実行します。

  1. Office SharePoint Server 2007 を実行している別のサーバーにログオンするか、またはドメイン mydomain の別のコンピュータに mydomain\pscexec としてログオンします。Office SharePoint Server 2007 サーバーの全体管理 Web アプリケーションをホストしているコンピュータでは、Kerberos 認証の動作が正しいことを直接確認しないでください。この操作は、ドメイン内の別のコンピュータから行います。

  2. このサーバーで Internet Explorer を起動し、http://mossadmin.mydomain.net:10000 という URL への移動を試みます。サーバーの全体管理のホーム ページが表示されます。

  3. サーバーの全体管理へのアクセスに Kerberos 認証が使用されたことを確認するには、MOSSADMIN という名前のコンピュータに戻り、イベント ビューアを実行して、セキュリティ ログを参照します。次の表に示すデータと類似した監査成功レコードが表示されます。

    種類

    成功の監査

    ソース

    Security

    分類

    ログオン/ログオフ

    イベント ID

    540

    日付

    2007/11/1

    時刻

    14:22:20

    ユーザー

    MYDOMAIN\pscexec

    コンピュータ

    MOSSADMIN

    説明

    以下の表は、成功したネットワーク ログオンの例を示しています。

    ユーザー名

    pscexec

    ドメイン

    MYDOMAIN

    ログオン ID

    (0x0,0x1D339D3)

    ログオンの種類

    3

    ログオン プロセス

    Kerberos

    認証パッケージ

    Kerberos

    ワークステーション名

    ログオン GUID

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    呼び出し側ユーザー名

    呼び出し側ドメイン

    呼び出し側ログオン ID

    呼び出し側プロセス ID

    移行されたサービス

    ソース ネットワーク アドレス

    192.168.100.100

    ソース ポート

    2505

このログ レコードには、前のログ エントリと同じ種類の情報が示されます。

  • ユーザー名が正しいことを確認します。このユーザーは、サーバーの全体管理をホストしている Office SharePoint Server 2007 を実行しているサーバーに、ネットワーク経由でログオンしている mydomain\pscexec アカウントです。

  • ログオンの種類が 3 であることを確認します。ログオンの種類 3 は、ネットワーク ログオンです。

  • ログオン プロセスと認証パッケージの両方で Kerberos 認証が使用されていることを確認します。これにより、サーバーの全体管理 Web アプリケーションにアクセスするために Kerberos 認証が使用されていることを確認できます。

  • ソース ネットワーク アドレスが接続元のコンピュータの IP アドレスと一致していることを確認します。

サーバーの全体管理ホーム ページが表示されず、代わりに "未承認" というエラー メッセージが表示される場合、Kerberos 認証は失敗しています。通常、このエラーの原因となるのは、次の 2 つだけです。

  • Active Directory の SPN が正しいアカウントに対して登録されていません。SPN は、mydomain\mossfarmadmin に対して登録されている必要があります。

  • Active Directory の SPN が、Internet Explorer によって構築される SPN に一致していないか無効です。この最も一般的な原因は、Internet Explorer が正しいポート番号を含む SPN を構築していないことです。この問題を修正する方法については、前の「サービス プリンシパル名にポート番号を含めるように Internet Explorer を構成する」を参照してください。または、Active Directory に登録した SPN でポート番号を省略した可能性があります。いずれの場合も、この問題を修正し、Kerberos 認証を使用してサーバーの全体管理サイトが機能するようにしてから、以降の手順に進んでください。

注意

ネットワークで何が発生しているのかを診断し、サーバーの全体管理への参照のトレースを行うには、Microsoft ネットワーク モニタなどのネットワーク スニファが役立ちます。エラーが発生したら、トレースを検査し、KerberosV5 プロトコル パケットを検索します。次に、Internet Explorer によって構築された SPN を含むパケットを検索します。その SPN にポート番号が含まれていない場合は、「サービス プリンシパル名にポート番号を含めるように Internet Explorer を構成する」で説明している修正プログラムを適用する必要があります。トレースの SPN に問題がないように見える場合は、Active Directory の SPN が無効であるか、正しくないアカウントに対して登録されています。

SharePoint 製品とテクノロジ構成ウィザードを実行し、他のサーバーをファームに参加させる

この時点で、ファームが作成され、Kerberos 認証を使用してサーバーの全体管理に正しくアクセスできるようになったので、SharePoint 製品とテクノロジ構成ウィザードを実行して、他のサーバーをファームに参加させる必要があります。

Office SharePoint Server 2007 を実行している他の 4 台のサーバー (mossfe1、mossfe2、mossquery、および mosscrawl) のそれぞれで、Office SharePoint Server 2007 のインストールを完了すると、SharePoint 製品とテクノロジ構成ウィザードのチェック ボックスがオンになった状態で、[セットアップ完了] ダイアログ ボックスが表示されます。このチェック ボックスをオンにしたまま、セットアップのダイアログ ボックスを閉じて SharePoint 製品とテクノロジ構成ウィザードを実行します。ファームに参加させる各サーバーで、この手順を実行します。

