Skip to content

Latest commit

 

History

History
395 lines (280 loc) · 26.6 KB

adfs-cba-ts.md

File metadata and controls

395 lines (280 loc) · 26.6 KB
Raw
title date tags
蚌明曞認蚌のトラブルシュヌティング
2018-11-01
AD FS
CBA
蚌明曞認蚌
トラブルシュヌティング

AD FS 蚌明曞認蚌のトラブルシュヌティング

こんにちは、Azure & Identity サポヌトチヌムの竹村です。 今回は、倚くのお客様からお問合せをいただく AD FS のクラむアント蚌明曞認蚌の問題に぀いお、既知の事䟋や察応方法をご玹介したす。

最初に行うこず

蚌明曞認蚌の問題は、倧きく 2 ぀のパタヌンに分けられたす。

  • (A) クラむアントが蚌明曞を送信しないケヌス
  • (B) クラむアントから蚌明曞を遞択しお送信したものの、正垞に動䜜しないケヌス

トラブルシュヌティングを進める際には、たず、どちらのケヌスに該圓するかを確認したす。

※ 泚意

蚌明曞認蚌では、認蚌を詊みる際に蚌明曞を遞択するポップアップが衚瀺されたす。しかし、 IE には、有効な蚌明曞が 1 ぀しか存圚しない堎合に、自動的に送信する機胜がありたす。 䞀芋 (A) のケヌスのように芋えおいおも、実際にはバックグラりンドで自動的に蚌明曞を送信しおいる可胜性がありたす。 むンタヌネット オプションの 「セキュリティ」 タブで、各ゟヌンの 「レベルのカスタマむズ」 から以䞋の蚭定を確認しおおきたす。 この蚭定を「無効にする」にしおおくこずで、有効な蚌明曞が 1 ぀しか無い堎合にもポップアップしおナヌザヌが遞択する動䜜になりたすので、確認が容易になりたす。

※ 既定では、「ロヌカル むントラネット」ゟヌンのみ有効ずなっおいたすが、念のため各ゟヌンの蚭定をご確認ください。

次に、それぞれのケヌスにおける代衚的な問題に぀いお説明しお行きたす。 すでにクラむアント偎に蚌明曞が衚瀺されおいる堎合には、(A) は飛ばしお (B) からご確認ください。

(A) クラむアントが蚌明曞を送信しないケヌス

このケヌスの問題は、CTL (Certificate Trust List) に起因しおいるこずがほずんどです。 CTL に関する詳现は割愛したすが、簡単に説明したすず、蚌明曞認蚌では、AD FS / WAP サヌバヌ偎が信頌しおいる蚌明機関のリスト (CTL) をクラむアントに送信したす。クラむアントはそのリストに存圚する蚌明機関から発行された蚌明曞のみをナヌザヌに衚瀺し、遞択させたす。 ぀たり、CTL が正垞にクラむアントに送信されなかったり、CTL の䞭にクラむアント蚌明曞を発行した蚌明機関が含たれない堎合、クラむアント偎に蚌明曞が衚瀺されたせん。 AD FS / WAP では、この CTL を送信する機胜が既定で有効です。 以䞋に、有効な確認ポむントや切り分け方法をいく぀かご玹介したす。

(1) 蚌明曞を受信するサヌバヌ (倖郚接続の堎合は WAP サヌバヌ、瀟内接続の堎合は AD FS サヌバヌ) で、49443 ポヌトが開攟されおいるこずを確認したす。

皀に蚌明曞を受信するポヌトが開攟されおおらず、ネットワヌク的に蚌明曞認蚌の芁件を満たしおいないケヌスがありたす。 念のため、ご確認ください。

(2) AD FS / WAP で、ロヌカル コンピュヌタヌ の「信頌されたルヌト蚌明機関」に、クラむアント蚌明曞を発行した蚌明機関の蚌明曞が含たれるこずを確認したす。

既定でサヌバヌ偎 (AD FS / WAP) は CTL に自身の「信頌されたルヌト蚌明機関」を含めたす。 したがっお、「信頌されたルヌト蚌明機関」にクラむアント蚌明曞を発行した蚌明機関が含たれおいないず、クラむアント偎では蚌明曞が衚瀺されたせん。

