Enterprise Single Sign-On のトラブルシューティング
このトピックでは、エンタープライズ シングル サインオン (SSO) の使用中に発生する可能性のある一般的な問題について説明します。
SSO 環境のトラブルシューティングを開始する際には、次の表の項目について順に実行し、すべてのコンポーネントが正常に動作していることを確認すると役立つ場合があります。
| Question | コメント |
|---|---|
| アプリケーション イベント ログに SSO システムからのメッセージが記録されていないか。 | イベント ログ内の SSO のメッセージは、SSO システムの問題を絞り込むのに役立ちます。 SSO システムからのメッセージのソースは ENTSSO です。 大事な: SSO のエラーとイベントの多くは、[エラー] ではなく、イベント ログに [警告] として表示されます。 SSO システムでは、SSO サービスの単一クライアントにのみ影響する問題を警告として、SSO システム全体 (すべてのクライアント) に影響する問題をエラーとして生成します。 |
| SSO サービスが正常にインストールされているか。 正常に起動されるか。 どのサービス アカウントが SSO サービスを実行しているか。 |
SSO サービスが正常にインストールされていることと、SSO サービスのサービス アカウントが SSO 管理者グループのメンバーであることを確認します。 |
| SSO データベースはどこにあるか。 | コマンド ライン ssoconfig -showdbを使用してください。 このコマンドの詳細については、「 SSO データベース情報を表示する方法」を参照してください。 |
| どの SSO サーバーが使用されているか。 | コマンド ライン ssomanage -showserverを使用してください。 このコマンドの詳細については、「 SSO サーバーを設定する方法」を参照してください。 |
| SSO 管理者アカウントは何か。 | コマンド ライン ssomanage –displaydbを使用してください。 このコマンドの詳細については、「 SSO データベース情報を表示する方法」を参照してください。 |
| すべてが正しく有効化されているか。 | コマンド ライン ssomanage –displaydbを使用してください。 このコマンドの詳細については、「 SSO データベース情報を表示する方法」を参照してください。 |
| 関連アプリケーションはあるか。 | コマンド ライン ssomanage –listapps allを使用してください。 このコマンドの詳細については、「 関連アプリケーションを一覧表示する方法」を参照してください。 |
| 特定の関連アプリケーションが正常に実行されているか。 どのアカウントがこの関連アプリケーションを使用しているか。 |
コマンド ライン ssomanage –displayapp<アプリケーション名を使用します>。 このコマンドの詳細については、「 関連アプリケーションのプロパティを一覧表示する方法」を参照してください。 |
| この関連アプリケーションにマッピングがあるか。 | コマンド ライン ssomanage –listmappingsアプリケーション名を<使用します>。 このコマンドの詳細については、「 ユーザー マッピングを一覧表示する方法」を参照してください。 |
| どのアカウントが SSO グループのメンバーか。 | すべての SSO グループとアカウントについてグループのメンバーシップを確認します。 |
| SSO サーバーの COM+ アプリケーションは正常に動作しているか。 | SSO サーバーの COM+ アプリケーションを確認します。 メモ:イベント ログをチェックして、イベントメッセージや警告メッセージなどの詳細情報を確認することもできます。 |
の既知の問題
ENTSSO サービスを開始できない
問題
ENTSSO サービスを開始できません。
原因
ENTSSO サービスが有効な SSO 管理者アカウントで実行されていない場合、サービスを開始できません。
解決方法
有効な SSO 管理者アカウントを ENTSSO サービスに指定して、サービス コントロール マネージャー (SCM) スナップインからサービスを再起動します。
エンタープライズ シングル サインオン (ENTSSO) サービスに依存する BizTalk サービスが、再起動後に起動しない
問題
BTSSvc$BizTalkServerApplication はエンタープライズ シングル サインオン サービス (ENTSSO) と依存関係があり、リブート後の起動中にタイムアウトすることがあります。
原因
エンタープライズ シングル サインオン サービスは、起動に約 3 分かかる場合があります。
解決方法
"BizTalk Service BizTalk グループ: BizTalkServerApplication" サービスを、スタートアップ オプションの種類を [自動 (遅延スタート)] として構成します。 これにより、すべての自動サービスのスタートアップ ルーチン完了後に、このサービスが開始されます。
関連アプリケーションにアクセスできない
問題
関連するアプリケーションの管理者アカウントが有効でない場合、エンタープライズ シングル サインオン サービスはこの関連アプリケーションを無効にします。
原因
SSO アプリケーションの管理者アカウントが無効です。
解決方法
関連アプリケーションを作成する前に、SSO アプリケーションの管理者アカウントが有効なことを確認します。 関連アプリケーションを使用するには、そのアプリケーションを有効にする必要があります。
クライアント コンピューターへの接続時に RPC エラーが発生する
問題
ユーザーが ssomanage -displayapp<applicationname> などのコマンドを実行すると、コンピューターがリモート SSO サーバーに接続して情報を取得しようとすると、エラー: 0x800706BA: RPC サーバーが使用できません。
原因
このエラーは、ユーザーが間違ったサーバー情報を指定した場合、またはリモート サーバーで SSO サービスを利用できない場合に発生します。
解決方法
「 SSO サーバーを設定する方法 」の手順に従って、正しい SSO サーバーに接続されていることを確認します。
接続先の SSO サーバーで SSO サービスが有効になっており、実行されていることを確認します。
マスター シークレットがない、または破損している
問題
マスター シークレットがない、または破損しています。 この問題は、主に構成中に発生します。 シークレットがない場合、エンタープライズ シングル サインオン サービスが開始されるときに、以下のいずれかのメッセージがイベント ログに表示されます。
MessageId=10520
Severity=Warning
SSO_WARN_NO_SECRETS
MessageId=10565
Severity=Error
SSO_ERROR_SECRET_VALIDATE_FAILED
MessageId=10521
Severity=Error
SSO_ERROR_SECRETS_NOT_LOADED
原因
この問題は、あるサービス アカウントでエンタープライズ シングル サインオン サービス (SSO) を実行中にシークレットを生成した後で、サービス アカウントが変更された場合に発生する可能性があります。 シークレットは、暗号化された形式でレジストリに保存されます。暗号化には、(ENTSSO を実行する) サービス アカウントの ID を基にしたキーが使用されます。
解決方法
ENTSSO を実行しているサービス アカウントを、マスター シークレット作成時の元のサービス アカウントに変更します。
ENTSSO サービス アカウントを変更するには、次の操作を行います。
マスター シークレットをバックアップします。 詳細については、「 マスター シークレットをバックアップする方法」を参照してください。
エンタープライズ シングル サインオン サービスを停止します。
サービス アカウントを変更します。
SSO を再起動します。破損したシークレットに関するイベント ログのエラーは一切無視します。
マスター シークレットを復元します。 詳細については、「 マスター シークレットを復元する方法」を参照してください。