ファームに追加する各サーバーで SharePoint 製品とテクノロジ構成ウィザードを完了したら、各サーバーが、サーバー MOSSADMIN を実行しているサーバーの全体管理を表示できることを確認します。これらのサーバーのいずれかがサーバーの全体管理を表示できない場合は、適切な手順を実行して問題を解決してから、以降の手順に進んでください。

ファーム内のサーバーのサービスを構成する

以下のセクションに示すアカウントを使用して、特定の Windows SharePoint Services 3.0 サービスおよび Office SharePoint Server 2007 サービスが、ファーム内で Windows SharePoint Services 3.0 および Office SharePoint Server 2007 を実行している特定のサーバーで実行されるように構成します。

注意

ここでは、ユーザー インターフェイスの詳細については説明しません。高度な指示のみ提供します。サーバーの全体管理、および必要な手順の実行方法を十分に理解してから、次に進んでください。

指定されたアカウントを使用してサーバーの全体管理にアクセスし、次の手順を実行して、指定されたサーバーのサービスを構成します。

サーバーの全体管理の [サーバーのサービス] ページで、次の操作を実行します。

  1. MOSSQUERY サーバーを選択します。

  2. 表示されるサービスの一覧で、ページの中央付近にある Windows SharePoint Services 3.0 Search サービスを見つけ、[操作] 列の [開始] をクリックします。

  3. 後続のページで、Windows SharePoint Services 3.0 Search サービス アカウントおよび Windows SharePoint Services 3.0 コンテンツ アクセス アカウントの資格情報を入力します。この記事のシナリオでは、Windows SharePoint Services 3.0 Search サービス アカウントは mydomain\wsssearch であり、Windows SharePoint Services 3.0 コンテンツ アクセス アカウントは mydomain\wsscrawl です。ページの適切な場所にアカウント名とパスワードを入力し、[開始] をクリックします。

インデックス サーバー

サーバーの全体管理の [サーバーのサービス] ページで、次の操作を実行します。

  1. サーバー MOSSCRAWL を選択します。

  2. ページの中央付近に表示されるサービスの一覧で、Office SharePoint Server 2007 Search サービスを見つけ、[操作] 列の [開始] をクリックします。

後続のページで、[このサーバーを使用してコンテンツにインデックスを付ける] チェック ボックスをオンにし、Office SharePoint Server 2007 Search サービス アカウントの資格情報を入力します。この記事のシナリオでは、Office SharePoint Server 2007 Search サービス アカウントは mydomain\mosssearch です。ページの適切な場所にアカウント名とパスワードを入力し、[開始] をクリックします。

クエリ サーバー

サーバーの全体管理の [サーバーのサービス] ページで、次の操作を実行します。

  1. MOSSQUERY サーバーを選択します。

  2. 表示されるサービスの一覧で、ページの中央付近にある Office SharePoint Server 2007 Search サービスを見つけ、[サービス] 列のサービス名をクリックします。

後続のページで、[このサーバーを使用して検索クエリ サービスを提供する] チェック ボックスをオンにし、[OK] をクリックします。

Kerberos 認証を使用して Web アプリケーションを作成する

ここでは、ファーム内のポータル サイト、個人用サイト、および共有サービス管理サイトで使用される Web アプリケーションを作成します。

注意

ここでは、ユーザー インターフェイスの詳細については説明しません。高度な指示のみ提供します。サーバーの全体管理、および必要な手順の実行方法を十分に理解してから、次に進んでください。

ポータル サイト Web アプリケーションを作成する

  1. サーバーの全体管理の [アプリケーション構成の管理] ページで、[Web アプリケーションの作成または拡張] をクリックします。

  2. 以降のページで、[新しい Web アプリケーションの作成] をクリックします。

  3. 以降のページで、[新しい IIS Web サイトを作成する] が選択されていることを確認します。

    • [説明] フィールドに「PortalSite」と入力します。

    • [ポート] フィールドに「80」と入力します。

    • [ホスト ヘッダー] フィールドに「kerbportal.mydomain.net」と入力します。

  4. この Web アプリケーションの認証プロバイダとして [ネゴシエート (Kerberos)] が選択されていることを確認します。

  5. この Web アプリケーションは既定領域に作成します。この Web アプリケーションの領域を変更しないでください。

  6. [新しいアプリケーション プールを作成する] が選択されていることを確認します。

    • [アプリケーション プール名] フィールドに「PortalAppPool」と入力します。

    • [構成可能] が選択されていることを確認します。[ユーザー名] フィールドに、アカウント「mydomain\portalpool」を入力します。

  7. [OK] をクリックします。

  8. Web アプリケーションが正しく作成されていることを確認します。

注意

SSL 接続を使用し、Web アプリケーションをポート 443 にバインドする場合、[ポート] フィールドに「443」と入力し、[新しい Web アプリケーションの作成] ページで [SSL (Secure Sockets Layer) を使用する] を選択します。また、SSL ワイルドカード証明書をインストールする必要があります。SSL 用に構成された IIS Web サイトにバインドする IIS ホスト ヘッダーを使用する場合、SSL ワイルドカード証明書を使用する必要があります。IIS の SSL ホスト ヘッダーの詳細については、「Configuring SSL Host Headers (IIS 6.0) (英語)」(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x411) を参照してください。

