次のガイドでは、認証方法や暗号化オプションなど、分散リレーショナル データベース アーキテクチャ (DRDA) サービスのセキュリティと保護に関する情報を提供します。
認証方法
DRDA サービスでは、Kerberos で DRDA を使用し、Enterprise シングル サインオンで Windows Active Directory を使用することで、次の認証方法がサポートされます。
サーバー認証
サーバーで検証される DRDA クライアント指定の認証資格情報を使用するように DRDA サービスを構成できます。
- ユーザー名とパスワード
- ユーザー名のみ
- 256 ビットの Advanced Encryption Standard (AES) を使用して認証資格情報をセキュリティで保護する暗号化されていないユーザー名と暗号化されたパスワード
- 256 ビット Advanced Encryption Standard (AES) を使用して認証資格情報をセキュリティで保護する暗号化されたユーザー名とパスワード
Kerberos 認証
Kerberos チケットを使用して受信ユーザーを認証するように DRDA サービスを構成できます。このチケットは、DRDA サービスが Kerberos 認証を使用して SQL Server に接続するために使用します。
Enterprise Single Sign-On
サーバー上で Windows Active Directory 資格情報にマップされている DRDA クライアント指定の認証資格情報を使用するように DRDA サービスを構成できます。
SQL Server 統合セキュリティを使用して Windows ドメイン アカウントにマップされたユーザー名とパスワードのホストによって開始された検証
ホストは、Windows ドメイン アカウントにのみマップされたユーザー名を、SQL Server 統合セキュリティを使用して検証を開始します。
ホストによって開始され、ユーザー名とパスワードがWindowsドメインアカウントにマップされた後、SQL Serverのユーザー名とパスワード認証にマップされる検証
ホストによって開始され、ユーザー名がまず Windows ドメイン アカウントにマップされ、その後 SQL Server のユーザー名とパスワード認証にマップされる検証
DRDA サービスは、ユーザー名のみに基づいて認証します
DRDA サービスが、DRDA サーバー認証を使用する DB2 for z/OS からのインバウンド接続を受信すると、DRDA サービスはユーザー名のみに基づいて認証を行います。 DRDA ACCSEC (Access Security) SECMEC (セキュリティ メカニズム) は USRIDONL (ユーザー ID のみ) です。 ホストによって開始されるエンタープライズ シングル サインオンを使用してこの認証方法をサポートするには、関連アプリケーションで、 外部資格情報の検証 プロパティを True に設定する必要があります。
DRDA サービスが暗号化されていないデータを受信して送信する
既定では、DRDA サービスは暗号化されていないデータを送受信します。 Microsoft では、Secure Sockets Layer (SSL) V3.0 または Transport Layer Security (TLS) V1.0 を使用してデータ暗号化を使用するようにデータ プロバイダーを構成することをお勧めします。
DRDA サービスが暗号化されていない資格情報を受け入れる
既定では、DRDA サービスは基本認証を使用して TCP/IP ネットワーク経由の受信接続を受け入れます。ここで、ユーザー名とパスワードは暗号化されず、プレーン テキストで送信されます。 Microsoft では、Kerberos、Secure Sockets Layer (SSL) V3.0、トランスポート層セキュリティ (TLS) V1.0、または Advanced Encryption Standard (AES) を使用して認証暗号化を使用するように DRDA AR クライアントと DRDA サービスを構成することをお勧めします。
認証に受信ユーザー名を使用する場合は、Windows Active Directory® (AD) アカウントを IBM ホスト システムおよび DB2 資格情報と統合するエンタープライズ シングル サインオンを使用するように DRDA サービスを構成することをお勧めします。 管理者は、ホストと DB2 の資格情報を AD アカウントにマップし、暗号化された SQL Server データベースに格納します。 DRDA サービスは、実行時にこれらのマッピングを取得して、リモート DRDA アプリケーションリクエスター クライアントに対してユーザーを安全に認証します。 Enterprise シングル サインオンの詳細については、「 Host Integration Server 2010 - セキュリティ ユーザー ガイド」を参照してください。
DRDA サービスでは、DES に基づく弱い暗号化がサポートされます
必要に応じて、DRDA サービスでは、脆弱な 56 ビット Data Encryption Standard (DES) テクノロジを使用した認証とデータ暗号化がサポートされます。 Microsoft では、Secure Sockets Layer (SSL) V3.0 またはトランスポート層セキュリティ (TLS) V1.0 を使用して、認証とデータ暗号化を使用するようにデータ プロバイダーを構成することをお勧めします。 暗号化認証の場合のみ、Advanced Encryption Standard (AES) を使用して 256 ビット暗号化をサポートできます。