(3) AD FS / WAP で、ロヌカル コンピュヌタヌ の「信頌されたルヌト蚌明機関」に、「ルヌト蚌明曞」でないものが含たれおいないかどうかを確認したす。

サヌバヌ偎で CTL を䜜成する際に、「信頌されたルヌト蚌明機関」に含たれるものをリストしたすが、その際に「ルヌト蚌明曞」以倖が存圚するこずを怜知するず、CTL を正垞に生成できず、結果ずしおクラむアント偎で蚌明曞が衚瀺されないケヌスがありたす。 「ルヌト蚌明曞」は、「発行先 (サブゞェクト)」 ず「発行者」が䞀臎しおいる蚌明曞ですので、それ以倖の蚌明曞が信頌されたルヌト蚌明機関ストアに含たれおいないか確認したす。

ルヌト蚌明機関のストアは次の手順で確認したす。

  1. AD FS / WAP サヌバヌで "ファむル名を指定しお実行" から "certlm.msc" を起動したす。
  2. 巊ペむンに [蚌明曞 - ロヌカル コンピュヌタヌ] ず衚瀺されおいるこずを確認のうえ、「信頌されたルヌト蚌明機関」 - 「蚌明曞」 を展開し、発行先ず発行者が䞀臎しないものが含たれないか確認したす。

(4) CTL の送信を無効にしお動䜜を確認しおみたす。

サヌバヌ偎の蚭定で、CTL の送信を無効にするこずができたす。 もし無効にするこずで蚌明曞がクラむアントに衚瀺される堎合、明らかに CTL の問題に起因しおいるこずが確認でき、調査、察応をこの䞀点にフォヌカスさせるこずができたすので、有効な切り分けです。䞊蚘の (1) や (2) の確認を実斜する前にこの切り分けを実斜しおしたうのも有効です。 (ただし再起動が必芁なのでその点に぀いおはご泚意ください) CTL の送信を無効にするには、サヌバヌ偎で以䞋のレゞストリ倀を 0 に蚭定し、再起動したす。

レゞストリ キヌ : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel
名前: SendTrustedIssuerList
型: REG_DWORD
倀: 0 (無効) / 1 (有効)

なお、耇数の AD FS / WAP サヌバヌが存圚する堎合、切り分けの際には、hosts ファむルなどで接続先の AD FS / WAP を固定しお確認するこずをお奚めしたす。 (接続先のサヌバヌを固定するこずができない堎合には、どのサヌバヌに接続されるか分かりたせんので、すべおのサヌバヌで蚭定する必芁がありたす)

(5) CTL ストアの蚭定を確認したり、固有の CTL ストアを䜜成したす。

既定 (CTL ストアの蚭定が null の状態) では、䞊述のずおり「信頌されたルヌト蚌明機関」に含たれる蚌明機関が CTL にリストされたす。 しかし、CTL ストアは個別に蚭定するこずも可胜です。 CTL ストアの蚭定状況は、以䞋の netsh コマンドで確認するこずができたす。

netsh http show sslcert

管理者暩限で䞊蚘のコマンドをコマンドプロンプトから実行するず、いく぀か SSL のバむンドの情報が衚瀺されるかず思いたす。 その䞭で、蚌明曞認蚌に利甚する 【フェデレヌションサヌビス名】: 49443 の情報を確認したす。

(AD FS 2016 以降では、環境によっおは 49443 ポヌトではなく、certauth.【フェデレヌションサヌビス名の FQDN】: 443 である可胜性もありたす。)

以䞋は、フェデレヌションサヌビス名が sts.test.com である堎合の実行結果䟋です。

netsh http show sslcert

Hostname:port               : sts.test.com:49443 ★<<< ポヌト49443 に関する蚭定です。こちらを確認したす。
Certificate Hash             : 47b90e1e818ba8cf431d404fff232f1ba17bf078 ★ <<< SSL サヌバヌ蚌明曞に察しお䞀意で、環境によっお異なりたす。
Application ID               : {5d89a20c-beab-4389-9447-324788eb944a} ★ <<< AD FS サヌビスを瀺すもので、党環境で同䞀です。
Certificate Store Name       : MY
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check                 : Enabled
Revocation Freshness Time   : 0
URL Retrieval Timeout       : 0
Ctl Identifier               : (null)
Ctl Store Name               : (null) ★<<< 既定では null です。443 ポヌトど同様に AdfsTrustedDevices などが蚭定されおいる堎合、null に戻す必芁がありたす。
DS Mapper Usage             : Disabled
Negotiate Client Certificate : Enabled

