Share via

SharePoint Server のオンデマンド評価の概要 - 統合

  • [アーティクル]

前提条件

SharePoint Server ツール マシンのオンデマンド評価を準備する方法 ツール マシンは、環境内の各サーバーに接続して情報を取得するために使用され、リモート プロシージャ コール (RPC)、サーバー メッセージ ブロック (SMB)、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) および分散コンポーネント オブジェクト モデル (DCOM) を介して通信を行います。 データが収集され、操作インタビューが完了すると、オフライン評価ツールによりデータがローカルで分析されます。

前提条件となるアクションのチェックリストを次に示します。 各項目は、ツール マシンに必要な追加のソフトウェアのいずれかにリンクしており、このドキュメントの後半には詳細な手順が示されます。

マシン要件とアカウントの権利

1. ハードウェアとソフトウェア:

サーバー クラスまたはハイエンド ワークステーション コンピュータには、次が使用されます。

  • 最小 2GHz シングル プロセッサ — 推奨されるデュアル コア/マルチ コア 2GHz 以上のプロセッサ。

  • 最小 4 GB RAM—推奨される 12 GB RAM。

  • 最小 5 GB の空きディスク領域。

  • ハイエンド ワークステーション: Windows 11、Windows 10

  • サーバー: Windows Server 2022、Windows Server 2019、Windows Server 2016

    • 32 ビットまたは 64 ビットのオペレーティング システムも使用できます。

  • 1024x768 以上の画面解像度 (高い方が優先される)

  • レポート作成用の Microsoft Office (Word、Excel、および PowerPoint)。

  • 分析されている SharePoint ファームと同じドメインのメンバーである必要があります。

  • Microsoft® .NET Framework 4.8 — https://dotnet.microsoft.com/en-us/download/dotnet-framework/net48

    注: SharePoint Server にインストールされている .NET のバージョンが 4.6.2 以上で、ツール マシンにインストールされているバージョンよりも高い場合、ターゲットの SharePoint Server にインストールされているバージョン以上である必要があります。

  • Windows PowerShell 5.0 以降

    • PowerShell 5.0 は、Windows Management Framework 3.0 の一部です。https://support.microsoft.com/kb/2506143
    • Windows PowerShell のシステム要件
    • PowerShell の実行ポリシーは、ツール マシンとサーバーの両方で remotesigned に設定されている必要があります。
    • 実行ポリシーの設定は、PowerShell コマンド ウィンドウの "get-executionpolicy –list" を使用して検証できます。

  • ネットワーク接続された「ドキュメント」またはリダイレクトされた「ドキュメント」フォルダーはサポートされません。 データ収集用のマシンではローカルの「ドキュメント」フォルダーが必須です。

  • IIS 管理ツール (IIS 7 管理コンポーネント)

  • リモート管理 (RPC) のファイアウォールの例外 – 動的ポート範囲

2. アカウントの権限

次を含むドメイン アカウント:

  • SharePoint 環境に含まれるすべてのサーバーのローカルの管理者グループのメンバー
  • すべてのサービス アプリケーションに対するフル コントロール。
  • SharePoint データベースをホストする SQL インスタンスの "SysAdmin" グループのメンバー
  • ツール マシンからすべてのサーバーへの無制限のネットワーク アクセス
  • SharePoint ファーム管理者グループのメンバー
  • ツール マシンからすべてのサーバーへの無制限のネットワーク アクセス

オフライン評価クライアントを実行しているコンピューターで PowerShell スクリプトを実行する機能。 Windows PowerShell 実行ポリシーは、RemoteSigned またはローカル スクリプトを実行する同等の機能を提供するポリシーに設定する必要があります — https://technet.microsoft.com/library/hh847748.aspx

警告: 検出プロセスとコレクターが失敗する可能性があるため、「別のユーザーとして実行」機能を使用してクライアント ツールセットを起動しないでください。 クライアント ツールセットを起動するアカウントは、ローカル マシンにログオンする必要があります。

Premier プロアクティブ評価サービス ポータル (https://services.premier.microsoft.com) をアクティブ化してサインインするには、Microsoft アカウントが必要です。 これは、アクセス トークンをアクティブ化し、ツールセットをダウンロードするサービスとしての RAP ポータルです。

  • 持っていない場合は、https://login.live.com で作成することができます。
  • ウェルカム メールのトークンの有効期限が切れている場合、または有効化できなくなった場合は、CSAM にお問い合わせください。 トークンは 10 日後に期限切れになります。 CSAM は、追加のユーザーに対して新しいアクティベーション トークンを提供できます。

3. ネットワークとリモート アクセス

ツール マシン、またはデータのアクティブ化、ダウンロード、送信が行われるマシン上のブラウザーで JavaScript が有効になっていることを確認します。 「ブラウザーでスクリプトを有効にする方法」に一覧表示されている手順に従います。

