次の方法で共有

ADFS 2.0 エラー: このページを表示できません

この記事では、AD FS 2.0 を使用する Web サイト上のアプリケーションにアクセスしようとすると発生するエラーの解決策について説明します。

元の KB 番号: 3044971

まとめ

ほとんどの Active Directory フェデレーション サービス (AD FS) 2.0 の問題は、次の主要なカテゴリのいずれかに属しています。 この記事では、接続の問題をトラブルシューティングする手順について説明します。

現象

  • 現象 1

    Active Directory フェデレーション サービス (AD FS) (AD FS) 2.0 を使用する Web サイト上の Web アプリケーションにアクセスしようとすると、次のエラー メッセージが表示されます。

    このページは表示できません。

  • 現象 2

    次の IDP によって開始されるサインオン ページと AD FS メタデータにアクセスすることはできません。

    https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

    https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

解決方法

この問題を解決するには、次の手順を順番に実行します。 これらの手順は、問題の原因を特定するのに役立ちます。 各手順の後に問題が解決されるかどうかを確認してください。

手順 1: クライアントが正しい AD FS URL にリダイレクトされているかどうかを確認する

  • 確認方法

    1. Internet Explorer を起動します。
    2. F12 キーを押して開発者ツール ウィンドウを開きます。
    3. [ Network タブで、 start ボタンを選択するか、 Start capturing を押してネットワーク トラフィックのキャプチャを有効にします。
    4. Web アプリケーションの URL を参照します。
    5. ネットワーク トレースを調べて、クライアントが認証のために AD FS サービスの URL にリダイレクトされていることを確認します。 AD FS サービスの URL が正しいことを確認します。

    次のスクリーンショットでは、最初の URL は Web アプリケーション用で、2 番目の URL は AD FS サービス用です。

    開発者ツールに記載されている Web アプリケーション URL と A D F S サービス URL。

  • 修正方法

    正しくないアドレスにリダイレクトされた場合、Web アプリケーションの AD FS フェデレーション設定が正しくない可能性があります。 これらの設定を確認して、AD FS フェデレーション サービス (SAML サービス プロバイダー) の URL が正しいことを確認します。

手順 2: AD FS サービス名を正しい IP アドレスに解決できるかどうかを確認する

  • 確認方法

    クライアント コンピューターと AD FS プロキシ サーバーで (これを行っている場合)、ping または nslookup コマンドを使用して、AD FS サービス名が正しい IP アドレスに解決されているかどうかを判断します。 次のガイドラインに従ってください。

    • イントラネット: 名前は、内部 AD FS サーバー IP または AD FS サーバーの負荷分散 IP (内部) に解決する必要があります。

    • 外部: AD FS サービスの外部/パブリック IP に名前を解決する必要があります。 このような場合は、パブリック DNS を使用して名前を解決します。 同じ AD FS サービス名の異なるコンピューターから異なるパブリック IP が返される場合、パブリック DNS の最近の変更が世界中のすべてのパブリック DNS サーバーに反映されていない可能性があります。 このような変更をレプリケートするには、最大 24 時間が必要な場合があります。

      重要

      すべての AD FS サーバーで、AD FS プロキシ サーバーが AD FS サービスの名前を内部 AD FS サーバー IP または内部 AD FS サーバーの負荷分散 IP に解決できることを確認します。 これを行う最善の方法は、AD FS プロキシ サーバー上の HOST ファイルにエントリを追加するか、境界ネットワーク ("DMZ"、"非武装地帯"、"スクリーン サブネット" とも呼ばれます) で分割 DNS 構成を使用することです。

      nslookup コマンドの例:

      Nslookup sts.contoso.com

      nslookup コマンドの実行後に返される出力。

  • 修正方法

    DNS サーバーまたはインターネット サービス プロバイダー (ISP) を使用して、AD FS サービス名のレコードを確認します。 IP アドレスが正しいことを確認します。

手順 3: AD FS サーバー上の TCP ポート 443 にアクセスできるかどうかを確認する

  • 確認方法

    Telnet または PortQryUI - PortQry コマンド ライン ポート スキャナーのユーザー インターフェイス を使用して、AD FS サーバー上のポート 443 の接続を照会します。 443 ポートがリッスンしていることを確認します。

    A D F S サーバー上のポート 443 の接続を確認したポート クエリの結果。

  • 修正方法

    AD FS サーバーが 443 ポートでリッスンしていない場合は、次の手順に従います。

    1. AD FS 2.0 Windows サービスが開始されていることを確認します。
    2. AD FS サーバーの Windows ファイアウォール設定を調べて、TCP 433 ポートで接続が許可されていることを確認します。
    3. AD FS サービスの前にロード バランサーが使用されている場合は、負荷分散プロセスをバイパスして、これが問題の原因ではないことを確認してください。 (負荷分散が一般的な原因です)。

手順 4: IdP によって開始されたサインオン ページを使用して ADFS に対する認証を行うことができるかどうかを確認する

  • 確認方法

    Internet Explorer を起動し、次の Web アドレスを参照します。 このページを開こうとすると証明書の警告が表示される場合は、 Continueを選択します。

    http://<YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx

    Note

    この URL では、 <YourADFSServiceName> は実際の AD FS サービス名を表します。

    通常、サインイン画面にアクセスし、資格情報を使用してサインインできます。

    [A D F S サインイン] ページのスクリーンショット。

  • 修正方法

    手順 1 から手順 3 を正常に実行しても Web アプリケーションにアクセスできない場合は、次の手順に従います。

    1. 別のクライアント コンピューターとブラウザーを使用してテストを行います。 クライアントに影響する問題が発生する可能性があります。
    2. 次の高度なトラブルシューティング手順を実行します。
    3. IDPInitiatedsignon ページにアクセスしているときに、Fiddler Web デバッガーのトレースとネットワーク キャプチャ情報を収集します。 詳細については、「 AD FS 2.0: Fiddler Web デバッガーを使用して WS-Federation パッシブ サインインを分析する方法を参照してください。
    4. クライアント コンピューターからネットワーク トレースを収集して、SSL ハンドシェイクが正常に完了したかどうか、暗号化されたメッセージがあるかどうか、正しい IP アドレスにアクセスしているかどうかなどを確認します。 詳細については、「 Windows および Windows Server で Schannel イベント ログを有効にする方法を参照してください。

サードパーティの情報に関する免責事項

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。