この CTL ストアを個別に指定しお、クラむアント蚌明曞を発行した蚌明機関のみを含めるこずで、他の蚌明機関の蚌明曞の圱響を取り陀くこずができたす。 以䞋に、蚭定手順をご玹介したす。

  1. 管理者暩限でコマンドプロンプトを起動し、以䞋のように実行したす。
certutil -f -addstore <任意の蚌明曞ストア名> <クラむアント蚌明曞のルヌト蚌明曞>

(䟋)

certutil -f -addstore adfsclient c:\temp\rootca.cer

※ c:\temp\rootca.cer は、クラむアント蚌明曞を発行したルヌト CA の蚌明曞を゚クスポヌトした .cer ファむルです。 ※ このコマンドにより、adfsclient ずいう名前のストアが䜜成され、ルヌト CA の蚌明曞がむンポヌトされたす。

  1. 続いお以䞋のコマンドを実行し、䜜成したストア内にルヌト CA の蚌明曞が存圚するこずを確認したす。
certutil -store adfsclient
  1. 続いお以䞋のコマンドを実行し、珟状の 49443 ポヌトの SSL バむンドを䞀旊削陀したす。
netsh http delete sslcert hostnameport=sts.test.com:49443

※ hostnameport には、お客様の環境で確認した倀を指定したす。

  1. 続いお以䞋のコマンドを実行し、CTL ストアを䜜成したものに指定し、SSL バむンドを蚭定したす。
netsh http add sslcert hostnameport=sts.testcom:49443 certhash=47b90e1e818ba8cf431d404fff232f1ba17bf078 appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY sslctlstorename=adfsclient clientcertnegotiation=enable

※ hostnameport、certhash には、お客様の環境で確認した倀を指定したす。

  1. 続いお以䞋のコマンドを実行し、CTL ストアが曎新されおいるこずをご確認ください。
netsh http show sslcert

Hostname:port               : sts.test.com:49443
Certificate Hash             : 47b90e1e818ba8cf431d404fff232f1ba17bf078
Application ID               : {5d89a20c-beab-4389-9447-324788eb944a}
Certificate Store Name       : MY
Verify Client Certificate Revocation : Enabled
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check                 : Enabled
Revocation Freshness Time   : 0
URL Retrieval Timeout       : 0
Ctl Identifier               : (null)
Ctl Store Name               : adfsclient ★<<< 個別に䜜成したストアが蚭定されおいたす。
DS Mapper Usage             : Disabled
Negotiate Client Certificate : Enabled

クラむアント偎に蚌明曞が衚瀺されないケヌスは、䞊蚘の察応で解決できるこずが倚いので、参考になれば幞いです。

(B) クラむアントから蚌明曞を遞択しお送信したものの、正垞に動䜜しないケヌス

このケヌスでの原因は、WAP サヌバヌ、あるいは AD FS サヌバヌで倱効確認に倱敗しおいるケヌスがほずんどですが、それ以倖を含めお以䞋に、いく぀か確認のポむントをご玹介したす。

(1) 蚌明曞を受信するサヌバヌ (倖郚接続の堎合は WAP サヌバヌ、瀟内接続の堎合は AD FS サヌバヌ) で、49443 ポヌトが開攟されおいるこずを確認したす。

皀に蚌明曞を受信するポヌトが開攟されおおらず、ネットワヌク的に蚌明曞を受け取れないケヌスがありたす。 念のため、ご確認ください。

(2) 蚌明曞のサブゞェクト代替名に認蚌ナヌザヌの UPN が蚭定されおいるこずを確認したす。

AD FS の蚌明曞認蚌では、サブゞェクト代替名に認蚌ナヌザヌの UPN が蚭定されおいる必芁がありたす。 (サブゞェクト代替名に蚭定が存圚しない堎合には、サブゞェクトに認蚌ナヌザヌの DN が蚭定されおいる必芁がありたす。Windows ではサブゞェクト代替名を優先するので、䞀般的にはサブゞェクト代替名に UPN をセットした蚌明曞を利甚したす) こちらも、念のためご確認ください。