個人用サイト Web アプリケーションを作成する

  1. サーバーの全体管理の [アプリケーション構成の管理] ページで、[Web アプリケーションの作成または拡張] をクリックします。

  2. 以降のページで、[新しい Web アプリケーションの作成] をクリックします。

  3. 以降のページで、[新しい IIS Web サイトを作成する] が選択されていることを確認します。

    • [説明] フィールドに「MySite」と入力します。

    • [ポート] フィールドに「80」と入力します。

    • [ホスト ヘッダー] フィールドに「kerbmysite.mydomain.net」と入力します。

  4. この Web アプリケーションの認証プロバイダとして [ネゴシエート (Kerberos)] が選択されていることを確認します。

  5. この Web アプリケーションは既定領域に作成します。この Web アプリケーションの領域を変更しないでください。

  6. [新しいアプリケーション プールを作成する] が選択されていることを確認します。

    • [アプリケーション プール名] フィールドに「MySiteAppPool」と入力します。

    • [構成可能] が選択されていることを確認します。[ユーザー名] フィールドに、アカウント「mydomain\mysitepool」を入力します。

  7. [OK] をクリックします。

  8. Web アプリケーションが正しく作成されていることを確認します。

注意

SSL 接続を使用し、Web アプリケーションをポート 443 にバインドする場合、[ポート] フィールドに「443」と入力し、[新しい Web アプリケーションの作成] ページで [SSL (Secure Sockets Layer) を使用する] を選択します。また、SSL ワイルドカード証明書をインストールする必要があります。SSL 用に構成された IIS Web サイトにバインドする IIS ホスト ヘッダーを使用する場合、SSL ワイルドカード証明書を使用する必要があります。IIS の SSL ホスト ヘッダーの詳細については、「Configuring SSL Host Headers (IIS 6.0) (英語)」(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x411) を参照してください。

共有サービス管理サイト Web アプリケーションを作成する

  1. サーバーの全体管理の [アプリケーション構成の管理] ページで、[Web アプリケーションの作成または拡張] をクリックします。

  2. 以降のページで、[新しい Web アプリケーションの作成] をクリックします。

  3. 以降のページで、[新しい IIS Web サイトを作成する] が選択されていることを確認します。

    • [説明] フィールドに「SSPAdminSite」と入力します。

    • [ポート] フィールドに「80」と入力します。

    • [ホスト ヘッダー] フィールドに「kerbsspadminsite.mydomain.net」と入力します。

  4. この Web アプリケーションの認証プロバイダとして [ネゴシエート (Kerberos)] が選択されていることを確認します。

  5. この Web アプリケーションは既定領域に作成します。この Web アプリケーションの領域を変更しないでください。

  6. [新しいアプリケーション プールを作成する] が選択されていることを確認します。

    • [アプリケーション プール名] フィールドに「SSPAdminSiteAppPool」と入力します。

    • [構成可能] が選択されていることを確認します。[ユーザー名] フィールドに、アカウント「mydomain\sspadminpool」を入力します。

  7. [OK] をクリックします。

  8. Web アプリケーションが正しく作成されていることを確認します。

注意

SSL 接続を使用し、Web アプリケーションをポート 443 にバインドする場合、[ポート] フィールドに「443」と入力し、[新しい Web アプリケーションの作成] ページで [SSL (Secure Sockets Layer) を使用する] を選択します。また、SSL ワイルドカード証明書をインストールする必要があります。SSL 用に構成された IIS Web サイトにバインドする IIS ホスト ヘッダーを使用する場合、SSL ワイルドカード証明書を使用する必要があります。IIS の SSL ホスト ヘッダーの詳細については、「Configuring SSL Host Headers (IIS 6.0) (英語)」(https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x411) を参照してください。

ポータル サイトの Web アプリケーションでグループ作業ポータル テンプレートを使用してサイト コレクションを作成する

ここでは、この目的で作成した Web アプリケーションで、ポータル サイト上にサイト コレクションを作成します。

注意

ここでは、ユーザー インターフェイスの詳細については説明しません。高度な指示のみ提供します。サーバーの全体管理、および必要な手順の実行方法を十分に理解してから、次に進んでください。

  1. サーバーの全体管理の [アプリケーション構成の管理] ページで、[サイト コレクションの作成] をクリックします。

  2. 後続のページで、正しい Web アプリケーションを選択します。この記事では、[http://kerbportal.mydomain.net] を選択します。

