Microsoft Entra Connect の接続に関する問題のトラブルシューティング
この記事では、Microsoft Entra Connect と Microsoft Entra ID の間の接続のしくみと、接続に関する問題のトラブルシューティング方法について説明します。 このような問題は、プロキシ サーバーを使用する環境において発生する可能性が最も高くなります。
インストール ウィザードにおける接続に関する問題
Microsoft Entra Connect では、認証に Microsoft Authentication Library (MSAL) が使用されます。 インストール ウィザードと同期エンジンは、.NET アプリケーションであるため、machine.config を適切に構成する必要があります。
注意
Azure AD Connect v1.6.xx.x では、Active Directory 認証ライブラリ (ADAL) が使用されます。 ADAL は非推奨となっており、2022 年 6 月にサポートが終了します。 最新バージョンの Microsoft Entra Connect v2 にアップグレードすることをお勧めします。
この記事では、Fabrikam がプロキシを介して Microsoft Entra ID に接続する方法について説明します。 プロキシ サーバーは fabrikamproxy という名前で、ポート 8080 を使用しています。
最初に、machine.config が正しく構成されており、machine.config ファイルの更新後に Microsoft Entra ID 同期サービスが再起動されていることを確認します。
Note
Microsoft 以外の一部のブログでは、machine.config ファイルではなく miiserver.exe.config に変更を加える必要があると記載されています。 ただし、miiserver.exe.config ファイルはアップグレードするたびに上書きされます。 初期インストール中にファイルが動作する場合でも、システムは最初のアップグレード中に動作を停止します。 そのため、この記事の説明に従って machine.config を更新することをお勧めします。
プロキシ サーバーでは、必須となる URL を開いておくことも必要です。 公式の URL 一覧は、「Office 365 URL および IP アドレス範囲」に記載されています。
これらの URL の中でも、次の表にリストされている URL は Microsoft Entra ID への接続に最低限必要な URL です。 この一覧には、パスワード ライトバックや Microsoft Entra Connect Health のようなオプション機能は含まれていません。 初期構成に関するトラブルシューティングに役立つ情報については、こちらを参照してください。
| URL | Port | 説明 |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | 証明書失効リスト (CRL) リストをダウンロードするために使用されます。 |
*.verisign.com |
HTTP/80 | CRL リストのダウンロードに使用します。 |
*.entrust.net |
HTTP/80 | 多要素認証 (MFA) 用の CRL リストをダウンロードするために使用されます。 |
*.management.core.windows.net (Azure Storage)*.graph.windows.net (Azure AD Graph) |
HTTPS/443 | さまざまな Azure サービスに使用します。 |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | MFA に使用します。 |
*.microsoftonline.com |
HTTPS/443 | Microsoft Entra ディレクトリの構成とデータのインポート/エクスポートに使用されます。 |
*.crl3.digicert.com |
HTTP/80 | 証明書の確認に使用します。 |
*.crl4.digicert.com |
HTTP/80 | 証明書の確認に使用します。 |
*.digicert.cn |
HTTP/80 | 証明書の確認に使用します。 |
*.ocsp.digicert.com |
HTTP/80 | 証明書の確認に使用します。 |
*.www.d-trust.net |
HTTP/80 | 証明書の確認に使用します。 |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | 証明書の確認に使用します。 |
*.crl.microsoft.com |
HTTP/80 | 証明書の確認に使用します。 |
*.oneocsp.microsoft.com |
HTTP/80 | 証明書の確認に使用します。 |
*.ocsp.msocsp.com |
HTTP/80 | 証明書の確認に使用します。 |
ウィザードでのエラー
インストール ウィザードでは、2 種類のセキュリティ コンテキストを使用します。 [Connect to Microsoft Entra ID] (Microsoft Entra ID への接続) ページでは、現在サインインしているユーザーが使用されます。 [構成] ページでは、使用するセキュリティ コンテキストを同期エンジンのサービスを実行しているアカウントに変更します。 問題が発生した場合、プロキシ構成がグローバルであるため、ウィザードの [Connect to Microsoft Entra ID] (Microsoft Entra ID への接続) ページにエラーが表示される可能性が高くなります。
