AD FS のトラブルシューティング

この問題の原因として、次の要因が考えられます。

• すべてのフェデレーション サーバーで、サーバー認証証明書が、既定の Web サイトに発行されていることを確認します。
  
  
• すべての AD FS が有効な Web サーバーで、サーバー認証証明書が、アプリケーションの存在する Web サイトに発行されていることを確認します。
  
  
• 外部のアカウント パートナー フェデレーション サービス プロキシが関連している場合は、正しいフェデレーション サービス ホスト名がインストール時に使用されたことを確認します。
  
  
• Windows NT トークン ベースのアプリケーションを使用している場合は、インターネット インフォメーション サービス (IIS) マネージャー スナップインで、フェデレーション サービスの URL (Uniform Resource Locator) (<コンピューター名>\フェデレーション サービス URL の下) が正しく構成されていることを確認します。
  
  

この問題の原因として、次の構成の問題が考えられます。

• インターネット インフォメーション サービス (IIS) で、Web アプリケーションが正しく構成されていることを確認します。
  
  
• Active Directory フェデレーション サービス スナップインで、Web アプリケーションの URL の名前が正しく指定されていることを確認します。
  
  
• Microsoft ASP.NET が、AD FS が有効な Web サーバーおよびフェデレーション サービスにインストールされていることを確認します。
  
  
• ASP を使用する Windows NT トークン ベースのアプリケーションに接続しようとして、資格情報を提供した後に 404 エラーが表示される場合は、ASPClassic ハンドラーが有効になっていて、*.asp ページを処理するように構成されていることを確認します。また、IIS に対して ASP 機能がインストールされていることも確認します。
  
  

その Windows NT トークン ベースのアプリケーションの仮想ディレクトリが、Ifsext.dll という ISAPI (Internet Server Application Programming Interface) 拡張を使用するようにセットアップされていることを確認します。

アカウント フェデレーション サーバーでは、クライアント証明書をマッピングするための認証パッケージが使用されます。このアカウント フェデレーション サーバー認証パッケージのログの記録を有効にするには、次の手順を実行します。

1. まだインストールされていない場合は、Active Directory フェデレーション サービス (AD FS) のフェデレーション サービス コンポーネントをインストールします。
   
   
2. 次のレジストリ キーを設定します。[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
   
   "DebugLevel"=dword:ffffffff
   
   

AD FS Web エージェント認証パッケージは、S4U (Service-for-User) が使用できないときに、トークンを生成するために Windows NT トークン ベースのアプリケーションによって使用されます。あるいは、リソース グループまたは [Windows の信頼] オプションを使用するシナリオなどで、トークンにセキュリティ識別子 (SID) が含まれている場合にも、このパッケージが使用されます。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel "=dword:ffffffff

AD FS Windows トークンベースのエージェント拡張は、AD FS が要求の認証に使用するプロトコルを処理します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

AD FS Web エージェント認証サービスは、入力方向のトークンおよび Cookie を検証します。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel "=dword:ffffffff

ログは %systemroot%\SystemData\ADFS\logs にあります。

解決方法 : AD LDS の ADSI エディター スナップインを使用してユーザー アカウントを作成する場合は注意が必要です。パスワードなしのユーザー アカウントを作成した場合は、ADSI エディターを使用して、そのユーザー アカウントのパスワードを設定し直します。最も重要なこととして、ユーザー アカウントの msDS-UserAccountDisabled プロパティの値をチェックしてください。このプロパティの値は True であってはいけません。この値は False または Not set である必要があります。msDS-UserAccountDisabled プロパティの値が True の場合は、そのユーザー アカウントは無効であるということであり、フェデレーション サービスはこの AD LDS ユーザー アカウントの資格情報を検証できません。

フェデレーション サービスが Local System として実行されている場合は、フェデレーション サービスをホストしているコンピューターのアカウントを、AD LDS ストアの Readers グループに追加する必要があります。

フェデレーション サービスがネットワーク サービスとして実行されている場合は、ドメイン アカウントを、AD LDS ストアの Readers グループに追加する必要があります。

エラー: URL https://... のアプリケーションに対するトークン要求は、この URL (Uniform Resource Locator) が既知の信頼する側のアプリケーションを識別しないために実行できません。

解決方法: このエラーは、アプリケーション URL が既知のアプリケーションを識別しない場合に、リソースのフェデレーション サービスによって返されます。アプリケーションが、フェデレーション サービスの信頼ポリシーに追加されていることを確認してください。

要求に対応するアプリケーションの場合は、戻り先 URL がアプリケーションの Web.config ファイルで正しく入力されており、フェデレーション サービスの信頼ポリシーで指定されたアプリケーション URL と一致することを確認します。

Windows NT トークン ベースのアプリケーションの場合は、インターネット インフォメーション サービス (IIS) マネージャー スナップインで戻り先 URL (<Web サイト名>\認証\AD FS Windows トークン ベースのエージェントの下) が正しく入力されており、フェデレーション サービスの信頼ポリシー内のアプリケーション URL と一致することを確認します。

エラー: ViewState メディア アクセス コントロール (MAC) の検証が失敗しました。このアプリケーションが Web ファームまたはクラスターによってホストされている場合は、<machineKey> の構成で、同じ validationKey および検証アルゴリズムが指定されていることを確認します。

AutoGenerate はクラスターでは使用できません。現在の Web 要求の実行中に処理不能な例外が発生しました。スタック トレースを参照して、エラーに関する詳細情報と、コード内のエラー発生箇所を確認してください。

または

エラー: 現在の Web 要求の実行中に処理不能な例外が生成されました。この例外の原因と場所に関する情報を確認するには、下記の例外スタック トレースを使用してください。

解決方法: テキスト エディターを使用して、ファームされるフェデレーション サービス、フェデレーション サービス プロキシ、または AD FS Web エージェントのいずれかをホストしているコンピューター上の Web.config ファイルに、次の設定を追加します。

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

または

解決方法: ファームでセットアップされたフェデレーション サービス、フェデレーション サービス プロキシ、または AD FS Web エージェントをホストしているコンピューター上の Web.config ファイルの <system.web> セクションに、次の要素を追加します。

<pages enableViewStateMac="false"/>