クラウドKerberos信頼展開時の認証エラー

Ishida Yohji 0

Windows Hello for BussinessをCloud Kerberos 信頼にて展開時、Set-AzureADKerberosServerコマンドレットにて実行していますが以下貼付のエラーが発生ます。

大変申し訳ありませんが、解決方法をご教示いただくことは可能でしょうか。

パターン1

$userPrincipalName = "Azureのグルーバル管理者所持者のアカウント（例：xxxxx@xxxxxxxxxxxxx.co.jp もしくは xxxxx@otsms.onmicrosoft.com）

$domainCred = Get-Credential　← Active Director上のDomain Usersアカウントを入力

Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

※この際に発生するアカウント入力は上記のAzureのグルーバル管理者所持者のアカウント

エラー内容：

Set-AzureADKerberosServer : Unexpected exception thrown. Action: GetKerberosDomainSyncConfigAsync, Exception: An error

occurred. Error Code: 6. Error Description: Your credentials are not authorized to access Microsoft Entra ID. Please c

heck your Administrator credentials and try again. Tracking ID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx Server Name: .

発生場所行:1 文字:1

Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPri ...

パターン2

$userPrincipalName = "Azureのグルーバル権限所持者のアカウント（例：xxxxx@xxxxxxxxxxxxx.co.jp もしくは xxxxx@xxxxx.onmicrosoft.com）

$domainCred = Get-Credential　← Active Director上のDomain Adminアカウントを入力 ※上記とは別アカウント

Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPrincipalName -DomainCredential $domainCred

※この際に発生するアカウント入力は上記のAzureのグルーバル管理者所持者のアカウント

エラー内容：

Set-AzureADKerberosServer : Failed to read secrets from the domain xx.xxxx-xxxxxxxxxx.CO.JP.

発生場所行:1 文字:1

Set-AzureADKerberosServer -Domain $domain -UserPrincipalName $userPri ...

1 件の回答

チャブーン 1,876 評価のポイント MVP

2025-02-04T05:44:37.08+00:00
チャブーンです。

この件ですが、以下の資料を参考に、設定されていると理解しています。

https://jpazureid.github.io/blog/azure-active-directory/how-to-deploy-cloud-kerberos-trust/

で、上記の資料にあって、質問者さんの環境にないものがあります。それは以下のコードです。

(1行目に書く必要があります。

# Specify the on-premises Active Directory domain. A new Azure AD # Kerberos Server object will be created in this Active Directory domain. $domain = $env:USERDNSDOMAIN

これですが、PowerShellを実行するアカウントが「ドメインにログオンしている」状況を前提とした、ドメイン名を引くためのコードです。この変数$domainに値がないと、エラーを起こすと思います。もしPS実行ユーザーがドメインログオンしていない場合ですが、上記のコードではドメイン名を引けないので、変数に直接ドメイン名を代入する必要があります。

# Specify the on-premises Active Directory domain. A new Azure AD # Kerberos Server object will be created in this Active Directory domain. $domain = "<オンプレミスのDNSドメイン名>"

上記について、まずは確認されてはいかがでしょうか？
サインインしてこの回答を評価してください。
Ishida Yohji 0 評価のポイント

2025-02-04T06:02:57.5033333+00:00

チャブーン様

ご回答いただきありがとうございます。
参照資料についてはご記載いただきました「クラウド Kerberos 信頼デプロイ方法」のものになります。「$domain = $env:USERDNSDOMAIN」ですが、こちらは「[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12」の投入直後に実行し、$domainを実行して弊社オンプレドメイン名が表示されることを確認しております。質問時の記載内容に不足がありましたことをお詫びいたします。

Ishida Yohji 0 評価のポイント

2025-02-04T06:17:15.74+00:00

チャブーン様

ご回答いただき誠にありがとうございます。
本件設定に用いた資料はご記載いただきました通り「クラウド Kerberos 信頼デプロイ方法」を参照いたしました。

ご指摘いただきました$domainの変数読み込みですが、こちらはTLS 1.2の接続確保のコマンドとセットで実行し、弊社オンプレドメインのドメイン名を$domainを実行して表示されることを確認しております。

質問時に記載する情報であることを失念いたしましたこと、ご容赦ください。
サインインしてコメントする

コメントを使用して、説明、追加情報、または質問の改善を求めます。

お客様の回答