Internet Explorer は、ポータルが適切に動作するために推奨されるブラウザーです。 Internet Explorer セキュリティ強化の構成 (ESC) が、サイトで JavaScript をブロックしていないことを確認します。 回避策は、https://services.premier.microsoft.com ポータルにアクセスする際に Internet Explorer ESC を一時的に無効にすることです。

ツール マシンからすべてのサーバーまでの無制限のネットワーク アクセス これは、サーバーのいずれかのトラフィックを制限している可能性のあるファイアウォールおよびルーター ACL を経由してアクセスするということです。 これには、次のリモート アクセスが含まれます。

  • DCOM
  • リモート レジストリ サービス
  • Windows Management Instrumentation (WMI) サービス
  • 既定の管理用共有 (C$、D$、IPC$)。

ポートとプロトコルのアクセス要件:

データ収集に使用するマシンに次が含まれていることを確認します。

  • すべてのサーバーへの RPC アクセスを含む、完全な TCP/UDP アクセス。
  • ポート 135、および 139 または 445 経由のアクセスも必須です。
  • Windows リモート管理 (WinRM) では、HTTP 用のポート 5985 が使用されます。 PowerShell コマンドはこのポートを介してリモートで実行されるため、ツール マシンとポート 5985 でデータ収集の対象となる SharePoint Server 間の通信を有効にする必要があります。

注: このドキュメントのセクション 6 のリモート PowerShell および CredSSP の構成手順を実行すると、構成の一部としてポート 5985 を開くように求めるメッセージが表示されます。画面の指示に従い、[はい] を選択してポートを開くようにしてください。

Windows Server 2016 以降を実行しているすべてのサーバーでリモート イベント ログ管理が有効になるように、サーバーのファイアウォールを構成します。

リモート イベント ログ管理が許可されていない場合、オフライン クライアントは Windows Server 2016 以降からイベント ログ情報を収集できない可能性があります。 リモート管理が有効な場合、ターゲット サーバーで次のサービスを開始する必要があります。

  • WMI
  • リモート レジストリ サービス
  • サーバー サービス
  • ワークステーション サービス
  • ファイルとプリンターの共有サービス
  • 自動更新サービス

Windows Server 2016 以降を実行しているすべてのサーバーで「リモート イベント ログ管理」が有効になるように、サーバーのファイアウォールを構成します。

「リモート イベント ログ管理」が許可されていない場合、オフライン評価クライアントは Windows Server 2016 以降からイベント ログ情報を収集できない可能性があります。 “リモート管理” が有効になっている場合、リモート イベント ログ管理を許可するルールも有効化されます。

Windows ファイアウォール

ツールで Windows Server ホストからイベント ログ データを収集できるかどうかをテストするには、eventvwr.msc を使用して Windows Server サーバーへの接続を試してください。 接続できる場合は、イベント ログ データを収集できます。 リモート接続が失敗した場合は、Windows 組み込みファイアウォールを有効にして "リモート イベント ログ管理" を許可する必要があります。

接続テスト

  • イベント ログ: ツールで Windows Server からイベント ログ データを収集できるかどうかをテストするには、eventvwr.msc を使用してみます。 接続できる場合は、イベント ログ データを収集できます。 リモート接続が失敗した場合は、Windows 組み込みファイアウォールを有効にして "リモート イベント ログ管理" を許可する必要があります。
  • レジストリ: regedit.exe を使用して、ターゲット サーバーへのリモート レジストリ接続をテストします ([ファイル]、>[ネットワーク レジストリへの接続] の順に選択)。
  • ファイル: ターゲット サーバーの C$ と Admin$ 共有に接続して、ファイル アクセスを確認します。

4. Windows Server 2016 以降の追加要件:

A. コマンド プロンプトから IPConfig.exe を使用して、現在の IP アドレスを識別するために選択したデータ収集用のマシンにログインします。 出力例は次のとおりです。

C:\>ipconfig
Windows IP Configuration
Ethernet adapter Ethernet:
Connection-specific DNS Suffix  . :
Link-local IPv6 Address . . . . . : fe80::X:X:X:X%13
IPv4 Address. . . . . . . . . . . : X.X.X.X
Subnet Mask . . . . . . . . . . . : X.X.X.X
Default Gateway . . . . . . . . . : X.X.X.X
  • マシンの IPv4 アドレスをメモします。 構成の最後の手順では、このアドレスを使用して、データ収集用のマシンのみが確実に SharePoint Server ファーム上の Windows Update エージェントと通信できるようにします。