DRDA 認証と暗号化のオプション
DRDA サービスでは、選択した DRDA 認証と暗号化オプションがサポートされます。
| テクノロジー | コード ポイント | MsDrdaService |
|---|---|---|
| Kerberos | KERSEC | イエス |
| プラグイン | PLGIN | いいえ |
| DCE | DCESEC | いいえ |
| ユーザー ID のみ | USRIDONL | イエス |
| ユーザー ID とパスワード | USRIDPWD | イエス |
| 暗号化されたユーザー ID とパスワード | EUSRIDPWD | イエス |
| ユーザー ID と暗号化されたパスワード | USRENCPWD | イエス |
| ユーザー ID とパスワードの置き換え | USRSBSPWD | いいえ |
| ユーザー ID、パスワード、および新しいパスワード | USRIDNWPWD | いいえ |
| ユーザー ID と強力なパスワードの置き換え | USRSSBPWD | いいえ |
| 暗号化されたユーザー ID のみ | EUSRIDONL | イエス |
| 暗号化されたユーザー ID とセキュリティに依存するデータ | EUSRIDDTA | イエス |
| 暗号化されたユーザー ID、パスワード、およびセキュリティに依存するデータ | EUSRPWDDTA | イエス |
| 暗号化されたユーザー ID、パスワード、新しいパスワード、およびセキュリティに依存するデータ | EUSRNPWDDTA | いいえ |
DRDA サービス構成ファイル
DRDA サービス ファイルの既定の場所は \Program Files\Microsoft Host Integration Server 2020 です。 この場所では、情報を含むサブフォルダー (System、SysWOW64、トレース、およびスキーマ) とファイルをセキュリティで保護してください。 HIS 構成プログラムは、このフォルダー構造内のすべてのファイルへのアクセスを、HIS Administrators Local Group および HIS Runtime Users Local Group のメンバーに制限します。 フォルダーのセキュリティに関連付けられているセキュリティ グループの詳細については、「セキュリティ」トピックを参照してください。
| イベント番号 | メッセージ |
|---|---|
| 1034 | Microsoft Service for DRDA が構成ファイルを読み込めませんでした。 Microsoft Service for DRDA XML MsDrdaService.exe.config アプリケーション構成ファイルの形式を確認します。 DRDA サービスは、Microsoft.HostIntegration.ConfigurationSectionHandlers.dll 構成リーダー/ライター コンポーネントと HostIntegrationDrdaServiceConfiguration.xsd ファイルを使用して、要素と属性の種類、列挙値、およびその他の定義された値によって、\Program Files\Microsoft Host Integration Server 2020\system\MsDrdaService.exe.config ファイルの内容を検証します。 アプリケーション構成ファイルの内容が有効でない場合、DRDA サービスは起動せず、Windows アプリケーション イベント メッセージをログに記録します。 |
| 1056 | Microsoft Service for DRDA がエラー マッピング ファイルを読み込めませんでした。
HostIntegrationDrdaSqlErrorMappings.xsd ファイルを使用して MSDRDAErrorMappings.xml ファイルの内容を確認し、DRDA サービスを再起動します。 DRDA サービスは、HostIntegrationDrdaSqlErrorMappings.xsd ファイルを使用して、要素と属性の種類、列挙値、およびその他の定義された値によって、\Program Files\Microsoft Host Integration Server 2020\system\MSDRDAErrorMappings.xml ファイルの内容を検証します。 エラー マッピング ファイルの内容が有効でない場合、DRDA サービスは起動せず、Windows アプリケーション イベント メッセージをログに記録します。 |
| 1057 | Microsoft Service for DRDA がイベント メッセージ ファイルを読み込めませんでした。
DrdaServiceEventMessages.xml ファイルの内容を確認し、DRDA サービスを再起動します。 DRDA サービスは、要素と属性の種類、列挙値、およびその他の定義された値によって、 \Program Files\Microsoft Host Integration Server 2020\system\DrdaServiceEventMessages.xml ファイルの内容を検証します。 イベント メッセージ ファイルの内容が無効な場合、DRDA サービスは開始されず、Windows アプリケーション イベント メッセージがログに記録されます。 |
| 1058 | MICROSOFT Service for DRDA は、DB2 を SQL データ型マッピング ファイルに読み込めませんでした。