  3. このサイト コレクションに使用するタイトルと説明を入力します。

  4. Web サイトのアドレスは変更しません。

  5. [テンプレートの選択] の [テンプレートの選択] で、[公開] タブをクリックし、[グループ作業ポータル] テンプレートを選択します。

  6. [サイト コレクションの管理者] に「mydomain\pscexec」と入力します。

  7. 使用するサイト コレクションの代理の管理者を指定します。

  8. [OK] をクリックします。

  9. ポータル サイト コレクションが正しく作成されたことを確認します。

ファームの共有サービス プロバイダを作成する

ファームの共有サービス プロバイダを作成します。

注意

ここでは、ユーザー インターフェイスの詳細については説明しません。高度な指示のみ提供します。サーバーの全体管理、および必要な手順の実行方法を十分に理解してから、次に進んでください。

  1. サーバーの全体管理の [アプリケーション構成の管理] ページで、[このファームの共有サービスの作成または構成] をクリックします。

  2. 後続のページで、[新しい SSP] をクリックします。

  3. 後続のページの [SSP 名] で、[SSP 名] フィールドに「SSP1」と入力します。次に、[Web アプリケーション] フィールドで、共有サービス管理サイト Web アプリケーション用に作成した Web アプリケーションを選択します。この記事の例では、[SSPAdminSite] という名前の Web アプリケーションを選択します。

    • [MySite] の [Web アプリケーション] フィールドで、個人用サイト Web サイト用に作成した Web アプリケーションを選択します。この記事の例では、[MySite] という Web アプリケーションを選択します。

    • [SSP サービス資格情報] の [ユーザー名] フィールドに「mydomain\sspsvc」と入力します。

  4. [OK] をクリックします。

  5. ファームの SSP が正しく作成されたことを確認します。

Kerberos 認証を使用して Web アプリケーションに正しくアクセスできることを確認する

作成した Web アプリケーションに対して Kerberos 認証が機能していることを確認します。ポータル サイトを使用して操作を開始します。

そのためには、以下の手順を実行します。

  1. NLB に対して mydomain\pscexec として構成されている 2 台のフロントエンド Web サーバーのどちらかではなく、Office SharePoint Server 2007 を実行しているサーバーにログオンします。Kerberos 認証を使用した負荷分散 Web サイトをホストしているコンピュータのいずれかでは、Kerberos 認証の動作が正しいことを直接検証しないでください。この操作は、ドメイン内の別のコンピュータから行います。

  2. この別のシステムで Internet Explorer を起動し、http://kerbportal.mydomain.net への移動を試みます。

Kerberos 認証されたポータル サイトのホーム ページが表示されます。

ポータル サイトへのアクセスに Kerberos 認証が使用されたことを確認するには、負荷分散フロントエンド Web サーバーのどちらかに移動し、イベント ビューアを実行してセキュリティ ログを参照します。どちらかのフロントエンド Web サーバーで、次の表に示すデータと類似した監査成功レコードが表示されます。負荷分散要求を処理したシステムによっては、両方のフロントエンド Web サーバーでレコードの検索が必要になる場合があります。

種類

成功の監査

ソース

Security

分類

ログオン/ログオフ

イベント ID

540

日付

2007/11/1

時刻

17:08:20

ユーザー

MYDOMAIN\pscexec

コンピュータ

mossfe1

説明

以下の表は、成功したネットワーク ログオンの例を示しています。

ユーザー名

pscexec

ドメイン

MYDOMAIN

ログオン ID

(0x0,0x1D339D3)

ログオンの種類

3

ログオン プロセス

Kerberos 認証

ワークステーション名

ログオン GUID

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

呼び出し側ユーザー名

呼び出し側ドメイン

呼び出し側ログオン ID

呼び出し側プロセス ID

移行されたサービス

ソース ネットワーク アドレス

192.168.100.100

ソース ポート

2505

このログ レコードには、前のログ エントリと同じ種類の情報が示されます。

  • ユーザー名が正しいことを確認します。このユーザーは、ポータル サイトをホストしている Office SharePoint Server 2007 を実行するフロントエンド Web サーバーにネットワーク経由でログオンしている mydomain\pscexec アカウントです。

  • ログオンの種類が 3 であることを確認します。ログオンの種類 3 は、ネットワーク ログオンです。

  • ログオン プロセスと認証パッケージの両方で Kerberos 認証が使用されていることを確認します。これにより、ポータル サイトにアクセスするために Kerberos 認証が使用されていることを確認できます。

  • ソース ネットワーク アドレスが接続元のコンピュータの IP アドレスと一致していることを確認します。

ポータル サイトのホーム ページが表示されず、代わりに "未承認" というエラー メッセージが表示される場合、Kerberos 認証は失敗しています。通常、このエラーの原因となるのは、次の 2 つだけです。

  • Active Directory の SPN が正しいアカウントに対して登録されていません。ポータル サイトの Web アプリケーションの場合、SPN は mydomain\portalpool に対して登録されている必要があります。