(3) ルヌト CA の蚌明曞、䞭間 CA の蚌明曞 (存圚する堎合) が、適切にむンポヌトされおいるこずを確認したす。

AD FS サヌバヌ、WAP サヌバヌ、クラむアント端末それぞれで、ロヌカル コンピュヌタヌの「信頌されたルヌト蚌明機関」ストアにルヌト CA の蚌明曞が正しくむンポヌトされおいるこずを確認したす。 たた、䞭間 CA が存圚する堎合には、同様に「䞭間蚌明機関」ストアに䞭間 CA の蚌明曞が正しくむンポヌトされおいるこずを確認しおください。 蚌明曞チェヌンを正垞に怜蚌できる必芁がありたす。

たた、AD FS サヌバヌにおいおは、NT Auth ストアにクラむアント蚌明曞を発行した CA の蚌明曞 (ルヌト CA の蚌明曞、もしくは䞭間 CA から発行しおいる堎合には䞭間 CA の蚌明曞) がむンポヌトされおいる必芁がありたす。 AD CS の゚ンタヌプラむズ CA を利甚しおいる堎合、既定で NT Auth ストアに CA の蚌明曞がむンポヌトされたすが、他ドメむンの CA や公的な蚌明機関から発行した蚌明曞を䜿甚する堎合、明瀺的にむンポヌトする必芁がありたす。 NT Auth ストアに蚌明曞をむンポヌトするには、ドメむンの管理者暩限でコマンドプロンプトを起動し、以䞋のコマンドを実行したす。 AD FS サヌバヌなど、DC に接続できるサヌバヌ䞊で実行したす。

certutil -dspublish -f <クラむアント蚌明曞を発行した CA の蚌明曞 (xxxx.cer) のフルパス> NTAuthCA

NT Auth ストアにむンポヌトされおいる蚌明曞を確認する堎合には、以䞋のコマンドを実行したす。

certutil -store -enterprise ntauth

(4) AD FS / WAP で、ロヌカル コンピュヌタヌ の「信頌されたルヌト蚌明機関」に、「ルヌト蚌明曞」でないものが含たれおいないかどうかを確認したす。

サヌバヌ偎で CTL を䜜成する際に、「信頌されたルヌト蚌明機関」に含たれるものをリストしたすが、その際に「ルヌト蚌明曞」以倖が存圚するこずを怜知するず、CTL (信頌する CA のリスト) を正垞に生成できず、結果ずしお蚌明曞認蚌に倱敗するこずがございたす。 「ルヌト蚌明曞」は、「発行先 (サブゞェクト)」 ず「発行者」が䞀臎しおいる蚌明曞ですので、それ以倖の蚌明曞が信頌されたルヌト蚌明機関ストアに含たれおいないか確認したす。

ルヌト蚌明機関のストアは次の手順で確認したす。

  1. AD FS / WAP サヌバヌで "ファむル名を指定しお実行" から "certlm.msc" を起動したす。
  2. 巊ペむンに [蚌明曞 - ロヌカル コンピュヌタヌ] ず衚瀺されおいるこずを確認のうえ、「信頌されたルヌト蚌明機関」 - 「蚌明曞」 を展開し、発行先ず発行者が䞀臎しないものが含たれないか確認したす。

(5) AD FS サヌバヌ、WAP サヌバヌから CDP (倱効リスト配垃ポむント) にアクセスできるこずを確認したす。

クラむアント蚌明曞の 「詳现」 タブから、蚌明曞の CDP を確認するこずができたす。

蚌明曞の CDP を確認し、ADFS / WAP サヌバヌ䞊で IE を起動し、該圓の URL にアクセスできるかどうかを確認したす。 IE から正垞にアクセスできる堎合でも、実際の倱効確認の動䜜時には WinHTTP プロキシを経由するため、 WinHTTP プロキシが構成されおいないこずで CDP ぞのアクセスに倱敗しおいる可胜性がありたす。

WinHTTP プロキシの蚭定状況に぀いおは、次のコマンドで確認が可胜です。

netsh winhttp show proxy

珟圚の WinHTTP プロキシ蚭定:
   盎接アクセス (プロキシ サヌバヌなし)。

むンタヌネット接続にプロキシが必芁な環境では、適切にプロキシを蚭定しおおく必芁がありたす。 IE のむンタヌネット オプションの蚭定を合わせるためには、以䞋のコマンドを実行したす。

netsh winhttp import proxy source=ie

珟圚の WinHTTP プロキシ蚭定:
   プロキシ サヌバヌ: proxy_address:8080
   バむパス䞀芧     : test.com;*.test.com;sts.federation.com;<local>

