Kerberos 認証を構成する: 構成手順 (SharePoint Server 2010)
適用先: SharePoint Server 2010
トピックの最終更新日: 2016-11-30
この記事のシナリオでは、SharePoint Server 2010 環境を構築し、企業で発生する可能性があるいくつかの一般的なシナリオで委任を構成する方法を示します。このチュートリアルは、以下のセクションで説明する仕様に類似したスケール アウトされた SharePoint ファームを構築することを前提としています。
注意
一部の構成手順については、変更されていたり特定のファーム トポロジでは動作しなかったりする場合があります。たとえば、単一サーバーでは、Windows Identity Foundation C2WTS サービスがサポートされません。したがって、Windows トークン委任要求のシナリオは、このファーム構成では実行できません。
環境およびファームのトポロジ
以下の図は、以降のセクションのシナリオを構成するときに使用するファーム トポロジを示しています。ファーム トポロジは、ID 委任がマルチサーバー、マルチホップのシナリオでどのように機能するかを示すために、多層間でロード バランスおよびスケール アウトされています。
注意
デモのファーム構成は、参照アーキテクチャ、または運用環境のトポロジを設計する例を示すことを目的とはしていません。たとえば、デモのトポロジでは、すべての SharePoint Server 2010 サービス アプリケーションが単一サーバー上で実行され、これらのサービスの単一障害点が作成されます。SharePoint Server の運用環境を設計および構築する方法の詳細については、「SharePoint Server 2010 – Physical and Logical Architecture (英語)」および「SharePoint Server 2010 トポロジ」を参照してください。
.jpg "サンプル ファームのトポロジの図")
注意
シナリオのチュートリアルは、シナリオで使用されている SharePoint Server とデータ ソースを実行しているすべてのコンピューターが単一のドメインに存在することを前提としています。マルチドメイン/複数フォレスト構成に関する情報やチュートリアルについては、このドキュメントでは説明しません。
環境の仕様
デモ環境のすべてのコンピューターが仮想化され、Windows Server 2008 R2 Hyper-V で実行されています。コンピューターは単一の Windows ドメイン vmlab.local に参加し、Windows Server 2008 のフォレストおよびドメイン機能レベルで実行されています。
クライアント コンピューター
- Windows 7 Professional、64 ビット版
SharePoint Server フロントエンド Web
Windows Server 2008 R2 Enterprise、64 ビット版
サービス:
- Web アプリケーション サービス
Windows NLB でロード バランス
SharePoint Server アプリケーション サーバー
Windows Server 2008 R2 Enterprise、64 ビット版
Microsoft SharePoint Server 2010 (RTM)
サービス:
WIF Claims to Windows Token Service
Managed Metadata Service
SharePoint インデックス
SharePoint クエリ
Excel Services
Visio Graphics Service
Business Connectivity Services
Performance Point Services
SQL Services
Windows Sever 2008 R2 Enterprise、64 ビット版
Microsoft SQL Server 2008 R2 Enterprise、64 ビット版
アクティブ/パッシブ構成
SQL Server サービス:
SQL データ エンジン
SQL Server Analysis Services
SQL エージェント
SQL ブラウザー
SQL Reporting Server
Windows Server 2008 R2 Enterprise、64 ビット版 (RTM)
Microsoft SQL 2008 R2 Enterprise、64 ビット版 (RTM)
Microsoft SharePoint Server 2010 (RTM)
Windows NLB、ロード バランス型
Reporting Services SharePoint 統合モード
Reporting Services、スケール アウト モード
Web アプリケーションの仕様
チュートリアルのこのシナリオは、シナリオ 1 で構成する一連の SharePoint Server 2010 Web アプリケーションを参照します。以下の Web アプリケーションは、Windows NLB を使用して、デモ環境の 2 台の SharePoint Server Web フロントエンド間でロード バランスされています。
http://sp10CA ファーム用のサーバーの全体管理 Web アプリケーション。この Web アプリケーションの構成は、シナリオ 1 の手順では使用されません。
http://portal and https://portal デモ公開ポータルでの Web アプリケーション。標準のポート (HTTP 80、HTTPS 443) で実行されている Web アプリケーションの委任の構成方法を示す際に使用されます。
http://teams:5555 デモ チーム サイトでの Web アプリケーション。標準以外のポート (この例ではポート 5555) で実行されている Web アプリケーションの委任の構成方法を示す際に使用されます。
.jpg "Web アプリケーションの図")
SSL 構成
チュートリアル シナリオの中には SSL を使用して、HTTPS での委任を構成する方法を示すものがあります。このシナリオでは、使用されている証明書が、内部または外部の信頼できるルート証明書機関から発行されたものであるか、使用されている証明書を信頼するようにすべてのコンピューターが構成されていることを前提としています。このドキュメントでは、証明書信頼を適切に構成する方法は説明しません。また、SSL 証明書のインストールに伴う問題のデバッグに関するガイダンスも提供していません。SSL で保護されたサービスで Kerberos 制限付き委任を構成する前に、これらのトピックを確認して SSL 構成をテストすることを強くお勧めします。詳細については、以下を参照してください。