  • Active Directory の SPN が、Internet Explorer によって構築される SPN に一致していないか、別の理由により無効です。この場合、明示的なポート番号のない IIS ホスト ヘッダーを使用しているので、Active Directory に登録される SPN は、Web アプリケーションを展開したときに指定した IIS ホスト ヘッダーとは異なります。Kerberos 認証が機能するためには、この問題を修正する必要があります。

注意

ネットワークで何が発生しているのかを診断し、サーバーの全体管理への参照のトレースを行うには、Microsoft ネットワーク モニタなどのネットワーク スニファが役立ちます。エラーが発生したら、トレースを検査し、KerberosV5 プロトコル パケットを検索します。次に、Internet Explorer によって構築された SPN を持つパケットを検索します。その SPN にポート番号が含まれていない場合は、「サービス プリンシパル名にポート番号を含めるように Internet Explorer を構成する」で説明している修正プログラムを適用する必要があります。トレースの SPN に問題がないように見える場合は、Active Directory の SPN が無効であるか、正しくないアカウントに対して登録されています。

ポータル サイトに対して Kerberos 認証が機能するようになったら、次の URL を使用して、Kerberos 認証された個人用サイトおよび共有サービス管理サイトに移動します。

注意

初めて個人用サイトの URL にアクセスするときは、ログオンしたユーザーに対して Office SharePoint Server 2007 が個人用サイトを作成するまでに少し時間がかかります。ただし、処理は正常に行われ、そのユーザーの個人用サイト ページが表示されます。

これらは両方とも正しく機能します。機能しない場合は、前のトラブルシューティング手順を参照してください。

検索インデックスが正しく機能していることを確認する

検索インデックスが、このファームにホストされているコンテンツを正しくクロールすることを確認します。これは、Kerberos 認証を使用してサイトにアクセスするユーザーに対する検索クエリ結果を確認する前に実行しておく必要がある手順です。

注意

ここでは、ユーザー インターフェイスの詳細については説明しません。高度な指示のみ提供します。サーバーの全体管理、および必要な手順の実行方法を十分に理解してから、次に進んでください。

  1. http://kerbsspadmin.mydomain.net/ssp/admin にある共有サービス管理サイト Web アプリケーションにアクセスします。

  2. このページで、[検索の設定] をクリックします。

  3. 後続のページで、[コンテンツ ソースとクロールのスケジュール] をクリックします。

  4. 後続のページでは、[Office SharePoint Server コンテンツ ソース] の ECB にアクセスし、ドロップダウン リストから [フル クロールの開始] を選択します。

  5. クロールが完了するまで待ちます。クロールに失敗した場合は、エラーを調査して修正し、フル クロールを実行します。"アクセスが拒否されました" エラーが表示されてクロールが失敗する場合は、クロール アカウントでコンテンツ ソースにアクセスできないか、Kerberos 認証が失敗したことが原因です。どのような原因であっても、このエラーを修正してから以降の手順に進んでください。

以降の手順に進む前に、Kerberos 認証された Web アプリケーションのフル クロールを実行する必要があります。

検索クエリが正しく機能していることを確認する

Kerberos 認証を使用するポータル サイトにアクセスするユーザーに対して、検索クエリで結果が返されるようにするには、次の手順を実行します。

  1. mydomain.net 内のシステムで Internet Explorer を起動し、http://kerbportal.mydomain.net に移動します。

  2. ポータル サイトのホーム ページが表示されたら、[検索] フィールドに検索キーワードを入力し、Enter キーを押します。

  3. 検索クエリ結果が返されることを確認します。結果が返されない場合は、入力したキーワードが展開で有効であること、検索インデックスが正しく実行されていること、Search サービスが検索インデックス サーバーおよび検索クエリ サーバーで実行されていること、および検索インデックス サーバーから検索クエリ サーバーへの検索の伝達に問題がないことを確認します。

Kerberos 認証の SSP インフラストラクチャを構成する

注意

これは、Microsoft Office Servers インフラストラクチャ更新プログラムのインストールを必要とするオプションの手順です。Microsoft Office Servers インフラストラクチャ更新プログラムがインストールされていないと、Kerberos 認証は Office SharePoint Server 2007 に対して正しく構成できません。

Microsoft Office Servers インフラストラクチャ更新プログラムには、SSP インフラストラクチャでの Kerberos 認証用の新しいカスタム形式の SPN が用意されています。このカスタム形式の SPN には、新しいサービス クラスである MSSP が導入されています。カスタム形式の SPN の形式は MSSP/<ホスト:ポート>/<SSP 名> です。

この新しいカスタム形式の SPN は、URI に対して特定の SPN を .NET Framework が使用するように .NET Framework プロパティを設定します。これは、Office SharePoint Server 2007 SSP インフラストラクチャ Web サービスに対してサーバー間呼び出しを行うために使用される .NET Framework です。

Office SharePoint Server 2007 アプリケーション サーバーで SSP インフラストラクチャを検査すると、IIS のルート レベルおよび仮想ディレクトリ レベルの両方に検索共有サービスがあることがわかります。また、IIS の仮想ディレクトリ レベルには、Excel Calculation Services (ECS) 共有サービスもあります。Kerberos 認証に対して SSP インフラストラクチャを構成すると、ルート レベルおよび仮想ディレクトリ レベルの両方で、共有サービスにアクセスするために Kerberos が使用されます。