B. グループ ポリシー オブジェクトを作成して構成し、サーバーのドメイン内の SharePoint Server OU にリンクさせます。

グループ ポリシー オブジェクト

新しい GPO を作成する

GPO が SharePoint Server の組織単位に適用されることを確認します。

注: スコープ外の他のサーバーが OU 内に存在する場合は、セキュリティ グループのフィルター処理を使用して、グループ ポリシーの適用を SharePoint Server のみに制限できます。

  • GPO 内で開く: コンピューターの構成\ポリシー\Windows の設定\セキュリティの設定\セキュリティが強化された Windows ファイアウォール\セキュリティが強化された Windows ファイアウォールの順に移動します。
  • [受信の規則] を右クリックし、[新しい規則] をクリックします。
  • 作成するルールは、ローカル ポリシーまたは受信ルールが定義されている他のグループ ポリシー オブジェクトを通じて、SharePoint Servers で既に有効になっているルールとマージされます。
  • [新しい受信規則ウィザード] で、[規則の種類] ページの [カスタム]、[次へ] の順にクリックします。
  • [プログラム] タブで [このプログラム パス] を選択し、引用符なしで次のパスを挿入します。
  • 以下の図に示すように「%SystemRoot%\system32\dllhost.exe」から [次へ] を選択します。

DL ホスト

[プロトコルとポート] ページで、[プロトコルの種類] に [TCP] を、[ローカル ポート] に [RPC 動的ポート] を選択し、次の図に示されているように [次へ] を選択します。

プロトコルの種類、プロトコル番号、ローカル ポート、リモート ポート フィールドを含む確認ウィンドウのスクリーンショット。

  • [スコープ] ページで、[この規則を適用するリモート IP アドレスを選択してください] の下の [これらの IP アドレス] を選択し、[追加] をクリックします。 最初のステップで識別されたデータ収集用のマシンの IP アドレスを挿入します。 [OK] をクリックし、[スコープ] ページで [次へ] をクリックします。
  • [操作] ページで [接続を許可] を選択し、[次へ] を選択します。
  • [プロファイル] ページで既定のプロファイルをオンのままにし、[x.x.x.x から WUA への受信を許可する] と同様に、[名前] ページで、許可する内容を説明するルールに名前を与え、ルール作成ウィザードを終了し、ルールをファイアウォール ポリシーにコミットします。
  • ルールが適用されると、ナビゲーション ノードを監視するセキュリティが強化された Windows ファイアウォール MMC (WF.MSC) を介するか、次の PowerShell コマンド “Get-NetFirewallRule -Enabled true -policystore ActiveStore” の出力を参照して作成されたルールが表示されることを確認することによって、ルールをアクティブとして確認できます。

5. リモート PowerShell と CredSSP 構成 (ツール マシン)

リモート PowerShell と CredSSP 構成 (ツール マシン) ツール マシンで、オプションの [管理者として実行] を使用して PowerShell プロンプトを起動します。 そして、次のコマンドを実行します (以下のコマンドを実行する前に、以下の重要な注意を参照してください)

Enable-WSManCredSSP -Role client -DelegateComputer <SharePointServer FQDN>

注意:

  • 上記のコマンドの "SharePointServer FQDN" は、データ収集時に "ツール マシン" が接続する "ターゲット サーバー" です。 ホスト名だけでなく、SharePoint Server の FQDN を使用する必要があります。
  • このコマンドを成功させるには、WinRM サービスを実行させる必要があります。

6. リモート PowerShell と CredSSP 構成 (ターゲット ファーム サーバー)

ターゲット サーバーで (ターゲット サーバーについて学習するには、このドキュメントの最初のページと 4 ページ目を参照してください)、オプションの [管理者として実行] を使用して PowerShell プロンプトを起動します。 そして、次のコマンドを実行します (以下のコマンドを実行する前に、以下の重要な注意を参照してください)

winrm quickconfig
Enable-WSManCredSSP -Role server

注:

SharePoint 2013、SharePoint 2016 および SharePoint 2019 ファームは、現在のみサポートされています。 SharePoint Server のオンデマンド評価は、SharePoint Server 2010 以前をサポートしていません。

SharePoint Server のオンデマンド評価は、SQL を実行している SQL Server (SQL Server 2014、SQL Server 2012 など) を基盤とした SharePoint ファームをサポートしています。 以前のバージョンの SQL Server はサポートされていません。

7. リモート PowerShell と CredSSP 構成

評価の一環として、ほとんどの SharePoint 情報は、ツール マシンから PowerShell スクリプトをリモートで実行することによって収集されます。 PowerShell スクリプトをターゲット サーバー上でリモートで実行できるように、CredSSP 委任を正しく構成することは非常に重要です。 以下のスクリプトは、ターゲット サーバーにスクリプトを接続して実行することにより、CredSSP が正しく構成されているかどうかを知るのに役立ちます。 ツール マシンから次のスクリプトを実行します。

