Windows コンピューターの認証とデータ暗号化

管理サーバーがエージェントからデータを受け入れる前に、エージェントと管理サーバーは Windows 認証を使用して相互認証を行います。 Kerberos バージョン 5 プロトコルが認証提供の既定の方法です。 Kerberos ベースの相互認証を機能させるためには、エージェントと管理サーバーが Active Directory ドメインにインストールされている必要があります。 エージェントと管理サーバーが別々のドメインにある場合は、それらのドメインの間に完全な信頼が存在する必要があります。 このシナリオでは、相互認証が行われてから、エージェントと管理サーバー間のデータ チャネルが暗号化されます。 認証と暗号化実行のためにユーザー操作は必要ありません。

エージェント (単数または複数) が管理サーバー (ドメイン A) とは別のドメイン (ドメイン B) に展開され、ドメイン間に双方向の信頼関係がない場合があります。 これら 2 つのドメインの間には信頼が存在しないため、1 つのドメインのエージェントが Kerberos プロトコルを使用してもう一方のドメインの管理サーバーを認証することができません。 それぞれのドメイン内では、Operations Manager 機能間の相互認証が行われます。

この状況を解決するには、エージェントが存在するドメインにゲートウェイ サーバーをインストールしてから、ゲートウェイ サーバーと管理サーバーに証明書をインストールして、相互認証とデータ暗号化を実現します。 ゲートウェイ サーバーを使用すると、次の図で示されるように、ドメイン B で証明書が 1 つ、ファイアウォール間でポートが 1 つのみ必要になります。

環境によっては、ファイアウォールの中でワークグループに対して 1 つまたは 2 つのエージェントが展開されている場合があります。 ワークグループのエージェントは、Kerberos プロトコルを使用してドメイン内の管理サーバーを認証することができません。 この状況は、次の図が示すように、エージェントをホストするコンピューターとエージェントが接続している管理サーバーの両方に証明書をインストールすることによって解決できます。

エージェントをホストするコンピューター、および同一の証明機関を使用する管理サーバーの両方で次の手順を実行します。

• CA に証明書を要求します。

• CA で証明書の要求を承認します。

• コンピューターの証明書ストアで承認済みの証明書をインストールします。

• MOMCertImport ツールを使用して Operations Manager を構成します。

ゲートウェイ サーバーに証明書をインストールする場合も同様の手順を行います。ただしゲートウェイ認証ツールをインストールまたは実行しない場合は必要ありません。

証明書が正常にインストールされると、Operations Manager のイベント ログに次のイベントが書き込まれます。

証明書の設定中は、MOMCertImport ツールを実行します。 MOMCertImport ツールが終了すると、インポートした証明書のシリアル番号が次のサブキーにあるレジストリに書き込まれます。

注意
レジストリを誤って編集すると、システムに重大な障害をもたらす可能性があります。 レジストリを変更する前に、コンピューターにある重要なデータをバックアップしてください。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

既定では、データ ウェアハウスに収集されたイベントおよびパフォーマンス カウンターの書き込みを行うヘルス サービスによって生成される監視ホスト プロセスは、レポート セットアップ時に指定したデータ ライター アカウントとして実行することで Windows 統合認証を行います。 アカウントの資格情報は、データ ウェアハウス アクション アカウントと呼ばれる実行アカウント内に安全に格納されています。 この実行アカウントは、(実際の収集ルールに関連付けられている) データ ウェアハウス アカウントと呼ばれる実行プロファイルのメンバーの 1 つです。

レポート データ ウェアハウスと管理サーバーが信頼境界によって分離されている場合は (それぞれが信頼のない異なるドメインに存在する場合など)、Windows 統合認証が機能しません。 この状況に対応するには、SQL サーバー認証を使用して監視ホスト プロセスをレポート データ ウェアハウスに接続することができます。 これは、SQL アカウントの資格情報使用して実行アカウント (簡易アカウントの種類) を作成し、管理サーバーをターゲット コンピューターとするこのアカウントをデータ ウェアハウス SQL サーバー認証アカウントと呼ばれる実行プロファイルのメンバーにすることで実行できます。

重要
既定では、実行プロファイルであるデータ ウェアハウス SQL サーバー認証アカウントには、同じ名前をもつ実行アカウントを使用して特別なアカウントが割り当てられています。 実行プロファイルであるデータ ウェアハウス SQL Server 認証アカウントに関連付けられているアカウントには変更を加えないでください。 その代わりに、独自のアカウントと独自の実行アカウントを作成し、SQL サーバー認証を構成する際に、その実行アカウントを実行プロファイル、データ ウェアハウス SQL サーバー認証アカウントのメンバーにします。

次に、Windows 統合認証と SQL サーバー認証両方におけるさまざまなアカウント資格情報、実行アカウント、および実行プロファイルの関係の概要を示します。

System Center データ アクセス サービスは、レポート データ ウェアハウスからデータを読み取り、それらのデータをレポート パラメーター エリアで使用できるようにするサービスです。このサービスは、既定では Operations Manager のセットアップ時に定義したデータ アクセス サービスおよび Config サービス アカウントとして実行することで Windows 統合認証を行います。

レポート データ ウェアハウスと管理サーバーが信頼境界によって分離されている場合は (それぞれが信頼のない異なるドメインに存在する場合など)、Windows 統合認証が機能しません。 この問題に対処するには、SQL Server 認証を使用して System Center データ アクセス サービスをレポート データ ウェアハウスに接続します。 これは、SQL アカウントの資格情報を使って実行アカウント (簡易アカウントの種類) を作成し、管理サーバーをターゲット コンピューターとして使用しながら、そのアカウントを レポート SDK SQL サーバー認証アカウントと呼ばれる実行プロファイルのメンバーにすることで実行できます。

重要
既定では、実行プロファイル、レポート SDK SQL サーバー認証アカウントには、同じ名前をもつ実行アカウントの使用を通じて特別なアカウントが割り当てられています。 実行プロファイルである SDK SQL Server 認証レポート アカウントに関連付けられているアカウントには変更を加えないでください。 その代わりに、独自のアカウントと独自の実行アカウントを作成し、SQL サーバー認証を構成する際に、その実行アカウントを実行プロファイル、レポート SDK SQL サーバー認証アカウントのメンバーにします。

次に、Windows 統合認証と SQL サーバー認証両方におけるさまざまなアカウント資格情報、実行アカウント、および実行プロファイルの関係の概要を示します。