インストール ウィザードで発生する可能性のある最も一般的な問題を次に示します。
インストール ウィザードが正しく構成されていない
このエラーは、ウィザード自体がプロキシに接続できない場合に表示されます。
このエラーが表示された場合は、machine.config ファイルが正しく構成されていることを確認します。 machine.config が正しいようであれば、「プロキシ接続を確認する」の手順を完了して、ウィザード外部でも問題が発生しているかどうかを確認します。
Microsoft アカウントが使用されている
学校または組織のアカウントではなく Microsoft アカウントを使用すると、一般的なエラーが表示されます。
MFA エンドポイントに到達できない
このエラーは、エンドポイント https://secure.aadcdn.microsoftonline-p.com に到達できず、ハイブリッド ID 管理者が MFA を有効にしている場合に表示されます。
このエラーが表示された場合は、エンドポイント secure.aadcdn.microsoftonline-p.com がプロキシに追加されていることを確認します。
パスワードを確認できない
インストール ウィザードによる Microsoft Entra ID への接続は成功したものの、パスワード自体を確認できない場合に、このエラーが表示されます。
そのパスワードは変更する必要がある一時パスワードではないでしょうか。 また、本当に正しいパスワードでしょうか。 Microsoft Entra Connect サーバーとは別のコンピューターで https://login.microsoftonline.com へのサインインを試し、アカウントが使用可能であることを確認してください。
プロキシ接続を検証する
Microsoft Entra Connect サーバーがプロキシとインターネットに接続しているかどうかを確認するには、一部の PowerShell コマンドレットを使用して、プロキシが Web 要求を許可しているかどうかを確認します。 PowerShell で、Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc を実行します。 (厳密には、最初に呼び出すのは https://login.microsoftonline.com です。この URI は同様に機能しますが、応答が速いのは前の URI です。)
PowerShell は、machine.config 内の構成を使用してプロキシに接続します。 winhttp や netsh 内の設定値がこれらのコマンドレットに影響することはありません。
プロキシが正しく構成されていれば、成功状態が次のように表示されます。
リモート サーバーに接続できません というメッセージが表示された場合は、PowerShell がプロキシを使用せずに直接呼び出しを試みているか、DNS が正しく構成されていません。 machine.config ファイルが正しく構成されていることを確認します。
プロキシが正しく構成されていない場合は、403 または 407 のエラー メッセージが表示されます。
次の表では、403 および 407 プロキシ エラーについて説明します。
| エラー | エラー テキスト | 解説 |
|---|---|---|
| 403 | Forbidden | 要求された URL に対してプロキシが開かれていません。 プロキシ構成を再検討し、URL が開かれていることを確認してください。 |
| 407 | プロキシの認証が必要です | プロキシ サーバーがサインイン情報を要求しましたが、何も指定されていません。 お使いのプロキシ サーバーで認証が必要な場合は、その設定が machine.config 内で構成されているようにしてください。また、ウィザードを実行しているユーザーおよびサービス アカウントにドメイン アカウントを使用していることを確認してください。 |
プロキシ アイドル タイムアウトの設定
Microsoft Entra Connect がエクスポート要求を Microsoft Entra ID に送信するときに、Microsoft Entra ID は、要求を処理してから応答を生成するまでに最大 5 分かかることがあります。 大きなグループ メンバーシップを持つ多数のグループ オブジェクトが同じエクスポート要求に含まれている場合、応答が特に遅れる可能性があります。 プロキシ アイドル タイムアウトを、5 分より長く構成してください。 そうでない場合、Microsoft Entra Connect サーバーで Microsoft Entra ID に断続的な接続の問題が発生する可能性があります。
Microsoft Entra Connect と Microsoft Entra ID の間の通信パターン
この記事で説明されているすべての手順に従っても接続できない場合は、この時点でネットワーク ログを確認できます。 このセクションでは、通常の成功を示す接続パターンについて記載しています。
ただし、まず、無視できるネットワーク ログ内のデータに関する一般的な懸念事項を次に示します。