DB2ToMSSql.xml ファイルの内容を確認し、DRDA サービスを再起動します。 DRDA サービスは、要素と属性の種類、列挙値、およびその他の定義された値によって、 \Program Files\Microsoft Host Integration Server 2013\system\DB2ToMSSql.xml ファイルの内容を検証します。 DB2 から SQL へのデータ型マッピング ファイルの内容が無効な場合、DRDA サービスは開始されず、Windows アプリケーション イベント メッセージがログに記録されます。 |
| 1059 | MICROSOFT Service for DRDA は、SQL を DB2 データ型マッピング ファイルに読み込めませんでした。
MSSQLToDB2.xml ファイルの内容を確認し、DRDA サービスを再起動します。 DRDA サービスは、要素と属性の種類、列挙値、およびその他の定義された値によって、 \Program Files\Microsoft Host Integration Server 2020\system\MSSQLToDB2.xml ファイルの内容を検証します。 イベント メッセージ ファイルの内容が無効な場合、DRDA サービスは開始されず、Windows アプリケーション イベント メッセージがログに記録されます。 |
DRDA サービス パッケージ XML
DRDA サービスは、静的 SQL for DB2 パッケージを SQL Server ストアド プロシージャに変換します。 このサービスは、DRDA Begin Bind (BGNBND) コマンドと Bind SQL ステートメント (BNDSQLSTT) コマンドを SQL Server DROP PROCEDURE ステートメントおよび CREATE PROCEDURE ステートメントに処理することによって、このタスクを実行します。 必要に応じて、MsDrdaService.exe.config ファイル内の createPackageXml 属性に基づいて、DRDA サービスは、単一の BGNBND フローを静的 SQL for DB2 パッケージ XML ファイルに処理し、DRDA BNDSQLSTT フローで定義された元のバインド オプションとステートメントを保持します。
DRDA サービスは、Microsoft.HostIntegration.ConfigurationSectionHandlers.dllapp.config リーダー/ライター コンポーネントと HostIntegrationStaticSql.xsd ファイルを使用して、要素と属性の種類、列挙、およびその他の定義された値によってパッケージ XML ファイルを書き込みます。 DRDA サービスで DRDA Begin Bind (BGNBND) プロトコル フローと Bind SQL ステートメント (BNDSQLSTT) プロトコル フローと書式設定されたデータを検証できない場合、サービスはバインドを処理したり、パッケージ XML ファイルを生成したりしません。
パッケージ XML ファイルには、セキュリティで保護する必要がある情報が含まれています。 管理者は、追加の省略可能な packageXmlLocation 属性を設定して、DRDA サービスが静的 SQL for DB2 パッケージ XML ファイルをセキュリティで保護されたフォルダー ( \Program Files\Microsoft Host Integration Server 2020\traces など) に書き込む必要があります。 HIS 構成プログラムは、トレース フォルダー内のすべてのファイルへのアクセスを、HIS Administrators Local Group および HIS Runtime Users Local Group のメンバーに制限します。 フォルダーのセキュリティに関連付けられているセキュリティ グループの詳細については、「セキュリティ」トピックを参照してください。
DRDAサービスのカスタムパッケージ・バインド・リスナー
必要に応じて、 MsDrdaService.exe.config ファイルで、管理者は packageBindListeners 要素内に 1 つ以上の packageBindListener 要素を定義して、DRDA サーバーがバインド SQL ステートメント出力を含むバインド パッケージをオプションのカスタム バインド リスナーに送信できるようにします。 これらのリスナーは、 Microsoft.HostIntegration.Drda.Common.PackageBindListener コンポーネントを使用して開発できます。
管理者は createPackageProcedureWithCustomSqlScripts 属性を設定して、DRDA サービスが外部のカスタム パッケージ バインド リスナー コンポーネントを介して DRDA BGNBND と BNDSQLSTT を処理するようにする必要があります。 DRDA サービスは、1 つまたは複数の静的 SQL パッケージ セクションを含むカスタム バインド リスナーの呼び出しごとに 1 つの XML ドキュメントを処理します。 カスタム バインド リスナーは、XML を SQL に変換します。 DRDA サービスへのコールバックでは、リスナーは DROP PROCEDURE ステートメントと CREATE PROCEDURE ステートメントのセットのみを含む SQL スクリプトを返します。 DRDA サービスは検証を行い、コールバックに DROP PROCEDURE ステートメントと CALL PROCEDURE ステートメントのセットのみが含まれていることを確認します。 管理者は errorWhenNoCallback 属性を設定して、カスタム バインド リスナー コンポーネントがコールバック インターフェイスに関する情報を返さない場合、DRDA サービスが DRDA AR クライアントにバインド開始応答メッセージ (BGNBNDRM) を返すようにする必要があります。