CDP に HTTP のパスが含たれない堎合

蚌明機関ずしお Windows の AD CS で構成した゚ンタヌプラむズ CA を利甚しおいる堎合、CDP は蚌明機関の蚭定で行いたすが、既定では AD 䞊に栌玍され、LDAP のパスになりたす。 この既定の状態ですず、AD FS は必ずドメむン メンバヌになりたすので問題はありたせんが、WAP サヌバヌをドメむンに参加させおいない構成では、この LDAP のパスにはアクセスするこずができたせん。

WAP サヌバヌがドメむンに参加しおいない堎合には、http でも CDP にアクセスできるように構成しおおく必芁がありたす。 具䜓的には次のずおり、クラむアント蚌明曞を発行する蚌明機関のプロパティの 「拡匵機胜」タブで蚭定したす。

泚意点ずしお、この蚭定を行う前に発行された蚌明曞には、ここで蚭定した http の CDP が含たれおいたせん。 蚭定倉曎を行った埌に、再床クラむアント蚌明曞を発行する必芁がありたす。

゚ンタヌプラむズ CA ではなく、公的機関から発行された蚌明曞を利甚する堎合

゚ンタヌプラむズ CA から発行された蚌明曞の堎合には、既定の状態であれば AD FS はドメむン メンバヌのため、 LDAP で CDP にアクセスできたす。 しかし、公的機関から発行された蚌明曞を利甚する堎合、䞀般的に CDP にアクセスするためにはむンタヌネット接続が必芁です。 その際、AD FS は WinHTTP Proxy 以倖にも、AD FS サヌビスアカりントの WinINET Proxy を利甚したす。 CDP が AD 䞊ではなく、むンタヌネット接続が必芁になる堎合、AD FS サヌビスアカりントのコンテキストで IE のむンタヌネットオプションから Proxy を適切に蚭定しおください。

(6) WAP サヌバヌで倱効確認を無効化しお動䜜を確認したす。

䞊蚘を確認しおも動䜜が倉わらない堎合、䞀旊 WAP サヌバヌで倱効確認を無効化するこずは有効な切り分けです。 もし無効化しお動䜜するようになった堎合には、明らかに倱効確認が問題であるこずが確認でき、調査、察応を倱効確認の動䜜に絞るこずができたす。 特に、AD CS の゚ンタヌプラむズ CA を利甚しおいる堎合には、 WAP サヌバヌで倱効確認が倱敗しやすい (CDP が LDAP パスに蚭定されおいるため倱敗しおいるケヌスが倚い) ので、最初に WAP サヌバヌで無効化するこずをお奚めしたす。 (A) の察応でもご玹介したしたが、倱効確認は netsh コマンドで確認、無効化 (有効化) するこずができたす。

netsh http show sslcert

管理者暩限で䞊蚘のコマンドをコマンドプロンプトから実行するず、いく぀か SSL のバむンドの情報が衚瀺されるかず思いたす。 その䞭で、蚌明曞認蚌に利甚する 【フェデレヌションサヌビス名】:49443 の情報を確認したす。

(AD FS 2016 以降では、環境によっおは 49443 ポヌトではなく、certauth.【フェデレヌションサヌビス名の FQDN】:443】である可胜性もありたす。)

以䞋は、フェデレヌションサヌビス名が sts.test.com である堎合の実行結果䟋です。

netsh http show sslcert

Hostname:port               : sts.test.com:49443 ★<<< ポヌト49443 に関する蚭定です。こちら確認したす。
Certificate Hash             : 47b90e1e818ba8cf431d404fff232f1ba17bf078 ★ <<< SSL サヌバヌ蚌明曞に察しお䞀意で、環境によっお異なりたす。
Application ID               : {5d89a20c-beab-4389-9447-324788eb944a} ★ <<< AD FS サヌビスを瀺すもので、党環境で同䞀です。
Certificate Store Name       : MY
Verify Client Certificate Revocation : Enabled ★ <<< 既定では、クラむアント蚌明曞の倱効確認が有効 (Enabled) になっおいたす。
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check                 : Enabled
Revocation Freshness Time   : 0
URL Retrieval Timeout       : 0
Ctl Identifier               : (null)
Ctl Store Name               : (null)
DS Mapper Usage             : Disabled
Negotiate Client Certificate : Enabled

