SharePoint SPNを構成してKerberosを有効化する

SharePoint サービスプリンシパル名(SPN)を構成し、SharePointをAccess Gateway Kerberosアプリケーションとして構成します。

SharePointでは、Active Directory管理者アカウントではなく、定義された構成に使用すべきでないサービスアカウントを使用する必要があります。

次の例では、SharePoint FQDNとしてsharepoint.atko.bizを使用し、サービスアカウントとしてMYDOMAIN\spadminを使用します。

  1. マシンにSPNを設定します。次のコマンドは、Active Directoryドメイン管理者権限を有するユーザーが実行する必要があります。このコマンドは、ドメイン内のどのコンピューターでも実行することができ、ドメインコントローラーにログインする必要がありません。

    コピー
    マシンのSPNを設定する一般的なsetspnコマンド
    setspn -U -S HTTP/<SPN> <DOMAIN>\spadmin
    • -U<SPN>がユーザーアカウントであることを指定します。
    • -S <SPN>:重複がないことを確認後、コンピューター用に指定されたSPNを追加します。
    コピー
    setspnコマンドの例
    setspn -U -S HTTP/sharepoint.atko.biz MYDOMAIN\spadmin
  2. SharePoint中央管理サービスに接続し、SharePointの管理者としてサインインします。
  3. [Central Administration(中央管理)]>[Manage web applications(Webアプリケーションを管理)]の順に進みます。
  4. SharePoint Webアプリケーションインスタンス(一般的にはSharePoint - 80)を選択します。
  5. [Authentication(認証)]をクリックします。
  6. [Zone(ゾーン)](一般的には[Default(デフォルト)]を選択します。
  7. [Claims Authentication and Types(クレームの認証とタイプ)]セクションまでスクロールします。
  8. [Negotiate(ネゴシエート)(Kerberos)]を選択します。
  9. [Save(保存)]をクリックします。

SharePointアプリケーションは、アプリケーションをホスティングするすべてのSharePointサーバーで再度プロビジョニングされます。これはサービスを短時間中断させます。

サービスが再開したら、ユーザーは以前通りSharePointインスタンスにアクセスできるか確認してください。