管理者は、セキュリティで保護されたディレクトリ ( \Program Files\ Microsoft Host Integration Server 2020\system など) から、署名されて .NET Framework グローバル アセンブリ キャッシュ (GAC) にインストールされているカスタム バインド リスナー アセンブリのみを読み込むよう DRDA サービスに指示する必要があります。 DRDA サービスがカスタム バインド リスナーを読み込めなかった場合、DRDA サービスは起動せず、次の Windows アプリケーション イベント メッセージをログに記録します。
イベント 1027: Microsoft Service for DRDA はテキスト トレース リスナーを読み込めません。 MsDrdaService.exe.config アプリケーション構成ファイルの system.diagnostics セクションの sources 要素のソース属性値を確認します。
DRDA サービス トレース リスナー
DRDA サービスに関する問題のトラブルシューティングを行うには、トレース出力、Windows イベント ログ エントリ、および一般的な問題の解決策を理解します。 DRDA サービスでは、既定のテキスト エンコーダー、既定のコンソール エンコーダー、ETW (Windows イベント トレース) リスナー、オプションのカスタム エンコーダーなど、複数の同時トレース リスナーがサポートされています。
トレース出力には、セキュリティで保護する必要がある情報が含まれています。 DRDA サービスは、トレース リスナーをインプロセスで実行します。 既定では、トレース リスナーは無効になっています。 管理者は、MsDrdaService.exe.configファイルの system.diagnostics セクション内の sources 要素の listeners 要素内の要素をコメント解除することで、リスナーごとにトレース出力を有効にすることができます。
管理者は traceLevel 属性を設定して、DRDA サービスが情報のコレクションをトレースし、トレースの最大レベルを設定する必要があります。 また、管理者はオプションの maxTraceEntries 属性を設定して、DRDA サービスが最大エントリ数までトレースし、トレースを停止する必要があります。
テキスト トレース リスナーを使用する場合、管理者はオプションの maxTraceFiles 属性を設定して、DRDA サービスがテキスト リスナー トレース出力を個々のトレース ファイルの最大数に書き込み、既存のトレース ファイルを上書きする必要があります。 また、管理者は、追加の省略可能な traceFileFolder 属性を設定して、テキスト リスナートレース出力ファイルの書き込み先を DRDA サービスに指示する必要があります。 既定値は \Program Files\Microsoft Host Integration Server 2020\traces です。 HIS 構成プログラムは、トレース フォルダー内のすべてのファイルへのアクセスを、HIS Administrators Local Group および HIS Runtime Users Local Group のメンバーに制限します。 フォルダーのセキュリティに関連付けられているセキュリティ グループの詳細については、「セキュリティ」トピックを参照してください。
トレースに関する問題を追跡するために、DRDA サービスは Windows アプリケーション イベント ログにメッセージを書き込みます。 管理者はイベント ログを確認して、トレースに関する問題を追跡して修正する必要があります。
| イベント ID | レベル | タスク カテゴリ | テキスト |
|---|---|---|---|
| 1024 | エラー | 拡張 | Microsoft Service for DRDA では、カスタム トレース リスナーを読み込めません。 |
| 1027 | Warnung | ロギング(記録) | Microsoft Service for DRDA は、テキスト トレース リスナーを読み込めません。 MsDrdaService.exe.config アプリケーション構成ファイルの system.diagnostics セクションの sources 要素のソース属性値を確認します。 |
| 1028 | Warnung | ロギング(記録) | Microsoft Service for DRDA がトレース ログ ファイルを書き込めませんでした。 MsDrdaService.exe.config アプリケーション構成ファイルの system.diagnostics セクションの sharedListeners 要素の属性値を確認します。 |
| 1030 | 情報 | ロギング(記録) | Microsoft Service for DRDA によってトレース リスナー インスタンスが作成されました。 |
