複数のフォレスト間でアカウントを解決する (SharePoint Server 2010)

適用先: SharePoint Server 2010

トピックの最終更新日: 2016-11-30

Microsoft SharePoint Server 2010 は、Active Directory ドメイン サービスのさまざまな構成 (単一のフォレスト環境、複数のフォレスト環境など) で展開できます。

複数のフォレストにわたる SharePoint Server 2010 の展開を計画する際には、主に次の 2 つの構成があります。

• リソース フォレストの展開 2 つ以上のフォレストが、ファイル サーバーやアプリケーション サーバーを含む 1 つ以上のリソース ドメインによって信頼されたユーザー アカウントを含む単一のログオン フォレストで構成されている場合です。

• 複数ログオン フォレストの展開 双方向の信頼によってリソースにアクセスするユーザー アカウントを含む 2 つ以上のフォレストが存在する場合です。

複数のフォレストにわたるアカウントを解決する方法と、これらのフォレスト間の関係を示す図の詳細については、「Microsoft SharePoint Team Blog (英語)」(https://go.microsoft.com/fwlink/?linkid=186152&clcid=0x411) (英語) を参照してください。

リソース フォレストの展開

リソース フォレストの構成が存在するのは、すべてのユーザー アカウントが 1 つ以上のトップレベル フォレスト内に存在する場合です。すべてのユーザーはこれらのフォレストからの資格情報を使用してログオンします。リソース サーバー (Microsoft Exchange Server、SharePoint Server 2010 など) は別のリソース フォレストにインストールされ、このリソース フォレストは各アカウント フォレストに対する一方向の信頼を維持します。このリソース フォレストには、そこにアクセスする各ユーザーのシャドウされた非ログオン アカウントが含まれます。このフォレストには、ユーザー アカウントの ms-ds-Source-Object プロパティに基づいた、ユーザーに関するメタデータが含まれます。

この種類の展開では、SharePoint Server 2010 がリソース フォレストのディレクトリ内にあるコンテナーから Active Directory 情報を引き出し、ユーザー プロファイルおよび個人用サイト Web サイトの作成をこの情報に基づいたものにします。

複数ログオン フォレストの展開

複数ログオン フォレストの展開では、ユーザー アカウントが 2 つ以上のフォレストに配信されます。通常は、すべてのフォレスト間に双方向の信頼が存在します。このシナリオは多くの場合、既存のフォレストを維持して各フォレスト内のリソースへのアクセスをユーザーに提供するために決定された組織間の合併の結果として生じます。多くの既存アプリケーションは、それらが展開されるフォレストの構造に依存しているため、一部のユーザーにはアクセスが必要な各フォレスト内のアカウントが与えられます。

この種類の展開では、ユーザー アカウントがある各フォレストへのディレクトリ接続によって SharePoint Server 2010 フォレストの 1 つに展開されます。その後は、ユーザー オブジェクト内の識別名 (ms-ds-Source-Object-DN) 属性を使用して、ユーザー アカウント間の関連付けを作成する必要があります。単一のユーザーに属する複数アカウント間のこうした関係では、1 つのアカウントが標準アカウントと見なされ、他のすべてのアカウントは標準アカウントの代替と見なされます。Microsoft Forefront Identity Manager を使用すると、ユーザー アカウント オブジェクト間でこの関係を作成できます。

さまざまな機能で想定されるユーザー エクスペリエンスを以下の表に示します。

Web フロントエンド サーバーを準備する

ユーザー選択ウィンドウでは、アプリケーション プール アカウントを使用してユーザーやグループを検索する際に、双方向に信頼されたすべてのドメインに対してクエリを自動的に発行します。ユーザー選択ウィンドウでサブ アカウントを選択すると、標準アカウントの情報が返されます。

一方向の信頼の場合は、次の情報を提示する必要があります。

• フォレストに対してクエリを実行できる権限を持つログオン資格情報

• ユーザー選択ウィンドウでのクエリ実行時に使用される暗号化キー

それぞれの SharePoint Server 2010 Web フロントエンド サーバーがこのアカウントを使用する場合は、以下の手順を使用して暗号化キーを準備します。

Web フロントエンド サーバーを準備するには

1. [スタート] ボタンをクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

2. 次のコマンドを入力します。

   stsadm.exe -o setapppassword -password <key>
   

   ここで、<key> は Web アプリケーションで設定されている暗号化キーです。

フォレスト間で資格情報を登録する

SharePoint Server 2010 では、シームレスなユーザー エクスペリエンスを提供するために、複数のフォレストからのユーザー アカウント間の関連付けを追跡できます。こうしたアカウントの関係を確立するには、以下の手順に示すように、Stsadm コマンドライン ツールを使用します。

以下の手順を実行するには、SharePoint Server 2010 を実行しているサーバーの Farm Administrators グループのメンバーである必要があります。

フォレスト間で資格情報を登録するには

1. [スタート] ボタンをクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

2. 次のコマンドを入力します。

   stsadm.exe -o setproperty -url <http://server:port> -pn "peoplepicker-searchadforests" -pv "<forest:contoso.com;domain:corp.contoso.com>", <LoginName>,<Password>, <Key>
   

   ここで、

   • <http://server:port> はアクセス権を付与する Web アプリケーションの URL です。

   • <forest:contoso.com;domain:corp.contoso.com> はユーザー アカウントを検索するフォレストおよびドメインの修飾名です。

   • <LoginName> はユーザーのアカウント名です。

   • <Password> はユーザーのパスワードです。

   • <key> はその Web アプリケーションで設定されている暗号化キーです。