アプリケーション プロキシの問題とエラー メッセージのトラブルシューティング
アプリケーション プロキシの問題をトラブルシューティングするときは、このトラブルシューティングのフローの確認から始めて、アプリケーション プロキシ コネクタの問題をデバッグし、アプリケーション プロキシ コネクタが正しく構成されているかどうかを判断することをお勧めします。 アプリケーションへの接続にまだ問題がある場合は、アプリケーション プロキシ アプリケーションの問題のデバッグのトラブルシューティングのフローに従います。
発行されたアプリケーションへのアクセス中、またはアプリケーションの発行中にエラーが発生する場合は、Microsoft Entra アプリケーション プロキシが正しく機能しているかどうかを次のオプションで確認します。
- Windows サービス コンソールを開きます。 Microsoft Entra アプリケーション プロキシ コネクタ サービスが有効で実行されていることを確認します。 次の図のように、アプリケーション プロキシ サービスのプロパティ ページで確認することもできます。
- イベント ビューアーを開き、 [アプリケーションとサービス ログ]>[Microsoft]>[AadApplicationProxy]>[コネクタ]>[Admin] の順に移動して、[Admin] の下にあるアプリケーション プロキシ コネクタ イベントを探します。
- 必要に応じて、アプリケーション プロキシ コネクタのセッション ログを有効にすることで、より詳細なログを使用できます。
ページが正しく表示されない
特定のエラー メッセージが表示されない場合でも、アプリケーションが正しくレンダリングまたは機能しないことがあります。 これは、記事のパスを発行した場合に発生することがありますが、アプリケーションは、そのパスの外部に存在するコンテンツを必要とします。
たとえば、 https://yourapp/app というパスを発行しても、アプリケーションが https://yourapp/media 内のイメージを呼び出した場合、イメージは表示されません。 アプリケーションの発行には、関連するコンテンツをすべて含めるために必要な最上位のパスを使用するようにしてください。 この例では http://yourapp/ になります。
コネクタのエラー
コネクタ ウィザードのインストール中に登録に失敗した場合は、2 とおりの方法でエラーの原因を確認できます。 Windows Logs\Application (Source = "Microsoft Entra Application Proxy Connector " でフィルタリング) にあるイベント ログを確認するか、次の Windows PowerShell コマンドを実行してください。
Get-EventLog application –source "Microsoft AAD Application Proxy Connector" –EntryType "Error" –Newest 1
イベント ログでコネクタのエラーが確認された場合は、この一般的なエラーの表を参考に問題を解決してください。
| エラー | 推奨される手順 |
|---|---|
| コネクタの登録に失敗しました:Microsoft Azure 管理ポータルでアプリケーション プロキシを有効化したことと、Active Directory ユーザー名とパスワードを正しく入力したことを確認してください。 エラー:'1 つ以上のエラーが発生しました。' | Microsoft Entra ID にサインインせずに登録ウィンドウを閉じた場合は、コネクタ ウィザードを再実行してコネクタを登録します。 登録ウィンドウが開き、ログインを許さずにすぐに閉じてしまった場合は、通常、このエラーが発生します。 このエラーは、ネットワーク エラーがシステムで起きた場合に発生します。 ブラウザーから一般 Web サイトに接続できることと、「アプリケーション プロキシの前提条件」で指定されているようにポートが開かれていることを確認してください。 |
| 登録ウィンドウに明確なエラーが表示されています。 続行できません。 | このエラーが表示されてウィンドウが閉じた場合は、入力したユーザー名かパスワードが間違っています。 やり直してください。 |
| コネクタの登録に失敗しました:Microsoft Azure 管理ポータルでアプリケーション プロキシを有効化したことと、Active Directory ユーザー名とパスワードを正しく入力したことを確認してください。 エラー:'AADSTS50059:テナントを識別する情報が要求内に見つからず、指定されたどの資格情報でも暗黙的に示されなかったため、サービス プリンシパル URI による検索が失敗しました。 | Microsoft アカウントと、アクセスしようとしているディレクトリの組織 ID の一部であるドメイン以外を使用して、サインインしようとしています。 admin がテナント ドメインと同じドメイン名の一部であることを確認します。たとえば、Microsoft Entra ドメインが contoso.com である場合、admin は admin@contoso.com である必要があります。 |
| PowerShell スクリプトを実行するための現在の実行ポリシーを取得できませんでした。 | コネクタのインストールに失敗した場合は、PowerShell 実行ポリシーが無効になっていないことを確認します。 1.グループ ポリシー エディターを開きます。 2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows PowerShell] の順に移動して、 [スクリプトの実行を有効にする] をダブルクリックします。 3.実行ポリシーは、 [未構成] または [有効] に設定できます。 [有効] に設定した場合は、[オプション] で実行ポリシーが [ローカル スクリプトおよびリモートの署名済みスクリプトを許可する] または [すべてのスクリプトを許可する] に設定されていることを確認します。 |