| 1031 | Warnung | ロギング(記録) | Microsoft Service for DRDA で、構成されたディレクトリにトレース ログ ファイルが見つかりませんでした。 MICROSOFT Service for DRDA では、既定の場所に新しいトレース ログ ファイルが作成されます。 MsDrdaService.exe.config アプリケーション構成ファイルの system.diagnostics セクションの sharedListeners 要素のソース traceFileFolder 値を確認します。 |
| 1032 | 情報 | ロギング(記録) | Microsoft Service for DRDA トレース ファイルには、許容されるトレース エントリの最大数が含まれています。 MsDrdaService.exe.config アプリケーション構成ファイルの system.diagnostics セクションの sharedListeners 要素の maxTraceEntries 属性値を確認します。 |
| 1043 | Warnung | トレース/ログ | MICROSOFT Service for DRDA で、指定されたトレース ディレクトリ {0}の作成に失敗しました。 既定のトレース ディレクトリを使用します。 |
| 1044 | エラー | トレース/ログ | Microsoft Service for DRDA は、トレース ファイル {0}を作成できませんでした。 例外メッセージ: {1} |
SQL Server への DRDA サービス接続
DRDA サービスは、Microsoft ADO.NET Framework Provider for SQL Server と基になる SQL クライアントを介して SQL Server に接続します。 管理者は、MsDrdaService.exe.config ファイルのデータベース要素を使用して、アウトバウンド SQL クライアント接続を管理するためのネットワーク設定を定義できます。
DRDA サービスは、インメモリ、名前付きパイプ、TCP/IP 接続を使用して、ローカルおよびリモートの SQL Server データベース サーバーにアクセスできます。 既定のネットワーク ライブラリは共有メモリ (dbmslpcn) です。 管理者は、MsDrdaService.exe.config ファイル内のデータベース要素内の connectionString 属性のネットワーク ライブラリ引数値を確認できます。
DRDA サービスは、Secure Sockets Layer (SSL) 暗号化を使用して、TCP/IP ネットワーク接続を介してリモート SQL Server データベース サーバーに接続できます。 既定値は SSL 暗号化なしです。 管理者は、MsDrdaService.exe.config ファイル内のデータベース要素内の connectionString 属性に Encrypt=true 引数値ペアを指定することで、SSL を使用するように DRDA サービスに指示できます。
DRDA サービスは、セキュリティ サポート プロバイダー インターフェイス (SSPI) を介して、アウトバウンド Windows 認証を使用して SQL Server 接続を認証できます。 既定値には SSPI がありません。 管理者は、MsDrdaService.exe.config ファイル内のデータベース要素内の connectionString 属性に Integrated Security=true 引数値ペアを指定することで、Windows 認証を使用するように DRDA サービスに指示できます。
DRDA サービスは、Microsoft 分散トランザクション コーディネーター (MS DTC) によって保護されている SQL Server データベースに接続するときに、Transact-SQL 分散トランザクションを使用します。 管理者は、DRDA サービス トレース、SQL Server プロファイラー トレース、MSDTC ログを使用して、SQL Server へのアクセス (ソース、時刻、データの概要) をログに記録できます。
DRDA サービスのフェールオーバー
DRDA サービスは、DRDA クライアント トランザクション負荷分散を使用して、基本的なフェールオーバーを提供するためにグループ内で動作できます。 グループは、ローカル サービス ロール (プライマリまたはセカンダリ)、使用可能なフェールオーバー パートナー サーバー、およびグループ内のサーバーの正常性を監視するための ping 間隔を指定することによって定義されます。 接続時に、プライマリ DRDA サービスは DRDA サービス インスタンスの重み付けされたリストを持つ DRDA SRVLST (サーバー リスト) を DRDA クライアントに返します。 プライマリ DRDA サービスのフェールオーバーの場合、DRDA クライアントはこの情報を使用して、DRDA サービス コンピューターのペアの代替メンバーに接続できます。
管理者は、EXCSAT (Exchange Server 属性) フローを実行し、EXCSATRD (EXCSAT 応答データ) を確認することで、パートナー サーバー コンピューターの正常性を監視する頻度を DRDA サービスに指示する pingInterval 属性を指定できます。 既定値は、10000 ミリ秒 (10 秒) です。 管理者は、オプションの clientIpAddressesAllowed 属性にパートナー サーバー コンピューターの IP アドレスまたはエイリアスを含めることができます。これは、DRDA サービスが既知の DRDA サービス パートナー コンピューターの一覧からバインドされた TCP/IP ネットワーク接続を受け入れるように制限します。 管理者は useSSL 属性を指定して、インバインド TCP/IP ネットワーク接続に応答するときにトランスポート層セキュリティ (TLS) バージョン 1.0 を使用するように DRDA サービスに指示できます。
