Active Directory SSO をトラブルシューティングする

Active Directory

• Active Directory Server が信頼済みネットワークまたは任意ネットワークに構成されている。
• すべてのユーザーが Active Directory Server にユーザー アカウントを持っている。
  

Firebox

• Firebox が SSO において Active Directory Authentication を使用するように構成されている。
• Firebox 構成で SSO Agent の IP アドレスが指定されている。
• ゲストネット ワークやルータなど、ドメインの一部ではないネットワークとデバイスにおける SSO 例外が指定されている。

SSO Agent

• SSO Agent がインストールされているサーバーの TCP ポート 4114 が開いている。
• SSO Agent v12.3 以降の場合は、SSO Agent をインストールするサーバーに Microsoft .NET Framework v4.0 以降がインストールされています。
• SSO Agent v12.3 よりも前の場合は、SSO Agent をインストールするサーバーに Microsoft .NET Framework v2.0〜4.5 がインストールされている必要があります
• SSO Agent が Domain Users セキュリティ グループのユーザー アカウントとして実行されます。ヒント！ この目的のためには、Active Directory Server にユーザー アカウントを追加すること、およびアカウントのパスワードの有効期限を無期限に設定することをお勧めします。
  選択した Domain Users アカウントには、Active Directory Server でサービスを実行する権限、ディレクトリを検索する権限、および他のすべてのユーザーの監査情報を検索する権限が付与されていなければなりません。セキュリティ上の理由により、Domain Admins セキュリティ グループのアカウントを選択しないことをお勧めします。
• SSO Agent が正しく構成されている。

SSO Agent が正しく構成されていることを確認するには、以下の手順を実行します。

1. Windows スタート メニューで、すべてのプログラム > WatchGuard > 認証ゲートウェイ > SSO Agent の順に選択します。
2. SSO Agent にログインします。既定のユーザー名とパスワードは、admin と readwrite です。
3. 編集 > SSO Agent アクセス先の設定 の順に選択します。
4. 優先 SSO 方式が有効化されており、優先度 1 に設定されていることを確認します。バックアップ SSO 方式が設定されている場合は、それが有効化されており、優先度 2 に設定されていることを確認します。

• SSO Client がインストールされているコンピュータの TCP ポート 4116 が開いている。
• SSO Client をインストールする前に、macOS コンピュータが Active Directory ドメインに追加された
• ユーザーが SSO を使用して認証を得るすべてのコンピュータが完全な信頼関係を持つ Active Directory ドメインのメンバーになっている。
• すべてのユーザーが、ローカル コンピュータのユーザー アカウントではなく、ドメイン ユーザー アカウントでログインするようになっている。ユーザーがローカル コンピュータにしか存在しないユーザー アカウントでログインした場合に、ユーザー認証情報が検証されず、そのユーザーがログインしたことが Firebox で認識されないようになっている。
• SSO Client が SSO Agent 設定で有効化されている。SSO Client がプライマリ SSO 方式として指定されており、優先度 1 に設定されている。

• Event Log Monitor がインストールされているドメイン コントローラで TCP ポート 4135 が開いている。
• Event Log Monitor がネットワークの各 Active Directory ドメインの 1 つのドメイン コントローラにインストールされている。
• Event Log Monitor が Domain Users セキュリティ グループのユーザー アカウントとして実行されている ヒント この目的のためには、Active Directory Server にユーザー アカウントを追加することをお勧めします。アカウントのパスワードの有効期限を無期限に設定することをお勧めします。
  セキュリティ上の理由により、Domain Admins セキュリティ グループのアカウントを選択しないことをお勧めします。
• 選択した Domain Users アカウントには、Active Directory Server でサービスを実行する権限、ディレクトリを検索する権限、および他のすべてのユーザーの監査情報を検索する権限が付与されていなければなりません。
• Event Log Monitor が SSO Agent 設定で有効化されている。Event Log Monitor がプライマリ SSO 方式として指定されており、優先度 1 に設定されている。バックアップ SSO 方式として設定されている場合は、優先度 2 に設定されている。
• アカウント ログオン イベントで監査ログ メッセージが生成されるように有効化した後、ログオンとログオフ アクション後に Windows コンピュータのセキュリティ イベント ログで Windows イベント 4624 と 4634 が生成されるようになっている。
• Windows コンピュータのセキュリティ イベント ログ ファイルが一杯になっていない。

アカウント ログオン イベントの監査ログを有効化するには、以下の手順を実行します。

1. スタート > 管理ツール > グループ ポリシー管理 の順に選択します。
2. 既定のドメイン ポリシー GPO を右クリックして、編集 をクリックします。
   