| コネクタが構成のダウンロードに失敗しました。 | 認証に使用される、コネクタのクライアント証明書が期限切れです。 このエラーは、コネクタをプロキシの背後にインストールした場合にも発生することがあります。 その場合、コネクタはインターネットにアクセスできず、リモート ユーザーにアプリケーションを提供できません。 Windows PowerShell で Register-AppProxyConnector コマンドレットを使用して、手動で信頼を更新します。 コネクタがプロキシの背後にある場合は、コネクタ アカウントの "ネットワーク サービス" および "ローカル システム" にインターネットへのアクセスを許可する必要があります。 そうするには、プロキシへのアクセスを許可するか、プロキシをバイパスするように設定します。 |
| コネクタの登録に失敗しました:コネクタを登録する Active Directory のアプリケーション管理者であることを確認してください。 エラー:'登録要求が拒否されました。' | ログインに使用しようとしているエイリアスは、このドメインの管理者ではありません。 コネクタは必ず、ユーザーのドメインを所有しているディレクトリ用にインストールされます。 サインインに使用している管理者アカウントが、Microsoft Entra テナントに対して少なくともアプリケーション管理者のアクセス許可を持っていることを確認してください。 |
| ネットワークの問題が原因で、コネクタがサービスに接続できませんでした。 コネクタは次の URL へのアクセスを試行しました。 | コネクタがアプリケーション プロキシ クラウド サービスに接続できません。 これは、接続をブロックするファイアウォール規則がある場合に発生することがあります。 アプリケーション プロキシの前提条件にリストされている正しいポートおよび URL へのアクセスを許可していることを確認してください。 |
Kerberos のエラー
この表では、Kerberos のセットアップと構成に関連する一般的なエラーと、推奨される解決策を示します。
| エラー | 推奨される手順 |
|---|---|
| PowerShell スクリプトを実行するための現在の実行ポリシーを取得できませんでした。 | コネクタのインストールに失敗した場合は、PowerShell 実行ポリシーが無効になっていないことを確認します。 1.グループ ポリシー エディターを開きます。 2. [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows PowerShell] の順に移動して、 [スクリプトの実行を有効にする] をダブルクリックします。 3.実行ポリシーは、 [未構成] または [有効] に設定できます。 [有効] に設定した場合は、[オプション] で実行ポリシーが [ローカル スクリプトおよびリモートの署名済みスクリプトを許可する] または [すべてのスクリプトを許可する] に設定されていることを確認します。 |
| 12008 - Microsoft Entra が、バックエンド サーバーに対する Kerberos 認証の試行で、許可されている最大数を超えました。 | このエラーは、Microsoft Entra ID とバックエンド アプリケーション サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示している場合があります。 バックエンド サーバーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認してください。 Microsoft Entra ID とバックエンド アプリケーション サーバーの日付と時刻の構成が同期されていることを確認してください。 |
| 13016 - Microsoft Entra ID が、エッジ トークンまたはアクセス Cookie に UPN がないため、ユーザーに代わって Kerberos チケットを取得できません。 | STS 構成の問題があります。 STS の UPN 要求の構成を修正してください。 |
| 13019 - Microsoft Entra ID が、次の一般 API エラーのため、ユーザーに代わって Kerberos チケットを取得できません。 | このイベントは、Microsoft Entra ID とドメイン コントローラー サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示している場合があります。 ドメイン コントローラーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認してください (特に SPN 構成)。 ドメイン コントローラーが Microsoft Entra ID との信頼関係を確立できるように、Microsoft Entra ID がドメイン コントローラーと同じドメインに参加しているドメインであることを確認してください。 Microsoft Entra ID とドメイン コントローラーの日付と時刻の構成が同期されていることを確認してください。 |