管理者は、DRDA サービス トレースを使用して、パートナーの ping (ソース、時刻、データの概要) をログに記録できます。 管理者は、Windows アプリケーション イベント ログを使用して、DRDA サービスのプライマリ状態、パートナーの状態、および DRDA サーバー一覧の変更を追跡できます。
イベント 1017: Microsoft Service for DRDA はパートナー サーバーの役割で動作しています。
イベント 1018: MICROSOFT Service for DRDA によって DRDA SRVLST (サーバー リスト) の値が変更されました。
DRDA サービスは、DRDA トランザクション負荷分散の代わりに、または DRDA トランザクション負荷分散と組み合わせて、SQL Server クラスタリングとミラーリングに参加します。 管理者は、MsDrdaService.exe.config ファイル内のデータベース要素内の connectionString 属性にフェールオーバー パートナー引数の値ペアを指定できます。
DRDA サービスへの DRDA クライアント接続
DRDA クライアントは、DRDA プロトコルを使用して DRDA サービスに接続し、TCP/IP ネットワーク接続全体でフォーマットします。 管理者は、MsDrdaService.exe.config ファイルの connectionManager 要素を使用して、インバインド DRDA クライアント接続を管理するためのネットワーク、セキュリティ、およびフェールオーバーの設定を含めることができます。
管理者は、オプションの clientIpAddressesAllowed 属性にパートナー サーバー コンピューターの IP アドレスまたはエイリアスを含めることができます。これは、DRDA サービスが既知の DRDA クライアント コンピューターの一覧から、バインドされた TCP/IP ネットワーク接続を受け入れるように制限します。 また、管理者は useSSL 属性を指定して、インバインド DRDA クライアント TCP/IP ネットワーク接続に応答するときにトランスポート層セキュリティ (TLS) バージョン 1.0 を使用するように DRDA サービスに指示できます。 管理者は、Windows アプリケーション イベント ログを使用して、許可されていない IP アドレスからの DRDA クライアント接続の試行を追跡できます。
イベント 1036: Microsoft Service for DRDA が、サービス拒否攻撃の可能性を検出しました。 Microsoft Service for DRDA は、構成ファイルの clientIpAddressesAllowed 属性で構成されていない TCP/IP アドレスからの DRDA クライアント要求を拒否しました。
DRDA サービスは、DRDA クライアントと DRDA サービスの間の分散作業単位 (DUW) トランザクションを使用して、保護された 2 フェーズ のトランザクションのみをコミットします。 DRDA サービスは、分離を提供するために、個別のスレッドで DRDA クライアント接続を処理します。 DRDA サービスは、DRDA クライアント コマンドを検証して、DRDA プロトコル コード ポイント、インスタンス変数、コマンド構文、応答メッセージ、および書式設定されたデータ値に準拠していることを確認します。 DRDA サービスは、コマンド テキストとパラメーター値を解析して、パラメーター構文を使用して対応する SQL Server Transact-SQL コマンドに構文をマップします。 管理者は、Windows アプリケーション イベント ログを使用して、認証されていないユーザーからの DRDA クライアント認証の試行を追跡できます。
イベント 1012: MICROSOFT Service for DRDA が ESSO サーバーからアクセス トークンを取得できませんでした。
統合認証を提供するために、DRDA サービスは、Microsoft Enterprise Single Sign-On (ESSO) を使用したインバインド資格情報の検証とマッピングと、Windows SSPI (セキュリティ サポート プロバイダー インターフェイス) を使用したアウトバウンド SQL Server 認証を組み合わせることができます。 たとえば、DRDA サービスは ESSO と連携して、IBM RACF (リソース アクセス制御機能) のユーザー名とパスワードを Microsoft Windows Active Directory ドメイン\ユーザー名にマップし、統合セキュリティを使用してリモート SQL Server データベースに接続できます。 または、DRDA サービスは Kerberos 認証をサポートします。
管理者は、DRDA サービス トレースを使用して SQL Server へのアクセス (ソース、時刻、データの概要) をログに記録できます。 また、管理者はイベント ログを確認して、DRDA クライアント接続に関する問題を追跡して修正する必要があります。