次の方法で共有

サービス プリンシパル名の登録

  • [アーティクル]

更新 : 2005 年 12 月 5 日

サービス プリンシパル名 (SPN) は、クライアントがサービスのインスタンスを一意に識別するための名前です。Kerberos 認証サービスでは、SPN を使用してサービスが認証されます。クライアントがサービスに接続するときに、サービスのインスタンスが検索され、そのインスタンスの SPN が構成されます。次に、サービスに接続され、認証のためにサービスの SPN が提示されます。

処理内容

データベース エンジンのインスタンスが開始すると、SQL Server は SQL Server サービスに対する SPN の登録を試みます。インスタンスが停止すると、SQL Server は SPN の登録解除を試みます。SPN は、MSSQLSvc**/<FQDN>:**<tcpport> という形式で登録されます。MSSQLSvc は登録されるサービス、<FQDN> はサーバーの完全修飾ドメイン名、<tcpport> は TCP ポート番号です。名前付きインスタンスと既定のインスタンスは、どちらも MSSQLSvc として登録され、インスタンスの区別は <tcpport> の値で行われます。TCP ポートが SPN に含まれているので、SQL Server では Kerberos 認証を使用して接続するユーザー用に TCP プロトコルが有効にする必要があります。

SPN を登録するには、データベース エンジンがローカル システム アカウントまたはドメイン管理者アカウントで実行している必要があります。SQL Server が他のアカウントで実行していると、SPN は起動時には登録されません。ただし、管理者は、必要に応じて SPN を手動で登録できます。クラスタ化された構成にも同じルールが適用されます。SPN の登録の詳細については、「SQL Server フェールオーバー クラスタで Kerberos 認証を有効にする方法」トピックの「手順 3: SQL Server の SPN の作成」のセクションを参照してください。

制限事項

次の制限事項が適用されます。

  • SQL Server 2005 データベース エンジンでは、複数の IP アドレスでリッスンする機能がサポートされていますが、SPN の自動登録では識別された最初のポートだけが登録されます。
  • 専用管理者接続 (DAC) のポートは登録されていません。したがって、Kerberos 認証ではなく NTLM 認証を使用した DAC への接続のみが使用可能です。

起動中に SPN の登録が失敗した場合は、そのことが SQL Server のエラー ログに記録されて、起動が続行されます。

参照

その他の技術情報

sp_ActiveDirectory_SCP (Transact-SQL)
sp_ActiveDirectory_Obj (Transact-SQL)

ヘルプおよび情報

SQL Server 2005 の参考資料の入手

変更履歴

リリース 履歴

2005 年 12 月 5 日
変更内容 :
  • セットアップ時の登録を起動時の登録に訂正しました。
  • 登録解除の情報を追加しました。
  • SPN 作成手順を含むトピックへのリンクを追加しました。