Symantec Endpoint Protection Manager と Microsoft SQL Server の間の暗号化通信の設定

Symantec Endpoint Protection Manager は、証明書を使用して、
Symantec Endpoint Protection
(SEPM) と Microsoft SQL Server Express または SQL Server データベースの間の通信を認証します。SEPM がいずれかの SQL Server データベースに接続できるようにするには、証明書を生成して
つの Symantec Endpoint Protection Manager
コンピュータにインポートする必要があります。証明書が存在しないか、期限切れになっているか、期限切れになりそうな場合、SEPM とデータベースの間の接続は失敗します。
証明書をインポートしていない場合、管理サーバーといずれかの SQL Server データベースをインストールまたはアップグレードできます。ただし、管理サーバー設定ウィザードは、証明書がすでに期限切れになっているか、今後 30 日間に期限切れになるかを検出します。SEPM は、30 日が経過するたびに通知を送信して、管理者に証明書をインポートするよう通知します。以下のメッセージが表示される場合があります。
Symantec Endpoint Protection Manager は、今後 30 日以内に期限切れになる証明書を使用しているため、Microsoft SQL Server データベースに接続できなくなります。
手順 1: 自己署名証明書の生成
組織に認証局 (CA) が署名した証明書がない場合は、それを生成する必要があります。この手順では、デフォルトの自己署名
つの Symantec Endpoint Protection Manager
(SEPM) 証明書を生成して、CA が署名した証明書で置き換える方法について説明します。
手順 2: SQL Server 用の永続証明書の設定
SQL Server データベースエンジンのインスタンスで暗号化された接続を有効にし、SQL Server 設定マネージャを使用して証明書を指定する必要があります。「データベースエンジンへの暗号化された接続を有効にする」の「SQL Server の設定」を参照してください。
手順 3:
つの Symantec Endpoint Protection Manager
コンピュータ上の Windows への SQL Server 証明書のインポート
管理サーバーコンピュータでは、SQL Server の公開証明書がプロビジョニングされている必要があります。管理サーバーコンピュータ上で証明書をプロビジョニングするには、Windows に証明書をインポートします。サーバーコンピュータは、証明書のルート権限を信頼するように設定する必要があります。
  1. SEPM がインストールされている Windows サーバで、証明書を右クリックします。
  2. 証明書のインポートウィザードで、証明書をインポートする手順に従います。
    [保存場所]
    で、
    [ローカル コンピューター]
    を選択します。
    [証明書をすべて次のストアに配置する]
    を選択して
    [参照]
    をクリックし、[証明書ストアの選択]ダイアログボックスで
    [信頼されたルート証明機関]
    をクリックします。
  3. [OK]
    をクリックして
    [次へ]
    をクリックします。
手順 4:
jre11
フォルダの権限の設定
SQL Server が Windows 認証でドメイン管理者を使って設定されている場合、そのドメイン管理者には、
つの Symantec Endpoint Protection Manager
サーバー上の
jre11
フォルダの
読み取りと実行
フォルダーの内容の一覧表示
、および
読み取り
のアクセス許可が必要です。
  1. Symantec Endpoint Protection Manager サーバーで、
    \...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
    フォルダに移動し、
    jre11
    フォルダを右クリックして
    [プロパティ]
    をクリックします。
  2. [ファイルのプロパティ]ウィンドウの
    [セキュリティ]
    タブで、
    [詳細設定]
    をクリックします。
  3. [セキュリティの詳細設定]
    ウィンドウの
    [アクセス許可]
    タブで、
    [ 追加]
    をクリックします。
  4. [アクセス許可エントリ]
    ウィンドウで、
    [プリンシパルの選択]
    をクリックします。
  5. [ユーザー、コンピューター、サービス アカウントまたはグループの選択]
    ウィンドウで、
    domainadmin
    ユーザーを追加し、
    [OK]
    をクリックします。
  6. [アクセス許可エントリ]
    ウィンドウで、
    [OK]
    をクリックします。
  7. [セキュリティの詳細設定]
    ウィンドウの
    [アクセス許可]
    タブで、「
    domainadmin
    」を選択して
    [変更]
    をクリックします。
  8. [ユーザー、コンピューター、サービス アカウントまたはグループの選択]
    ウィンドウで、
    domainadmin
    ユーザーを再度追加し、
    [OK]
    をクリックします。
  9. [セキュリティの詳細設定]
    ウィンドウで、
    [サブコンテナーとオブジェクトの所有者を置き換える]
    [子オブジェクトのアクセス許可エントリすべてを、このオブジェクトからの継承可能なアクセス許可エントリで置き換える]
    にチェックマークを付けた後、
    [継承の有効化]
    をクリックし、
    [適用]
    をクリックします。
  10. [はい]
    をクリックし、
    [OK]
    をクリックして確定します。
  11. [ファイルのプロパティ]ウィンドウで、
    domainadmin
    ユーザーが必要なすべてのアクセス許可を持っていることを確認し、
    [OK]
    をクリックします。
手順 5: 管理サーバーの設定ウィザードを開き、
[Windows 認証]
オプションでサーバーの設定を完了
ウィザードを開くには、
\...\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\bin
フォルダに移動し、
sca.exe
ファイルをダブルクリックします。
手順 6: 通信が暗号化されており SQL Server 証明書が使用されていることを確認
  1. 管理サーバーで、ファイル
    C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\tomcat\conf\Catalina\localhost\root.xml
    を開き、
    encrypt=true
    および
    trustServerCertificate=false
    であることを確認します。
  2. SQL Server で、
    [MSSQLSERVER のプロトコルのプロパティ]
    を開き、
    [強制的に暗号化]が[はい]
    になっていることを確認します。
  3. SQL Server で以下のクエリーを実行し、
    つの Symantec Endpoint Protection Manager
    と SQL Server の間の接続が暗号化されていることを確認します。
    SELECT session_id, connect_time, net_transport, encrypt_option, auth_scheme, client_net_address FROM sys.dm_exec_connections
    encrypt_option=TRUE
    であるかどうかを確認します。