以下のスニペットを実行すると、SharePoint ファームのすべての SharePoint コンテンツ データベースの一覧が出力されます。

$farm = Get-Credential
$s = New-PSSession -ComputerName [FQDN of Target Server] -Authentication CredSSP -Credential $farm
Invoke-Command -Session $s -ScriptBlock { add-pssnapin Microsoft.SharePoint.PowerShell -ea 0 }
Invoke-Command -Session $s -ScriptBlock { get-spfarm }
Invoke-Command -Session $s -ScriptBlock { get-spcontentdatabase }
Get-PSSession | Remove-PSSession

注:

"ターゲット サーバーの FQDN" は、CredSSP が有効になっている SharePoint Server です (ターゲット サーバーの詳細については、このドキュメントの最初のページと 4 ページ目を参照してください)。

**上記のテストが失敗した場合は、評価を続行しないで、CSAM に連絡してさらに支援を求めてください。

データ収集方法

付録: データ収集方法

SharePoint Server のオンデマンド評価では、複数のデータ収集方法を使用して情報を収集します。 このセクションでは、SharePoint 環境からデータを収集するために使用される方法について説明します。 データ収集に VB スクリプトは使用されません。 データ収集ではワークフローとコレクターを使用します。 コレクターは次のとおりです。

  • レジストリ コレクター
  • SharePoint PowerShell スクリプト
  • イベント ログ コレクター
  • SQL クエリ
  • IIS 情報
  • ファイル データ コレクター
  • WMI

レジストリ コレクター:

レジストリ キーと値は、SharePoint Server オンデマンド評価のデータ収集用のマシン (別名ツール マシン) と SQL Server を含む、すべての SharePoint Server から読み取ります。 次のような項目が含まれます。

  • HKLM\SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo からの SQL エイリアス情報

これにより、評価では、SharePoint Server が SQL エイリアスを使用して、SharePoint データベースをホストしている SQL Server に接続しているかどうかを判断できます。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion からのオペレーティング システム情報

これにより、Windows 11、Windows 10、Windows Server 2022、Windows Server 2019、Windows Server 2016 などのオペレーティング システム情報を確認できます。

SharePoint PowerShell スクリプト:

SharePoint データの大部分は、SharePoint PowerShell スクリプトの実行を介して収集されます。 たとえば、大規模なリスト ビュー、代替アクセス マッピング、SharePoint サービス、ULS 情報、SharePoint リスト情報、SharePoint 検索、タイマー ジョブなどに関する情報は、すべて SharePoint PowerShell スクリプトを使用して収集されます。

これらのスクリプトは、ターゲット マシンに接続することにより、ツール マシンからリモートで実行されます。 ツール マシンとターゲット マシンの詳細については、このドキュメントの 1 ページ目と 4 ページ目を参照してください。

イベント ログ コレクター:

SQL Server を含むすべての SharePoint Server からイベント ログを収集します。 オフライン評価では、アプリケーション ログとシステム ログから過去 7 日間の警告とエラーを収集します。

SQL クエリ:

SharePoint SQL インスタンスによってホストされている SQL データベースに関する情報の一部は、SQL スクリプトを使用して収集されます。 たとえば、SQL データおよびログのファイル (サイズと次に拡張するサイズなど)、SQL インスタンス プロパティ (統合セキュリティを使用している場合、インスタンスがクラスタ化されている場合など)、インデックスの断片化、統計情報などに関連する情報は、すべて SQL スクリプトを介して収集されます。

IIS 情報:

IIS Web サイトとアプリ プールの構成の詳細は、.NET コードとワークフローを使用して収集されます。

ファイル データ コレクター

リモート マシンでフォルダー内のファイルを列挙し、必要に応じてそれらのファイルを取得します。 たとえば、web.config ファイル、IIS ログ ファイル、アプリ ホスト構成ファイルなど、

Windows Management Instrumentation (WMI):

WMI は、次のようなさまざまな情報を収集するために使用されます。

  • WIN32_Volume: SharePoint 環境内の各サーバーのボリューム設定に関する情報を収集します。 この情報は、たとえば、SharePoint のオフライン評価でシステム ドライブ上のファイルに関する情報を収集できるようにする、システム ボリュームとドライブ文字を決定するために使用されます。

  • Win32_Process: SharePoint 環境内の各サーバーで実行しているプロセスに関する情報を収集します。 この情報は、大量のスレッド、メモリ、または大規模なページ ファイルの使用量を使用するプロセスの分析情報を提供します。

  • Win32_LogicalDisk: 論理ディスクに関する情報収集に使用します。 この情報を使用して、データベースまたはログ ファイルが格納されているディスクの空き領域を決定します。