   グループ ポリシー管理エディタが表示されます。
3. コンピュータ構成 で、ポリシー > Windows 設定 > セキュリティ設定 > ローカル ポリシー > 監査ポリシー の順に選択します。
4. 監査アカウント ログオン イベント を開きます。
5. これらのポリシー設定を定義する チェックボックスを選択します。
6. 成功 チェックボックスを選択します。
   
   認証の問題のトラブルシューティングに役立つ追加のログ メッセージを生成するには、失敗 チェックボックスを選択します。
   
   問題が解決したら、必ず 失敗 チェックボックスをクリアしてください。
7. OK をクリックします。
8. 以下のいずれかの方法で、ユーザーのコンピュータに更新済みグループ ポリシーを強制的に適用します。
   • gpupdate をローカルにコンピュータで実行するか、または gpupdate /target コマンドを使用してリモートで実行する。
   • ログオフしてから再度ログオンするようにユーザーに依頼する。
   • ユーザーのコンピュータを再起動する。

• Exchange Monitor がインストールされているサーバーの TCP ポート 4136 が開いている。
• Microsoft Exchange Server がインストールされているサーバーに Exchange Monitor がインストールされている。
• W3C 拡張ログ ファイル形式の IIS ログと RPC クライアント アクセス ログ メッセージが生成されるように Exchange Server が構成されている。
• Exchange Monitor が Domain Admins セキュリティ グループのユーザー アカウントとして実行されている。
• SSO Agent がドメイン コントローラにインストールされていない場合、または Exchange Monitor と SSO Agents が異なるドメインにインストールされている場合に、Exchange Monitor アクセス先ドメインが SSO Agent 設定で指定されている。
• Exchange Monitor が SSO Agent 設定で有効化されている。Exchange Monitor がプライマリ SSO 方式として指定されており、優先度 1 に設定されている。バックアップ SSO 方式として設定されている場合は、優先度 2 に設定されている。
• インターネットへのアクセスを試みる前に、ユーザーが電子メール プログラムを起動している。これにより、SSO において Exchange Monitor で必要となる IIS ログ メッセージが Exchange Server に生成される。

すべてのユーザー コンピュータで TCP ポート 445 (Windows ファイルとプリンタ共有/SMB) が開いている。

ポート 445 が開いているかどうかをテストする場合は、以下を使用することができます。

• SSO Port Tester ツール
• Telnet クライアント
  たとえば、Windows コマンド プロンプトで、telnet x.x.x.x 445 と入力します。x.x.x.x をユーザー コンピュータの IP アドレスに置き換えてください。

1. SSO Agent 構成ツールにログインします。
2. 編集 > SSO Agent アクセス先の設定 の順に選択します。
3. SSO Port のテスト をクリックします。
   SSO Port Tester ダイアログ ボックスが表示されます。

4. IP アドレスの指定 セクションで、次のオプションを選択します:
   • ホスト IP アドレス範囲
   • ネットワーク IP アドレス
   • IP アドレスのインポート
5. ホスト IP アドレス範囲を選択した場合、ホスト IP アドレス範囲 に、テストする IP アドレス範囲を入力します。1 つの IP アドレスをテストする場合は、両方のテキスト ボックスに同じ IP アドレスを入力します。
   ネットワーク IP アドレス を選択した場合、ネットワーク IP アドレス テキスト ボックスに、テストするネットワーク IP アドレスを入力します。
   IP アドレスのインポート を選択した場合は、 をクリックして、テストする IP アドレスのリスト付きのプレーン テキスト ファイルを選択します。
6. ポート テキスト ボックスに、テストするポート番号を入力します。
   複数のポートをテストするには、各ポート番号をスペースを入れずにカンマで区切って入力します。
7. テスト をクリックします。
   ポート テストの結果が [SSO Port Tester] ウィンドウに表示されます。
8. ログ ファイルにテスト結果を保存するには、ログの保存 をクリックして、ファイル名とログ ファイルを保存する場所を指定します。
9. Port Tester Tool プロセスを停止するには、終了 をクリックします。

アクセスが拒否されました

以下の場合に、このエラーメッセージが表示されます。

• ネットワークに、コンピュータではないデバイス (プリンタやルータなど) が存在している。
• ネットワークに、ドメイン メンバーではないコンピュータまたは他のデバイスが存在している。
• SSO において、ユーザーから無効なドメイン認証が提供された。
• サーバーまたはコンピュータの SSO サービスに管理者権限が付与されていない。

