次の方法で共有


SPN を NLB 管理ポイント サイト システムとして構成する方法

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

トピックの最終更新日 -- 2007 年 8 月

管理ポイント サイト システムが混在モード サイトのネットワーク負荷分散 (NLB) クラスタで構成されている場合、そのサイト システム Web サイトのインターネット インフォメーション サービス (IIS) Web サイト アプリケーション プールをそのサイト システム コンピュータのローカル システム アカウントを使用して実行すると、クライアントは Kerberos 認証を使用したサイト システムの認証ができなくなります。サイト システムが NLB クラスタで構成されている場合、ドメイン ユーザー アカウントがそのサイト システムに関連する IIS Web サイト アプリケーション プールを実行するように構成する必要があります。

重要

ネイティブ モードで運用しているサイトでは、ネットワーク負荷分散クラスタに構成されている管理ポイント サイト システムのサービス プリンシパル名を構成する必要はありません。

認証プロトコルとして Kerberos を使用するには、サイト システムの IIS アプリケーション プールの ID がドメイン ユーザー アカウントとそのアカウント用の Active Directory ドメイン サービスに登録されている SPN を使用するように構成する必要があります。SetSPN ユーティリティを使用して、NLB サイト システムの IIS アプリケーション プールを実行するように構成されているドメイン ユーザー アカウントの SPN を登録することができます。SetSPN ユーティリティは、サイト サーバーのドメイン内にあるコンピュータで、ドメイン管理者の資格情報を使用して実行する必要があります。SetSPN ユーティリティを使用してネットワーク負荷分散用に構成されたサイト システムの SPN を正しく構成するには、次の手順に従います。

注意

SetSPN ユーティリティを使用する場合、または ADSIEdit MMC コンソールを開く場合は、まず、Microsoft Windows Server サポート ツールをインストールする必要があります。これらのツールは、Windows 2000 Server および Windows Server 2003 の CD のサポート ツール フォルダに格納されています。Windows Server サポート ツールをインストールするには、サーバーのインストール CD の \SUPPORT\TOOLS\ に移動し、suptools.msi を実行します。

IIS アプリケーション プール サービス アカウント用にドメイン ユーザーのサービス プリンシパル名 (SPN) を手動で作成するには

  1. [スタート]ボタン、[ファイル名を指定して実行]の順にクリックし、[ファイル名を指定して実行]ダイアログ ボックスに「cmd」と入力します。

  2. コマンド ラインから、Windows Server サポート ツールのインストール ディレクトリに移動します。既定では、これらのツールは C:\Program Files\Support Tools ディレクトリにあります。

  3. 有効なコマンドを入力して SPN を作成します。このコマンドは、Setspn –A HTTP/<NLB クラスタ 名> <ドメイン\ユーザー名> という形式で指定する必要があります。

  4. 更新されたオブジェクト ラインに表示されるコマンドの出力結果を確認し、コマンドが正常に完了したことを確認します。

ADSIEdit MMC コンソールを使用して SPN が正しく登録されていることを検証するには

  1. IIS サービス アカウントとして使用するドメイン ユーザー アカウントを作成または選択します。

  2. [スタート]ボタン、[ファイル名を指定して実行]の順にクリックし、「adsiedit.msc」と入力して ADSIEdit MMC コンソールを起動します。

  3. 必要に応じて、サイト サーバーのドメインに接続します。

  4. コンソール ペインで、サイト サーバーのドメインを展開し、[DC=<サーバー識別名>]、[CN=Users]の順に展開し、[CN=<サービス アカウント ユーザー>]を右クリックします。コンテキスト メニューの[プロパティ]をクリックします。

  5. [CN=<サービス アカウント ユーザー>のプロパティ]ダイアログ ボックスで、[servicePrincipalName]の値を確認し、有効な SPN が作成され、正しい NLB クラスタ名に関連付けられていることを確認します。

負荷分散クラスタに構成されている管理ポイントの Kerberos 認証を構成するには

  1. サイト システムの IIS アプリケーション プール サービス アカウントとして構成するドメイン ユーザー アカウントを、NLB クラスタの一部として構成されている各サイト システムのローカル管理者グループに追加します。

  2. サイト システムの IIS アプリケーション プール サービス アカウントとして構成するドメイン ユーザー アカウントを、NLB クラスタの一部として構成されている各サイト システムのローカル IIS_WPG グループに追加します。

  3. [スタート]メニューのプログラム グループにある[管理ツール]から[インターネット インフォメーション サービス]を開きます。

  4. IIS マネージャの[アプリケーション プール]を展開します。

  5. [CCM Windows Auth Server Framework Pool]を右クリックして[プロパティ]をクリックします。

  6. [ID]タブをクリックします。

  7. アプリケーション プール ID のオプション グループで[構成可能]が選択されていることを確認し、[参照]をクリックして、IIS サービス アカウントとして動作するために作成されたドメイン ユーザー アカウントを選択します。[パスワード]テキスト ボックスにアカウントのパスワードを入力します。

  8. [OK]をクリックします。[パスワードの確認]ダイアログ ボックスに IIS サービス アカウントのパスワードを再入力して[OK]をクリックします。

参照:

概念

Configuration Manager サービス プリンシパル名の要件