ルート レベル Web サービスに対して SPN を登録する必要はありません。仮想ディレクトリ レベルの Web サービスに対して SPN を登録するだけで済みます。これは、ドメインにコンピュータを参加させるときに、HOST クラスの SPN がドメインのコンピュータ アカウントに対して自動的に登録され、SPN はルート レベルの Web サービスに対して機能するためです。ただし、ファーム内の SSP に実際に対応付けられる仮想ディレクトリに対応する SPN を登録する必要はありません。

Kerberos 認証に対して正しく SSP インフラストラクチャを構成するには、次の手順を実行する必要があります。

  1. Active Directory の SSP サービス アカウントで新しいカスタム形式の SPN を登録します。

  2. Stsadm コマンドライン ツールを使用して Kerberos 認証を使用するように SSP インフラストラクチャを設定します。

  3. Office SharePoint Server 2007 を実行しているすべてのサーバーに新しいレジストリ キーを追加して、新しいカスタム形式の SPN の生成を有効にします。

  4. ルート レベルの共有 Web サービス アクセスの Kerberos 認証を確認します。

  5. 仮想ディレクトリ レベルの共有 Web サービス アクセスの Kerberos 認証を確認します。

注意

前の手順では、手順 4. および手順 5. が searchadmin.asmx 共有 Web サービスに関連します。この検索関連の共有 Web サービスは、SSP インフラストラクチャのルート レベルおよび仮想ディレクトリ レベルの両方にあります。ルート レベルの検索共有サービスは、Office SharePoint Server 2007 サーバーの全体管理のサーバー レベルのサービスにある Office SharePoint Server 2007 Search サービス設定の構成に関連するグローバル Web サービスと考えることができます。仮想ディレクトリ レベルの検索共有サービスは、ファーム内の特定の SSP に対応し、共有サービス管理サイトの SSP に固有の検索設定を構成するときに使用されます。ルート レベルの共有サービス アクセスの Kerberos 認証を確認する手順を実行するときに、新しい形式の SPN が生成または使用されることはありません。新しい形式の SPN が関連するのは、仮想ディレクトリ レベルの Web サービスにアクセスするときだけです。ただし、両方のレベルで、共有サービスへのアクセスが機能することを確認する必要があります。

Active Directory の SSP サービス アカウントで新しいカスタム形式の SPN を登録する

この記事では、SSP サービス アカウントは mydomain\sspsvc であり、作成した SSP の名前は SSP1 です。SSP インフラストラクチャはファーム内のすべてのサーバーに存在します。そのため、Office SharePoint Server 2007 を実行しているすべてのサーバーを参照する SPN を作成する必要があります。SSP インフラストラクチャは TCP ポート 56737 および SSL ポート 56738 にバインドされているので、両方のポート番号を含む SPN が必要です。このため、各アプリケーション サーバーには 2 つの SPN が必要です。この記事に使用する例では、10 個の SPN を作成する必要があります。

SSP インフラストラクチャの SPN を作成するには、次の手順を実行します。

  1. ドメイン管理者権限を持つユーザーの資格情報を使用して、Active Directory ドメイン コントローラにログオンします。

  2. [実行] ダイアログ ボックスに「ADSIEDIT.MSC」と入力します。

  3. [管理コンソール] ダイアログ ボックスで、ドメイン コンテナ フォルダを展開します。

  4. ユーザー アカウントを含むコンテナ (たとえば CN=Users) を展開します。

  5. SSP サービス アカウントのコンテナ (たとえば CN=sspsvc) を見つけます。

  6. SSP サービス アカウントを右クリックし、[プロパティ] をクリックします。

  7. [SSP サービス アカウント] ダイアログ ボックスでプロパティの一覧を下にスクロールし、[servicePrincipalName] を見つけます。

  8. [servicePrincipalName] プロパティを選択し、[Edit] をクリックします。

  9. [Multi-valued String Editor] ダイアログ ボックスの [Value to add] フィールドに、次の SPN を追加します。

    • MSSP/mossfe1:56737/SSP1

    • MSSP/mossfe1:56738/SSP1

    • MSSP/mossfe2:56737/SSP1

    • MSSP/mossfe2:56738/SSP1

    • MSSP/mossadmin:56737/SSP1

    • MSSP/mossadmin:56738/SSP1

    • MSSP/mosscrawl:56737/SSP1

    • MSSP/mosscrawl:56738/SSP1

    • MSSP/mossquery:56737/SSP1

    • MSSP/mossquery:56738/SSP1

Stsadm コマンドライン ツールを使用して Kerberos 認証を使用するように SSP インフラストラクチャを設定する

Kerberos 認証を使用するように SSP インフラストラクチャを構成するには、次の手順を実行します。

  1. ドメイン管理者権限を持つユーザーの資格情報を使用して、Active Directory ドメイン コントローラにログオンします。

  2. Office SharePoint Server 2007 を実行しているサーバーのいずれかで、コマンド プロンプトを開きます。

  3. %COMMONPROGRAMFILES%\microsoft shared\web server extensions\12\bin ディレクトリに移動します。