Active Directory 証明書サービスの概要 (https://go.microsoft.com/fwlink/?linkid=196660&clcid=0x411)
ステップ バイ ステップ ガイド - Windows Server Active Directory 証明書サービス (https://go.microsoft.com/fwlink/?linkid=196661&clcid=0x411)
IIS 7 でサーバー証明書を構成する (https://go.microsoft.com/fwlink/?linkid=196662&clcid=0x411)
How to Set Up SSL on IIS 7: Configuring Security : Installing and Configuring IIS 7 : The Official Microsoft IIS Site (英語) (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x411) (英語)
サイトにバインドを追加する (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196663&clcid=0x411)
Web サイトのホスト ヘッダーを構成する (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196664&clcid=0x411) — (ホスト ヘッダーでの SSL の使用方法)
IIS 7 で自己署名入りサーバー証明書を作成する (https://go.microsoft.com/fwlink/?linkid=196665&clcid=0x411)
ロード バランシング
SharePoint Server フロントエンド Web サーバーおよび SQL Server Reporting Services サーバーでのロード バランシングは、Windows Server 2008 のネットワーク ロード バランシング (NLB) を使用して実装しました。NLB の構成方法および NLB のベスト プラクティスについては、このドキュメントでは説明しません。NLB の詳細については、「ネットワーク ロード バランシングの概要」を参照してください。
SQL エイリアシング
ファームは SQL クライアント エイリアスを使用して構築され、SQL クラスターに接続していました。通常は、これがベスト プラクティスで、SQL エイリアシングが使用されているときに Kerberos 認証がどのように構成されるかを示していました。シナリオ 2 では、この方法で環境が構成されていますが、SQL エイリアスを使用しなくても、以下のシナリオを完了できることを前提としています。SQL エイリアスを構成する方法の詳細については、「クライアントが使用するサーバーの別名を作成する方法 (SQL Server 構成マネージャー)」を参照してください。
シナリオで作業を進める際のヒント
以下のシナリオでは、各セクションで、SharePoint Server プラットフォームのさまざまな機能を使用して、Kerberos 委任を構成するのに必要なさまざまなアクティビティを実行します。
すべてのシナリオで、受信クラシック認証 (Kerberos) 用に Web アプリケーションが構成されていることを前提としています。以下のシナリオの中にはクラシック認証が必要で、受信クレーム認証では説明されているとおりに機能しないものがあります。
より困難な委任による構成に移行する前に、まずは委任なしで SharePoint Server サービスを動作させて、サービス アプリケーションを確実かつ適切に構成します。
各手順を慎重に実行し、どの手順も省略しないようにします。
シナリオ 1 では、そのシナリオで説明されているデバッグ ツールを使用することに時間を費やしてください。他のシナリオでこのツールを使用して、構成に関する問題のトリアージを行うことができます。
シナリオ 2 を実行するのを忘れないでください。Kerberos 認証を受け入れるように構成されている SQL Server を実行しているコンピューターが必要になります。また、以降のシナリオのいくつかでは、このシナリオで設定するテスト データベースが必要になります。
SetSPN -X および SetSPN -Q を使用して、各シナリオの SPN 構成を再度チェックします。詳細については、付録を参照してください。
構成に関する問題のデバッグを試みる場合は、必ずサーバー イベント ログと ULS ログを確認します。このログには、通常、発生している問題をすばやく特定するのに役立つ情報が含まれています。
問題が発生している場合は、SharePoint Foundation -> クレーム認証、およびトリアージを試みているサービス アプリケーションの診断ログが表示されます。
各シナリオがサービス アプリケーション キャッシュの影響を受ける可能性があります。構成を変更したのに、プラットフォームの動作が変更されない場合は、サービスのアプリケーション プールまたは Winsows サービスを再起動してみます。効果がない場合は、システムを再起動すると役立つ場合があります。
要求が行われると Kerberos チケットがキャッシュされます。NetMon などのツールを使用して、TGT および TGS 要求を表示している場合、期待どおりの要求トラフィックを得られない場合は、チケット キャッシュを空にしなければならない可能性があります。シナリオ 1 「Kerberos 認証を構成する: コア構成 (SharePoint Server 2010)」では、KLIST ユーティリティおよび KerbTray ユーティリティを使用して、これを行う方法について説明しています。
管理者権限で NetMon を実行し、Kerberos トラフィックを取得してください。
Claims to Windows Token Service の WIF トレース、および SharePoint サービス アプリケーションの WCF トレース (WCF サービス) をオンにする必要がある、高度なデバッグ シナリオについては、以下を参照してください。