AD FS のトラブルシューティング
Active Directory フェデレーション サービス (AD FS) には、多くの可動要素があり、多種多様なものに触れ、さまざまな依存関係があります。 当然、この複雑さによって各種の問題が生じると考えられます。 このアーティクルは、これらの問題のトラブルシューティングを開始できるようにすることを目的としています。 このアーティクルでは、注目する必要のある一般的な領域、追加情報のために機能を有効にする方法、問題を追跡するために使用できるさまざまなツールについて説明します。
注意
詳しくは、AD FS のヘルプに関するページをご覧ください。そこでは効果的なツールがまとめて提供されており、ユーザーや管理者は、認証に関する問題をすばやく簡単に解決できます。
最初に調べること
詳細なトラブルシューティングに進む前に、まず、いくつかの点を調べる必要があります。 これらは次のとおりです。
- DNS の構成 - フェデレーション サービスの名前を解決できますか? この接続は、ロード バランサーの IP アドレス、またはファーム内のいずれかの AD FS サーバーの IP アドレスに解決される必要があります。 詳細については、「AD FS のトラブルシューティング - DNS」をご覧ください。
- AD FS エンドポイント - AD FS エンドポイントを参照できますか? このエンドポイントを参照すると、AD FS Web サーバーが要求に応答しているかどうかを確認できます。 このファイルにアクセスできる場合、AD FS は 443 で要求を正常に処理していることがわかります。 詳細については、「AD FS のトラブルシューティング - AD FS メタデータ エンドポイント」をご覧ください。
- IDP-initiated サインオン - IDP-initiated サインオン ページを使用してサインインと認証を行うことができますか? このページは既定では無効になるため、有効になっていることを確認する必要があります。 ページを有効にするには、
Set-AdfsProperties -EnableIdPInitiatedSignOn $trueを使います。 サインインと認証を行うことができる場合は、AD FS がこの領域で動作していることがわかります。 詳細については、「 AD FS のトラブルシューティング - IDP-initiated サインオン」をご覧ください。
一般的なトラブルシューティング分野
| 名前 | 説明 |
|---|---|
| イベントとログ記録 | Windows イベント ログを使って、管理者ログとトレース ログによる上位レベルおよび下位レベルの情報を表示します。 また、セキュリティ監査の表示にも使用できます。 |
| SQL の接続 | AD FS サーバーとバックエンド SQL データベースの間の接続のテストに関する情報。 |
| 要求の発行 | AD FS が要求を正しく発行しているかどうかを判断するための情報。 |
| ループの検出 | ID プロバイダー (IDP) と証明書利用者 (RP) の間でユーザーが行きつ戻りつしているかどうかを確認し、防止する方法に関する情報。 |
| 証明書 | 発生する可能性がある一般的な証明書の問題。 |
| Fiddler | Fiddler をインストールして使用する方法に関する情報。 |
| WS-Federation と Fiddler | WS-Federation の相互作用の詳細な Fiddler トレース。 |
| 要求規則の構文 | 要求規則のトラブルシューティングとその構文に関する情報。 |
| 統合 Windows 認証 | 統合認証のトラブルシューティングについての情報。 |
| Microsoft Entra ID | Microsoft Entra ID との AD FS インタラクションのトラブルシューティングに関する情報。 |
| AD FS 診断アナライザー | AD FS ヘルプ診断アナライザーは、診断 PowerShell モジュールを使用して AD FS の基本的なチェックを実行します。 |