次の方法で共有

Kerberos シングル サインオンに関する問題のトラブルシューティング

Von Bedeutung

この記事の手順を使用する前に、Kerberos のトラブルシューティング チェックリストの手順に従ってください。 Kerberos の問題の最も一般的な原因は、インフラストラクチャの問題またはサービス プリンシパル名 (SPN) の問題です。 チェックリストは、このような問題を特定するのに役立ちます。 さらに、この記事の手順では、チェックリストに従っている間に収集する情報の一部を使用します。 特に、クライアント コンピューターがターゲット サービスのサービス チケットを受信したかどうかを知る必要がある場合があります。

Kerberos 認証では、イントラネット環境でのシングル サインオン (SSO) 認証がサポートされています。 SSO の問題は、通常、クライアント アプリケーションが Kerberos を使用する必要があるときに、Kerberos 以外のプロトコルを使用してユーザーを認証することを示しています。 このような問題は、サービスまたはクライアント アプリケーションの構成の問題によって発生する可能性があります。

問題が影響を受けるユーザーまたはコンピューターの数が少ない場合は、サービス構成よりもクライアント構成が原因である可能性が高くなります。 その場合は、この記事の 「影響を受けるクライアント アプリケーションの構成を確認する 」の手順に進むことができます。

1.ターゲット サービスの構成を確認する

ターゲット サービス (通常は Web サーバーまたは他のアプリケーション サーバー) の構成は、使用するサービスの種類と、場合によってはサービスのバージョンによって異なります。 次のガイドラインが適用されます。

  • ターゲット サービス (またはフロントエンド アプリケーション) がインターネット インフォメーション サーバー (IIS) で実行されている場合は、このセクションの後半の手順に従います。
  • 別の種類のサービス (Microsoft SQL Server やサード パーティのサービスなど) を使用する場合は、サービスのドキュメントを確認するか、サービス サポート プロバイダーにお問い合わせください。 SSO 認証をサポートするようにサービスが正しく構成されていることを確認します。

IIS ツール ([サーバー マネージャー ツール ] メニューで使用可能) を使用して、Web サイトの設定を確認します。

  1. IIS コンソールで、IIS サーバーを展開し、Web サイトを選択します。 右側のウィンドウで、[ 認証] をダブルクリックします。
  2. 匿名認証が無効で、Windows 認証が有効になっていることを確認します。
  3. [Windows 認証] を選択し、[アクション] ボックスの一覧を開き、[プロバイダー] を選択します
  4. [有効なプロバイダー] リストが一覧の上部に ネゴシエート が表示され、NTLM が二番目に表示されていることを確認します。
  5. [OK] を選択.
  6. すべての変更がすべてのサーバーに反映されていることを確認してから、もう一度認証を試してください。

それでも SSO が正しく機能しない場合は、次の手順に進みます。

2. サービス チケットを確認する

トレースデータを収集したときに、サービスチケットを見つけましたか?

認証時にクライアント コンピューターがターゲット サービスへのチケットを受け取った場合、問題は資格情報が委任される方法に関連している可能性があります。 委任の問題をトラブルシューティングする方法については、「 Kerberos 認証のトラブルシューティング ガイダンス: 委任の問題のトラブルシューティング」を参照してください。

クライアント コンピューターにサービス チケットがない場合は、次の手順に進みます。

3. 影響を受けるクライアント アプリケーションの構成を確認する

さまざまな種類のクライアントは、イントラネット サイトを識別するために異なる条件を使用し、さまざまな設定を使用してシングル サインオンを実装します。 この記事の手順は、Microsoft Edge バージョン 87 以降のバージョン (または Microsoft Edge に基づくブラウザー ベースのアプリケーション) に適用されます。 別の種類のクライアントを使用する場合は、次のオプションを検討してください。

  • ブラウザー ベースではないクライアント。 クライアント アプリケーションのドキュメントを確認するか、アプリケーションのサポート プロバイダーにお問い合わせください。 SSO 認証をサポートするようにクライアントが正しく構成されていることを確認します。

  • Internet Explorer (または同様の古いブラウザー) に基づくクライアント。 Internet Explorer (すべてのバージョン) や Microsoft Edge バージョン 87 より前のバージョンを含む古いブラウザーでは、新しいブラウザーとは異なる既定の構成が使用されます。 Internet Explorer の使用時に Kerberos の問題をトラブルシューティングする方法の詳細については、「Internet Explorer での Kerberos エラーのトラブルシューティング」を参照してください。

以前のブラウザーとは異なり、Microsoft Edge バージョン 87 (以降のバージョン) ではインターネット ゾーンとローカル イントラネットの 2 つのインターネット ゾーンのみが使用されます。 Edge では、 制限付きサイトなどの他のゾーン設定は無視されます。 さらに、Edge では、イントラネット サイトを識別するためにクライアント コンピューター ゾーンの設定が常に使用されるわけではありません。 Edge では、プロキシ構成などの他の要因が考慮されます。 このような理由から、グループ ポリシーでは、Microsoft Edge 構成を管理するための最も一貫した方法が提供されます。

1 台のコンピューターで構成を確認する必要がある場合は、「 1 台のクライアント コンピューターのインターネット認証設定を確認する」を参照してください。

AuthServerAllowlist グループ ポリシー設定 (許可された認証サーバーの一覧の構成) は、クライアント コンピューターのゾーン設定よりも優先されます。 この設定を確認するには、グループ ポリシー管理コンソールとグループ ポリシー エディター (サーバー マネージャーの [ツール ] メニューで使用可能) を使用します。 この設定で次のアクションが実行されることを確認します。

  • ターゲット サーバーの完全修飾ドメイン名 (FQDN) を一覧表示します
  • 認証する必要があるクライアントとユーザーに適用されます

詳細については、次の記事を参照してください。

Microsoft Edge グループ ポリシー管理テンプレートを取得して使用する方法については、「 Windows デバイスで Microsoft Edge ポリシー設定を構成する」を参照してください。

グループ ポリシー設定に変更を加えた場合は、その変更がクライアント コンピューターとユーザーに反映されていることを確認します。 トラブルシューティングを行っているクライアント ブラウザーを再起動し、ブラウザーのキャッシュをクリアしてから、もう一度認証を試みます。

1 台のクライアント コンピューターのインターネット認証設定を確認する

グループ ポリシー設定とは別に単一のクライアント コンピューターの構成を確認するには、次の手順に従います。

  1. クライアント コンピューターの [検索] ボックスに、「 インターネット オプション」と入力します。 検索結果で、[ インターネット オプション] を選択します。
  2. [インターネットのプロパティ] で、[詳細設定] を選択します
  3. [詳細設定] タブの [セキュリティ] カテゴリで、[統合 Windows 認証を有効にする] が選択されていることを確認します。
  4. [インターネットのプロパティ] で、[セキュリティ] を選択し、[ローカル イントラネット>サイト] を選択します。
  5. 設定が環境に適していることを確認してから、もう一度認証を試してください。