  4. コマンド「stsadm –o setsharedwebserviceauthn –negotiate」を入力し、Enter キーを押します。

このコマンドが正しく実行されるのを確認してから、以降の手順に進みます。

この手順を完了すると、このコマンドを正しく実行した後に作成する SSP を含めて、ファームで作成するすべての SSP に、このコマンドが適用されます。

Office SharePoint Server を実行しているすべてのサーバーに新しいレジストリ キーを追加して、新しいカスタム形式の SPN の生成を有効にする

新しいカスタム形式の SPN の生成は、Microsoft Office Servers インフラストラクチャ更新プログラムで導入された新しいレジストリ キーの設定を通じて制御されます。新しいカスタム形式の SPN の生成を有効にするには、このレジストリ キーをファーム内のすべてのサーバーに追加し、サーバーを再起動する必要があります。

ファーム内の各サーバーで、次の手順を実行して新しい動作を有効にします。

  1. ローカル管理者としてログオンします。

  2. レジストリ エディタを実行し、次の新しいレジストリ キーを追加します。 HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat" (REG_DWORD) = 1

  3. サーバーを再起動します。新しいレジストリ キーを有効にするには、サーバーを再起動する必要があることに注意してください。

注意

レジストリを正しく編集しないと、システムが正常に動作しなくなる場合があります。レジストリを変更する前に、コンピュータ上の重要なデータのバックアップを作成する必要があります。

ルート レベルの共有サービス アクセスの Kerberos 認証を確認する

ルート レベルの共有サービスの Kerberos 認証を確認するには、次の手順を実行します。

  1. サーバーの全体管理 Web アプリケーションをホストしているコンピュータにログオンします。この記事の例を使用している場合は、MOSSADMIN にログオンします。

  2. http://mossadmin.mydomain.net:10000 にあるサーバーの全体管理に移動します。

  3. サーバーの全体管理ホーム ページで、[サーバー構成の管理] をクリックします。

  4. [サーバー構成の管理] ページの [サーバーのサービス] をクリックします。

  5. [サーバー] で、下矢印をクリックしてファーム内のサーバーの一覧を表示し、検索クエリ サーバーをクリックします。この記事の例を使用している場合は、[MOSSQUERY] を選択します。

  6. ページが更新されたら、正しいクエリ サーバーをポイントしていることを確認し、[サービス] の [Office SharePoint Server Search] をクリックします。

  7. [サーバー mossquery の Office SharePoint Server Search サービス設定の構成] ページが表示されることを確認します。

  8. 次の手順を実行して、ページの表示に Kerberos 認証が使用されたことを確認します。

    • この記事の例を使用して検索クエリ サーバーにログオンし、MOSSQUERY という名前の MOSS マシンにログオンします。

    • Windows イベント ビューアを実行します。

    • セキュリティ イベント ログを検査します。

    • 次の表に示すデータと類似したログ レコードが表示されます。

      種類

      成功の監査

      ソース

      Security

      分類

      ログオン/ログオフ

      イベント ID

      540

      日付

      2008/5/6

      時刻

      12:12:17

      ユーザー

      MYDOMAIN\pscexec

      コンピュータ

      MOSSQUERY

      説明

以下の表は、成功したネットワーク ログオンの例を示しています。

ユーザー名

pscexec

ドメイン

MYDOMAIN

ログオン ID

(0x0,0x7252B10)

ログオンの種類

3

ログオン プロセス

Kerberos

認証パッケージ

Kerberos

ワークステーション名

ログオン GUID

{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49}

呼び出し側ユーザー名

呼び出し側ドメイン

呼び出し側ログオン ID

呼び出し側プロセス ID

移行されたサービス

ソース ネットワーク アドレス

192.168.100.100

ソース ポート

1964

重要

検索インデックス サーバーに対してこの手順を繰り返し実行します。ページが表示され、ページのアクセスに Kerberos 認証パッケージが使用されたことを示すセキュリティ ログ レコードが、イベント ビューアにあることを確認します。

仮想ディレクトリ レベルの共有サービス アクセスの Kerberos 認証を確認する

これは、Kerberos 認証を使用して、Office SharePoint Server 2007 が実行されているサーバー ファームを構成および展開する最後の手順です。

仮想ディレクトリ レベルの共有サービスへのアクセスに Kerberos 認証が使用されていることを確認するには、次の手順を実行します。

  1. 共有サービス管理ホーム ページに移動します。

  2. この要求に応答している負荷分散フロントエンド Web サーバーを特定します。

  3. 要求に応答しているフロントエンド Web サーバーで、ネットワーク モニタを実行し、キャプチャ フィルタを適用して KerberosV5 プロトコル パケットを取得します。ネットワーク モニタ 3.2 を使用する場合、このキャプチャ フィルタは protocol.KerberosV5 となります。

