アプリケーション プール アカウントは、Kerberos として登録されている必要があります - イベント 6590

  • [アーティクル]

 

適用先: SharePoint Foundation 2010, SharePoint Server 2010

トピックの最終更新日: 2009-09-10

アラート名:   アプリケーション プール アカウントは、Kerberos として登録されている必要があります

イベント ID:   6590

概要:   Microsoft SharePoint Foundation 2010 では、Windows Server 2008 が備える認証プロバイダーを使用して、ユーザー認証を行うことができます。たとえば、Microsoft SharePoint Foundation では、フォームベースの認証または Web シングル サインオンを使用できます。

Kerberos バージョン 5 認証プロトコルの使用時には、Web アプリケーションのインターネット インフォメーション サービス (IIS) アプリケーション プールで使用されるサービス アカウントが、フロントエンド Web サーバーがメンバーであるドメインの Active Directory ドメイン サービス (AD DS) に、SPN として登録されている必要があります。

現象:   このイベントが、次のようにイベント ログに表示されます。イベント ID: 6590 説明: アプリケーション プール アカウントには、Active Directory にユーザー アカウントを追加する権限がありません。Kerberos 認証を使用する場合は、Web アプリケーションのインターネット インフォメーション サービス (IIS) アプリケーション プールで使用されるサービス アカウントを、Web フロントエンドが属しているドメインのサービス プリンシパル名 (SPN) として Active Directory に登録する必要があります。

原因:   以下のうちの 1 つまたは複数が原因である可能性があります。

  • Kerberos v5 認証を使用している場合、Web アプリケーション プールのアカウントがセキュリティ プロバイダー名として登録されていません。

  • フォームベースの認証または Web シングル サインオンを使用している場合、メンバーシップ プロバイダー名が指定されなかったため、認証プロバイダーを読み込めない可能性があります。

  • Web アプリケーション プールを再起動して変更を保存する必要があります。

注意

以下の操作を行うには、SharePoint のファームの管理者グループのメンバーである必要があります。

解決策:   サイトで使用している認証の種類を確認します。

  1. SharePoint サーバーの全体管理 Web サイトで、サイド リンク バーの [セキュリティ] をクリックし、[一般的なセキュリティ] セクションの [認証プロバイダーの指定] をクリックします。

  2. [認証プロバイダー] ページで、正しい Web アプリケーションを選択します。Web アプリケーションを選択するには、[Web アプリケーション] ドロップダウン リストの矢印をクリックし、[Change Web Application] をクリックします。[Web アプリケーションの選択] ダイアログ ボックスで、正しい Web アプリケーションをクリックします。

  3. [認証プロバイダー] ページで、一覧からサイトの領域をクリックします。

  4. [認証の編集] ページの [IIS 認証の設定] セクションに、認証の種類が表示されます。

解決策:   アプリケーション プール アカウントを SPN として登録します。

  • Web アプリケーション プールのアカウントがセキュリティ プロバイダー名 (SPN) として登録されていません。ドメイン管理者に連絡し、Web アプリケーションに登録されているすべてのドメインについて、アプリケーション プールで使用されるサービス アカウントが登録済みの SPN であることを確認してください。

注意

以下の操作を行うには、SharePoint のファームの管理者グループのメンバーである必要があります。

解決策:   メンバーシップ プロバイダー名とロール マネージャーを指定します。

  1. [サーバーの全体管理] ページで、サイド リンク バーの [セキュリティ] をクリックし、[一般的なセキュリティ] セクションの [認証プロバイダーの指定] をクリックします。

  2. [認証プロバイダー] ページで、認証設定を変更する領域を選択します。

  3. [認証の編集] ページの [認証の種類] セクションで、[フォーム] または [Web シングル サインオン] 認証オプションを選択します。既定では、Windows 認証が選択されています。

  4. [保存] をクリックします。

  5. [メンバーシップ プロバイダー名] セクションの [メンバーシップ プロバイダー名] ボックスに名前を入力します。

  6. [ロール マネージャー名] セクションの [ロール マネージャー名] ボックスに名前を入力します。

  7. [保存] をクリックします。

解決策:   領域の認証設定を編集します。

  1. [サーバーの全体管理] ページで、サイド リンク バーの [セキュリティ] をクリックし、[一般的なセキュリティ] セクションの [認証プロバイダーの指定] をクリックします。

  2. [認証プロバイダー] ページで、認証設定を変更する領域を選択します。

  3. [認証の編集] ページの [認証の種類] セクションで、認証オプションを選択します。既定では、Windows 認証が選択されています。

  4. [IIS 認証の設定] セクションで設定を選択します。既定では、[統合 Windows 認証 — NTLM] が選択されています。[ネゴシエート (Kerberos)] を選択する場合は、認証を構成する追加手順を実行する必要があります。

  5. [保存] をクリックします。