| 13020 - バックエンド サーバー SPN が定義されていないため、Microsoft Entra ID がユーザーに代わって Kerberos チケットを取得できません。 | このイベントは、Microsoft Entra ID とドメイン コントローラー サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示している場合があります。 ドメイン コントローラーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認してください (特に SPN 構成)。 ドメイン コントローラーが Microsoft Entra ID との信頼関係を確立できるように、Microsoft Entra ID がドメイン コントローラーと同じドメインに参加しているドメインであることを確認してください。 Microsoft Entra ID とドメイン コントローラーの日付と時刻の構成が同期されていることを確認してください。 |
| 13022 - バックエンド サーバーが Kerberos 認証の試行に対して HTTP 401 エラーを返すため、Microsoft Entra ID がユーザーを認証できません。 | このイベントは、Microsoft Entra ID とバックエンド アプリケーション サーバー間の構成が正しくないことや、両方のコンピューターに日付と時刻の構成の問題があることを示している場合があります。 バックエンド サーバーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認してください。 Microsoft Entra ID とバックエンド アプリケーション サーバーの日付と時刻の構成が同期されていることを確認してください。 詳細については、「アプリケーション プロキシ用の Kerberos 制約付き委任構成のトラブルシューティング」を参照してください。 |
エンド ユーザーのエラー
ここでは、エンド ユーザーがアプリにアクセスしようとして失敗たときに表示される可能性のあるエラーについて説明します。
| エラー | 推奨される手順 |
|---|---|
| Web サイトがページを表示できません。 | アプリケーションが IWA アプリケーションである場合、発行したアプリにユーザーがアクセスしようとしたときに、このエラーが表示されることがあります。 このアプリケーションのために定義された SPN が正しくない可能性があります。 IWA アプリの場合: このアプリケーションのために構成された SPN が正しいことを確認してください。 |
| Web サイトがページを表示できません。 | アプリケーションが OWA アプリケーションである場合、発行したアプリにユーザーがアクセスしようとしたときに、このエラーが表示されることがあります。 この場合は、次のいずれかの原因が考えられます。 |
| この企業のアプリにはアクセスできません。 このアプリケーションにアクセスする権限がありません。 承認に失敗しました。 このアプリケーションへのアクセス権をユーザーに割り当ててください。 | サインインに企業アカウントではなく Microsoft アカウントを使用しているユーザーが、発行済みのアプリにアクセスしようとしたときに、このエラーが表示されることがあります。 このエラーはゲスト ユーザーにも表示されることがあります。 Microsoft アカウントのユーザーとゲスト ユーザーは IWA アプリケーションにはアクセスできません。 ユーザーが、発行されたアプリケーションのドメインに一致する企業アカウントを使用してサインインするようにします。 このアプリケーションにユーザーを割り当てていない可能性があります。 [アプリケーション] タブに移動し、 [ユーザーとグループ] でこのユーザーまたはユーザー グループをこのアプリケーションに割り当てます。 |
| この企業アプリには、現在、アクセスできません。 後でもう一度やり直してください。コネクタがタイムアウトになりました。 | オンプレミス側でこのアプリケーション向けに適切に定義されていないユーザーが、発行済みのアプリにアクセスしようとしたときに、このエラーが表示されることがあります。 ユーザーが、オンプレミス コンピューターでこのバックエンド アプリケーションに対して定義されているような適切なアクセス許可を持っていることを確認します。 |
| この企業のアプリにはアクセスできません。 このアプリケーションにアクセスする権限がありません。 承認に失敗しました。 ユーザーが Microsoft Entra ID P1 または P2 のライセンスを持っていることを確認します。 | サブスクライバーの管理者によってユーザーに対して Premium ライセンスが明示的に割り当てられていない場合、発行されたアプリにそのユーザーがアクセスしようとすると、このエラーが発生することがあります。 サブスクライバーの Active Directory [ライセンス] タブに移動し、このユーザーまたはユーザー グループに Premium ライセンスが割り当てられていることを確認します。 |
| 指定されたホスト名を持つサーバーが見つかりませんでした。 | アプリケーションのカスタム ドメインが正しく構成されていない場合、発行したアプリにユーザーがアクセスしようとすると、このエラーが表示されることがあります。 「Microsoft Entra アプリケーション プロキシでのカスタム ドメインの使用」の手順に従って、ドメインの証明書がアップロードされ、DNS レコードが正しく構成されていることを確認してください |
| 禁止:この社内アプリにアクセスできないか、ユーザーを承認できませんでした。 ユーザーがオンプレミスの AD で定義されていること、およびユーザーがオンプレミスの AD でアプリにアクセスできることを確認してください。 | これは、承認情報へのアクセスに問題がある可能性があります。「一部のアプリケーションや API でアカウント オブジェクトの承認情報に対するアクセス許可が必要になる」を参照してください。 簡単に言うと、アプリケーション プロキシ コネクタのコンピューター アカウントを "Windows Authorization Access Group" 組み込みドメイン グループに追加して解決します。 |
関連項目
フィードバック
フィードバックの送信と表示