次の方法で共有

ADFS(Webアプリケーション)プロキシ構成時のエラーにつきまして

Anonymous
2015-12-09T00:30:34+00:00

Office365を現在クラウドIDで利用しておりまして、この度、フェデレーションID方式に変更致します。

フェデレーションID方式とするため、ディレクトリ同期(AAD Connect)、ADFSサーバ、ADFSプロキシサーバを構築中なのですが、ADFSプロキシ構築中にエラーが発生し、構成できない状態でございます。

【Webアプリケーションプロキシ構成ウィザード】

フェデレーションサーバー にて、フェデレーションサービス名を入力、ユーザ名/パスワードを入力。(*1)

ADFSプロキシの証明書 にてADFSサーバおよびADFSプロキシサーバのIISにインポート済みの証明書を選択。

確認 にて[構成]を押下。

※エラー※ ADFSプロキシを構築できませんでした。

 フェデレーションサービスとの信頼関係の構築中にエラーが発生しました。エラー:Unauthorized。サービスアカウントにターゲットフェデレーションサーバーの管理者のアクセス権があることを確認してください。

なお、(*1)のユーザ名/パスワードは、下記4パターンのユーザで確認しましたが、どれもNGでした。

 1.ドメイン無し(ADFSサーバローカル)のAdministrator相当ユーザ = **admin

 2.ドメイン無し(ADFSサーバローカル)のADFS専用ユーザ = adfssvc

 3.ドメインのAdministrator相当ユーザ = f***.local\**admin

 4.ドメインのADFS専用ユーザ = ft***.local\adfssvc

すみません、考えられます原因、対処法ご教授頂けませんでしょうか。

コミュニティ センター | 監視されない

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。

0 件のコメント

14 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Anonymous
    2015-12-09T19:15:03+00:00

    マイクロソフト様の別のご担当者様から、ADFS Proxy Serverがドメイン参加しては、どうか?と言った、ご助言を頂きまして、本日再度確認致しました。

    ADFS Proxy Server を構築しているコンピュータをADドメインに参加させ、ドメインのAdministrator権限ユーザでログインして再度、試してみたのですが現象は変わらず、NG(フェデレーションサーバーからプロキシ構成データを取得できません。)でした。

    ADFS Proxy Server側のイベントビューアー内ADFSのログを確認致しましたところ、イベントID:422のエラー(下記)が出ていました。

    フェデレーション サービスからプロキシ構成データを取得できません。

    追加データ

    信頼証明書の拇印:

    *******************

    状態コード:

    Unauthorized

    例外情報:

    System.Net.WebException: リモート サーバーがエラーを返しました: (401) 許可されていません

      場所 System.Net.HttpWebRequest.GetResponse()

      場所 Microsoft.IdentityServer.Management.Proxy.StsConfigurationProvider.GetStsProxyConfiguration()

    ADFS Server側のイベントビューアー内ADFSのログはイベントID:276エラー(下記)が出ていました。

    フェデレーション サーバー プロキシは、フェデレーション サービスに対して認証を行うことができませんでした。

    ユーザー操作

    プロキシがフェデレーション サービスに信頼されていることを確認してください。確認するには、証明書のサブジェクト名に

    指定されたホスト名を持つプロキシ コンピューターにログオンし、Install-WebApplicationProxy コマンドレットを使用し

    てプロキシとフェデレーション サービス間の信頼を再構築します。

    追加データ

    証明書の詳細:

    サブジェクト名:

    <null>

    拇印:

    <null>

    NotBefore 時間:

    <null>

    NotAfter 時間:

    <null>

    WindowsFireWallが原因かと思いまして、試しにADFS ServerおよびADFS ProxyServer双方で一旦、無効化し再度試しましたが、これも現象変わりませんでした。

    以上、ご確認頂けますと幸甚に存じます。何卒よろしくお願い致します。

    この回答は役に立ちましたか?

    1 人がこの回答が役に立ったと思いました。
    0 件のコメント
  2. Anonymous
    2015-12-09T04:37:42+00:00

    ご教授誠に有難うございます。

    仰られます通り、ADFSではなく、リモートアクセスのWeb Application Proxy(WAP)であることは、確認済みでして、リモートアクセス管理コンソールからWebアプリケーションプロキシ構成ウィザードにて、実施致しております。

    頂きましたURLで、下記コマンドは実行していませんでしたので、実行後、再度、試しているのですが、結果は変わらずでございました。

    Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

    申し訳ございません、その他、確認する部分ございますでしょうか?

    この回答は役に立ちましたか?

    0 件のコメント
  3. Anonymous
    2015-12-09T01:44:19+00:00

    Windows Server 2012 R2ですと、AD FS ProxyではなくOS標準コンポーネントのWeb Application Proxy(WAP)を利用してインターネットに公開します。

    以下をご参照に構成頂ければと存じます。

    technet.microsoft.com/.../dn383662.aspx

    この回答は役に立ちましたか?

    0 件のコメント
  4. Anonymous
    2015-12-09T01:33:36+00:00

    genkiw 様

    ご教授有難うございます。

    >AD FSならびにAD FSサーバのOSのバージョンは何か?

    双方ともWindows Server 2012 R2 DataCenter になります。

    Hostsにも記載し確認致しましたが、NGでございました。

    なお、3.ドメインのAdministrator相当ユーザ = f***.local\**admin のアカウントの場合、エラーメッセージが異なっておりました。

    ※エラー※ ADFSプロキシを構築できませんでした。

     フェデレーションサーバーからプロキシ構成データを取得できません。

    4.のアカウントは、引き続き「フェデレーションサービスとの信頼関係の構築中にエラーが発生しました。エラー:Unauthorized。サービスアカウントにターゲットフェデレーションサーバーの管理者のアクセス権があることを確認してください。」でした。

    アクセス自体はできているように見受けられました。証明書が、ワイルドカード形式のものなのですが、これが原因の可能性ございますでしょうか?

    この回答は役に立ちましたか?

    0 件のコメント
  5. Anonymous
    2015-12-09T00:47:01+00:00

    通常の手順であれば、3または4のアカウントで接続可能だと思います。

    AD FS Proxyを構成されようとしているとのことですが、AD FSならびにAD FSサーバのOSのバージョンは何になりますでしょうか?

    以下、自分でWindows 2012で実施した際のメモになりますが、一番考えられるのはHosts書いていなくてADFSサーバに接続できていない、とかですかね?

    Windows Server 2012によるADFS Proxy構築

    blog.o365mvp.com/.../

    この回答は役に立ちましたか?

    0 件のコメント