  4. ネットワーク モニタのスニフを開始します。

  5. 共有サービス管理ホーム ページで、[検索の設定] をクリックします。

  6. [検索の設定] ページが表示されることを確認します。

  7. スニフを停止し、取得されたパケットを検査します。次の例に示すデータと類似した内容の Kerberos プロトコル パケットが表示されます。

KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET

KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET

KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1

KerberosV5:TGS Response Cname: sspadminpool

前の例の Sname 値 (MSSP/mosscrawl:56738/SSP1) は、Microsoft Office Servers インフラストラクチャ更新プログラムで導入された変更によって生成され Kerberos KDC に送信される、新しい形式の SPN です。

インデックス サーバー (この記事の例では MOSSCRAWL) にログオンします。イベント ビューアを実行し、セキュリティ ログを検査します。次の表に示すデータと類似したエントリが表示されます。

種類

成功の監査

ソース

Security

分類

ログオン/ログオフ

イベント ID

540

日付

2008/5/6

時刻

13:21:04

ユーザー

MYDOMAIN\sspadminpool

コンピュータ

MOSSCRAWL

説明

以下の表は、成功したネットワーク ログオンの例を示しています。

ユーザー名

sspadminpool

ドメイン

MOSSCRAWL

ログオン ID

(0x0,0xD84A6)

ログオンの種類

3

ログオン プロセス

Kerberos

認証パッケージ

Kerberos

ワークステーション名

ログオン GUID

{2f1cccb3-c10d-27e5-9896-0f918e8ad796}

呼び出し側ユーザー名

呼び出し側ドメイン

呼び出し側ログオン ID

呼び出し側プロセス ID

移行されたサービス

ソース ネットワーク アドレス

192.168.150.100

ソース ポート

1513

構成の制限

Microsoft Office Servers インフラストラクチャ更新プログラムを使用する SSP インフラストラクチャでの Kerberos 認証の利用に関しては、構成の制限がいくつかあります。

  • 作成される新しい形式の SPN のホスト名部分は、サービスを実行しているホストの NetBIOS 名 (たとえば MSSP/kerbtest4:56738/SSP1) になります。これは、ホスト名が Office SharePoint Server 2007 構成データベースからフェッチされ、NetBIOS コンピュータ名だけが Office SharePoint Server 2007 構成データベースに格納されるためです。これは、特定のシナリオではあいまいとなる可能性があります。現時点では、Office SharePoint Server 2007 を実行しているサーバー名を変更する場合、Stsadm コマンドライン ツールでは Office SharePoint Server 2007 を実行しているサーバーの名前を正しく変更できないので、この問題の解決策はありません。

  • 拡張文字を含む SSP 名を使用しないでください。拡張文字を含む SSP 名を持つ SPN は、委任のターゲットとして選択することができません。そのため、SSP 名では拡張文字の使用を避けてください。

追加のリソースとトラブルシューティングのガイダンス

製品/テクノロジ リソース

Windows Server 2003

Windows SharePoint Services 3.0 をインストールした後に 10016 と 10017 イベント ID エラー メッセージは、システム ログに記録します。 (https://go.microsoft.com/fwlink/?linkid=120456&clcid=0x411)

SQL サーバー

SQL Server 2005 のインスタンスへのリモート接続を作成するときに、Kerberos 認証を使用していることを確認する方法 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x411)

SQL サーバー

"SSPI コンテキストを生成できません" エラー メッセージのトラブルシューティング方法 (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x411)

SQL サーバー

SQL Server 2005 Analysis Services to use Kerberos authentication configure to how (https://go.microsoft.com/fwlink/?linkid=120459&clcid=0x411)

.NET Framework

AuthenticationManager.CustomTargetNameDictionary プロパティ (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x411)

Windows Internet Explorer

Internet Explorer 6、Windows XP および Windows Server 2003 で、標準でないポートを使用する Web サイトに接続 Kerberos 認証プロトコルを使用できません。 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x411)

Windows Internet Explorer

Internet Explorer、Windows XP ベースのコンピュータで Kerberos 認証が必要な Web サイトにアクセスしようとするとエラー メッセージ:"HTTP エラー 401-権限がありません: 無効な資格情報のため、アクセスが拒否されました" (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x411)

Kerberos 認証

Kerberos Authentication Technical Reference (英語) (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x411)

Kerberos 認証

Windows Server 2003 ‐ はじめに (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x411)

Kerberos 認証

Microsoft Windows Server 2003: Kerberos のプロトコル遷移と制約付き委任 (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x411)

IIS

SSL ホスト ヘッダーを構成する (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x411)

作者について

Mark Grossbard は、Microsoft で Office SharePoint Serverの MOSS コア テストを担当しているテスト エンジニアです。

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

入手可能なドキュメントの詳細な一覧については、「Office SharePoint Server 2007」を参照してください。