このエラーメッセージのトラブルシューティングを行うには、以下を実行します。

• ドメイン コンピュータとドメイン コントローラの間の信頼関係が正しいことを確認します。ドメイン メンバーシップに問題がある場合は、ドメインからコンピュータを一旦削除してから、再度ドメインに追加します。
• ドメイン メンバーシップの問題が解決されたことを確認するには、UNC パスを使用して、ネットワークのドメイン メンバー サーバーへの接続を試みます。
  たとえば、ファイル サーバーの名前が CompanyShare である場合は、Windows コマンド プロンプトで \\CompanyShare と入力します。このフォルダにアクセスできない場合で、Windows の権限エラーメッセージが表示された場合は、Active Directory Server でコンピュータの設定、ユーザー アカウントの設定、および信頼関係の設定を確認します。

不明なエラー

このエラーが発生する理由として、以下のような原因が挙げられます。

• イベント ログ ファイルが存在しない、または一杯になっている。
• コンピュータがドメイン メンバーではない。
• SSO コンポーネント ソフトウェアをアップグレードする必要がある場合の RDP ユーザーによる SSO 接続の試行
  ユーザーが SSO で RDP 接続を行うには、run v11.10 以降が実行されている必要がある。
• Windows イベント ID が WatchGuard SSO コンポーネントでサポートされていない。
• ユーザーがログインしていない。

リモート サーバーで TCP ポート 445 経由の SMB が開かれていません。ファイアウォールをチェックしてください。

ユーザーのコンピュータで TCP ポート 445 が開かれていないか、または TCP ポート 445 でリスンするサービスが応答しなかった。

リモート ホスト「x.x.x.x」がログオフの状態にあります

ユーザーがログインしていないか、またはログインしていたユーザーがログオフ プロセスを開始している。

ネットワーク パスが見つかりませんでした

ホストへのルートが存在しない。

1. telnet セッションを開き、ポート 4114 を通じて SSO Agent に接続します。
2. set debug on と入力し、キーボードの Enter キーを押してコマンドを実行します。
3. telnet セッションを閉じます。
4. 関連するディレクトリに移動します：
   • C:\Program Files\WatchGuard\WatchGuard Authentication Gateway\
   • C:\Program Files (x86)\WatchGuard\WatchGuard Authentication Gateway\
5. 次のファイルをデスクトップにコピーします：wagsrvc.log。
6. telnet セッションを開き、ポート 4114 を通じて SSO Agent に接続します。
7. set debug off と入力し、キーボードの Enter キーを押してコマンドを実行します。
8. telnet セッションを閉じます。

1. クライアント コンピュータからドメインにログインします。
2. クライアント コンピュータで関連するディレクトリに移動します：
   • C:\Program Files\WatchGuard\WatchGuard Authentication Client\
   • C:\Program Files (x86)\WatchGuard\WatchGuard Authentication Client\
   • Users\[User Name]\Library\Logs\WatchGuard\SSO Client
3. 次のファイルをデスクトップにコピーします：
   • wgssoclient_logfile.log
   • wgssoclient_errorfile.log

1. WatchGuard System Manager (WSM) を起動して、Firebox に接続します。
2. Policy Manager を起動します。
3. 設定 > ログ記録 の順に選択します。
   ログ記録のセットアップ ダイアログ ボックスが表示されます。
4. 診断ログ レベル をクリックします。
   診断ログ レベル ダイアログ ボックスが表示されます。
5. カテゴリ ツリーで、 認証 を選択します。
6. 設定 スライダーを動かして、情報レベルを選択します。
7. OK をクリックして、各ダイアログ ボックスを閉じます。
8. 構成ファイルを Firebox に保存します。
9. Firebox の Firebox System Manager (FSM) を起動します。
10. Traffic Monitor タブを選択します。
11. FSM が開かれ、Traffic Monitor タブが選択された状態で、SSO Client がインストールされているコンピュータにログインします。
12. これにより Traffic Monitor で閲覧できる ADMD ログ メッセージが生成されます。
13. FSM Traffic Monitor タブの検索テキスト ボックスに ADMD と入力し、選択オプションのドロップダウン リストで 検索結果のフィルタリング を選択します。
14. Traffic Monitor は ADMD ログ メッセージしか表示しません。
15. Traffic Monitor の任意の場所を右クリックして、すべてをコピー を選択します。
16. ADMD ログ メッセージをテキスト ファイルにペーストし、そのファイルを SSO_firewall_logs.txt という名前を付けてデスクトップに保存します。
17. 認証カテゴリの診断ログ レベルを下の設定 (エラーなど) に変更するには、ステップ 2 〜 8 を繰り返します。

1. WatchGuard Support Center を通じてインシデントのサポートを開きます。
2. WatchGuard ウェブサイトにまだログインされていない場合は、インシデントを提出する前にこれを完了させておく必要があります。
3. 添付ファイルとして次のファイルを含めます：

• SSO Agent — wagsrvc.log
• SSO Client — wgssoclient_logfile.log および wgssoclient_errorfile.log
• Firebox — SSO_firewall_logs.txt