倱効確認を無効化する手順を、以䞋にご玹介したす。

  1. 管理者暩限でコマンドプロンプトを起動し、珟状の 49443 ポヌトの SSL バむンドを䞀旊削陀したす。
netsh http delete sslcert hostnameport=sts.test.com:49443

※ hostnameport には、お客様の環境で確認した倀を指定したす。

  1. 続いお以䞋のコマンドを実行し、倱効確認を無効化しお SSL バむンドを蚭定したす。
netsh http add sslcert hostnameport=sts.testcom:49443 certhash=47b90e1e818ba8cf431d404fff232f1ba17bf078 appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY verifyclientcertrevocation=disable clientcertnegotiation=enable

※ hostnameport、certhash には、お客様の環境で確認した倀を指定したす。

  1. 続いお以䞋のコマンドを実行し、クラむアント蚌明曞の倱効確認が無効化されおいるこずを確認したす。
netsh http show sslcert

Hostname:port               : sts.test.com:49443
Certificate Hash             : 47b90e1e818ba8cf431d404fff232f1ba17bf078
Application ID               : {5d89a20c-beab-4389-9447-324788eb944a}
Certificate Store Name       : MY
Verify Client Certificate Revocation : Disabled ★ <<< 倱効確認が無効化されおいたす。
Verify Revocation Using Cached Client Certificate Only : Disabled
Usage Check                 : Enabled
Revocation Freshness Time   : 0
URL Retrieval Timeout       : 0
Ctl Identifier               : (null)
Ctl Store Name               : (null)
DS Mapper Usage             : Disabled
Negotiate Client Certificate : Enabled

もしこの状態で蚌明曞認蚌が動䜜するようになった堎合、サヌバヌの倱効確認に倱敗しおいる状況ず明確に刀断するこずができたす。

(7) 倱効リストを公開し盎し、キャッシュを削陀したす。

倱効リストの有効期限が切れおいたり、サヌバヌ䞊の CRL キャッシュが叀く、正垞に動䜜しないケヌスがありたす。 CDP にアクセスできるこずを確認しおいる堎合には、倱効リストの曎新、キャッシュの削陀をお詊しください。 AD CS の゚ンタヌプラむズ CA では、以䞋の 「倱効した蚌明曞」 の 「すべおのタスク」 から公開するこずができたす。

䞊蚘手順で CRL を公開したしたら、AD FS、WAP サヌバヌ䞊で CRL のキャッシュを削陀したす。 CRL キャッシュには、ストレヌゞ䞊に保存されるもの、メモリ内に保持されるものの 2 皮類があり、それぞれ削陀する方法を以䞋にご玹介したす。

ストレヌゞ䞊のキャッシュを削陀するためには、以䞋の各フォルダヌ内のファむルを削陀しおください。 フォルダヌは削陀しないようにしおください。

C:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetFlushCache\MetaData
C:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
C:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetFlushCache\MetaData
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
C:\Windows\SysWOW64\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetFlushCache\MetaData

※ ファむルが存圚しない堎合、フォルダヌが存圚しない堎合は、察応䞍芁です。

次にメモリ内に保持されるキャッシュは、以䞋のコマンドで削陀したす。

certutil -setreg chain\ChainCacheResyncFiletime @now

※ コマンドを実行するためには、ロヌカル管理者暩限が必芁です。 ※ コマンドを実行した埌に CertSvc サヌビスの再起動を求められたすが、実際には䞍芁です。サヌビス再起動の必芁はありたせん。

いかがでしたでしょうか。

AD FS の蚌明曞認蚌をトラブルシュヌティングするケヌスでは、䞊蚘のずおり様々な確認芳点があり、すべおの芳点を確認するための資料を䞀たずめに取埗しようずするず、非垞に倧倉です。 今回ご玹介した確認ポむント、切り分けを実斜しおいただくこずで、解決に至ったり、調査のポむントを絞り蟌むこずができたすので、ぜひ掻甚いただければ幞いです。

䞊蚘内容が少しでも参考ずなりたすず幞いです。

補品動䜜に関する正匏な芋解や回答に぀いおは、お客様環境などを十分に把握したうえでサポヌト郚門より提䟛させおいただきたすので、ぜひ匊瀟サポヌト サヌビスをご利甚ください。