DRDA サービスは、オンラインおよびバッチ処理のための分散作業単位 (DUW) トランザクションを通じて、クロスプラットフォームのデータベース アクセスと相互運用性を提供します。 DRDA サービスは、IBM DB2 DRDA アプリケーションリクエスター クライアント プログラムを Microsoft SQL Server データベースに接続します。 DRDA サービスは、DB2 アプリケーション・リクエスター・クライアントとして機能する IBM 製品と互換性のある分散リレーショナル・データベース・アーキテクチャ (DRDA) プロトコルおよびフォーマットをサポートするアプリケーション・サーバーとして機能します。
DRDA サービスは、このトピックで説明するオプションのセキュリティ機能を使用する、インターネット プロトコル経由の伝送制御プロトコル (TCP/IP) ネットワーク接続を介して、バインドされた DB2 クライアント アプリケーション要求に応答します。 DRDA サービスは、インメモリ接続または TCP/IP ネットワーク接続を使用して、表形式データ ストリーム (TDS) を使用して、アウトバウンド SQL マネージド クライアント要求を開始します。
DRDA サービスは、インバウンドのパラメーター化された静的 SQL コマンドを処理します。このコマンドは、DRDA サービスが、対応する SQL Server ストアド プロシージャを実行するために、アウトバウンドの動的 SQL CALL ステートメントにマップされます。 また、DRDA サービスは、バインドされた動的 SQL SELECT、INSERT、UPDATE、DELETE、CALL ステートメントを、SQL Server へのパススルー コマンドとして処理します。
DRDA サービスは、ユーザー名、ユーザー名とパスワード、または Kerberos チケットを Windows 資格情報にマッピングすることで、着信クライアント要求を認証できます。 DRDA サービスでは、セキュリティで保護された認証とセキュリティで保護されたデータ暗号化オプションがサポートされています。
Windows セキュリティ
サービス アカウント
MsDrdaService.exe は、ユーザーまたはサービス アカウントのコンテキストで実行する必要があります。
サービス アカウントには、ローカル システム、ローカル サービス、またはネットワーク サービス アカウントを指定できます。
サービス アカウントは、ローカル ユーザー アカウントにすることができます。
サービスには、ドメイン ユーザー アカウント (Domain\User) を指定できます。
ローカル グループ
サービス アカウントは、HIS 管理者および HIS ランタイム ユーザー ローカル グループのメンバーである必要があります。
サービス アカウントは、HIS 管理者ローカル グループのメンバーである必要があります。
サービス アカウントは、HIS ランタイム ユーザー ローカル グループのメンバーである必要があります。
エンド ユーザー アカウントは、HIS ランタイム ユーザー ローカル グループのメンバーである必要があります。 たとえば、ホストによって開始されたエンタープライズ シングル サインオンを使用してインバウンドの DRDA AR ユーザー名をマッピングする場合、マッピングされた Windows ユーザー アカウントは HIS ランタイムユーザーローカルグループのメンバーである必要があります。
ローカル セキュリティ ポリシー
サービス アカウントでは、これらのローカル セキュリティ ポリシー設定をサービスとして実行する必要があります。
サービス アカウントには、サービスとしてのログオン権限が必要です。
サービス アカウントでは、ホストによって開始された Enterprise シングル サインオンを利用するために、これらのローカル セキュリティ ポリシー設定が必要です。
サービス アカウントには、オペレーティング システムの一部として Act が必要です。
サービス アカウントには、信頼できる呼び出し元として Access Credential Manager が必要です。
サービス アカウントでは、委任のためにコンピューターとユーザー アカウントを信頼できるようにする必要があります。
フォルダー アクセス制御リスト
MsDrdaService アカウントには、HIS Administrators Local Group および HIS Runtime Users Local Group に関連付けられているフォルダー アクセス制御リストの設定が必要です。
HIS 管理者ローカル グループには、次のフォルダー アクセス制御設定があります。
| ファイル フォルダー | Modify | 読み取りと実行 | フォルダー内容の一覧表示 | Read | 書き込む | 特別なアクセス許可 |
|---|---|---|---|---|---|---|
| Program Files\Microsoft Host Integration Server 2020 | 許可する | 許可する | 許可する | |||
| Program Files\Microsoft Host Integration Server 2020\system | 許可する | 許可する | 許可する | |||
| Program Files\Microsoft Host Integration Server 2020\traces |
各ユーザー アカウントには、HIS ランタイム ユーザー ローカル グループに関連付けられているフォルダー アクセス制御リストの設定が必要です。 たとえば、各ユーザーは、MsDrdaService.DSTF テキスト トレース ファイルに行を挿入するための書き込みアクセス権を持っている必要があります。
HIS ランタイム ユーザー ローカル グループには、次のフォルダー アクセス制御設定があります。
| ファイル フォルダー | Modify | 読み取りと実行 | フォルダー内容の一覧表示 | Read | 書き込む | 特別なアクセス許可 |
|---|---|---|---|---|---|---|
| Program Files\Microsoft Host Integration Server 2020Microsoft Host Integration Server 2020 | 許可する | 許可する | 許可する | |||
| Program Files\Microsoft Host Integration Server 2020\system | 許可する | 許可する | 許可する | |||
| Program Files\Microsoft Host Integration Server 2020\traces | 許可する | 許可する | 許可する | 許可する |
ESSO セキュリティ グループ
サービス アカウントは、SSO 関連管理者ローカル グループのメンバーである必要があります。
サービス アカウントは、SSO Administrators ローカル グループのメンバーである可能性があります。
制約付き委任と Kerberos
ESSO には、Active Directory の昇格されたアクセス許可が必要です (Kerberos の制約付き委任と、任意の認証プロトコルを使用します)。 ESSO には、DRDA サービスが接続する SQL Server コンピューターの Kerberos サービス プリンシパル名が必要です。