- [https://dc.services.visualstudio.com](
https://dc.services.visualstudio.com) への呼び出しが行われています。 インストールを正常に実行するうえで、この URL をプロキシで開いておくことは必須ではないため、この呼び出しは無視できます。 - DNS 解決では、実際のホストは DNS の名前空間
nsatc.netにあり、microsoftonline.comの下にない他の名前空間があるとリストされていることがわかります。 ただし、実際のサーバー名には Web サービス要求はありません。 これらの URL をプロキシに追加する必要はありません。 - エンドポイントの
adminwebserviceとprovisioningapiは検出エンドポイントであり、実際に使用するエンドポイントを見つけるために使用されます。 こうしたエンドポイントは、リージョンによって異なります。
参照用プロキシ ログ
実際のプロキシ ログのダンプと、その取得元のインストール ウィザード ページを次の例に示します (エンドポイントが重複する項目は削除してあります)。 このセクションは、お使いの環境でのプロキシおよびネットワーク ログの参照用としてご利用ください。 実際のエンドポイントは環境によって異なる場合があります (特に斜体で示された URL)。
Microsoft Entra ID に接続する
| 時刻 | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
構成
| Time | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
初期同期
| Time | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
認証エラー
このセクションでは、ADAL および PowerShell から返される可能性があるエラーについて説明します。 エラーの説明は、次に進むステップを特定するうえで役立ちます。
無効な許可
無効なユーザー名またはパスワードを入力しました。 詳細については、「パスワードを確認できない」を参照してください。
ユーザーの種類が不明
Microsoft Entra ディレクトリが見つからないか、解決できません。 確認されていないドメインのユーザー名でサインインしようとした可能性があります。
ユーザー領域を検出できない
ネットワークまたはプロキシの構成の問題です。 ネットワークに接続できません。 「インストール ウィザードにおける接続に関する問題」を参照してください。
ユーザー パスワードの期限切れ
資格情報が有効期限切れです。 パスワードを変更してください。
承認エラー
Microsoft Entra Connect は、ユーザーが Microsoft Entra ID でアクションを実行することを承認できませんでした。
認証が取り消された
MFA チャレンジが取り消されました。
MS Online への接続に失敗した
認証は成功しましたが、Azure AD PowerShell に認証の問題があります。
Microsoft Entra 全体管理者の役割が必要です
ユーザーは正常に認証されましたが、ユーザーにはグローバル管理者ロールが割り当てられません。 ユーザーにグローバル管理者ロールを割り当てることができます。
Privileged Identity Management が有効になっている
認証は成功しましたが、Privileged Identity Management が有効になっており、ユーザーは現在ハイブリッド ID 管理者ではありません。 詳細については、Privileged Identity Management に関するページをご覧ください。
会社情報が利用できません
認証は成功しましたが、Microsoft Entra ID から会社情報を取得できませんでした。
ドメイン情報が利用できません
認証は成功しましたが、Microsoft Entra ID からドメイン情報を取得できませんでした。
不明な認証エラー
インストール ウィザードで予期しないエラーとして表示されます。 このエラーは、学校または組織のアカウントではなく Microsoft アカウントを使用しようとすると発生する可能性があります。
以前のリリースでのトラブルシューティング手順
ビルド番号 1.1.105.0 (2016 年 2 月リリース) 以降のリリースでは、サインイン アシスタントが提供されなくなりました。 サインイン アシスタントを構成する必要はなくなりましたが、次のセクションの情報は参照用に含まれています。
シングル サインイン アシスタントを機能させるには、Microsoft Windows HTTP サービス (WinHTTP) を構成する必要があります。 netsh を使用して WinHTTP を構成できます。
サインイン アシスタントが正しく構成されていない
このエラーは、サインイン アシスタントがプロキシに接続できないか、プロキシが要求を許可していない場合に表示されます。
このエラーが表示された場合は、netsh でプロキシ構成が正しいことを確認します。
プロキシ設定が正しいようであれば、「プロキシ接続を確認する」の手順を完了して、ウィザード外部でも問題が発生しているかどうかを確認します。
次のステップ
詳細については、オンプレミス ID と Microsoft Entra ID の統合に関する記事を参照してください。