Active Directory フェデレーション サービス (AD FS) には、多くの移動要素があり、さまざまな要素に触れ、さまざまな依存関係があります。 この複雑さは、さまざまな問題を生み出す可能性があります。 この記事は、これらの問題のトラブルシューティングを開始するのに役立ちます。 ここでは、焦点を当てる必要がある一般的な領域、詳細な機能を有効にする方法、問題を追跡するためのさまざまなツールについて説明します。
最初に確認する内容
詳細なトラブルシューティングを行う前に、まず次のことを確認してください。
- ドメイン ネーム システム (DNS) の構成: フェデレーション サービスの名前を解決できますか? この接続は、ロード バランサーの IP アドレスまたはファーム内のいずれかの AD FS サーバーの IP アドレスに解決される必要があります。 詳細については、「 AD FS のトラブルシューティング: DNS」を参照してください。
- AD FS エンドポイント: AD FS エンドポイントを参照できますか? このエンドポイントを参照すると、AD FS Web サーバーが要求に応答しているかどうかを判断できます。 このファイルにアクセスできる場合は、AD FS が 443 を超える要求を処理していることがわかります。 詳細については、「 AD FS のトラブルシューティング: AD FS メタデータ エンドポイント」を参照してください。
-
ID プロバイダー (IdP) によって開始されるサインイン: IdP によって開始されるサインイン ページを使用してサインインして認証することはできますか? このページが既定で無効になっているため、このページが有効になっていることを確認します。
Set-AdfsProperties -EnableIdPInitiatedSignOn $trueを使用してページを有効にします。 サインインして認証できる場合は、AD FS がこの領域で動作していることがわかります。 詳細については、「 AD FS のトラブルシューティング: IdP によって開始されるサインイン」を参照してください。
一般的なトラブルシューティング領域
| 名前 | 説明 |
|---|---|
| イベントとログ記録 | Windows イベント ログを使用して、管理者ログとトレース ログを介して高レベルおよび低レベルの情報を表示します。 ログを使用してセキュリティ監査を表示することもできます。 |
| SQL 接続 | AD FS サーバーとバックエンド SQL データベース間の接続をテストする方法について説明します。 |
| 請求の発行 | AD FS がクレームを正しく発行しているかどうかを判断する方法について説明します。 |
| ループ検出 | ユーザーが IdP と証明書利用者の間で行き来している状況を特定し、その状況を回避する方法に関する情報。 |
| 証明書 | 発生する可能性がある一般的な証明書の問題。 |
| バイオリン弾き | Fiddler をインストールして使用する方法に関する情報。 |
| WS-Federation と Fiddler | WS-Federation の相互作用の詳細な Fiddler トレース。 |
| 要求規則の構文 | 要求規則とその構文のトラブルシューティング方法に関する情報。 |
| 統合 Windows 認証 | 統合認証のトラブルシューティング方法に関する情報。 |
| Microsoft Entra ID | AD FS と Microsoft Entra ID の対話をトラブルシューティングする方法について説明します。 |