none
ADFSサービスアカウントのパスワードについて RRS feed

  • 質問

  • いつもお世話になっております。

    ADFSのサービスアカウントについてお聞きしたいことがあります。

    ADFSとOffice365をSSO連携しているのですが、大体1か月経つと
    フェデレーションできない症状が出ております。
    どうもADFSのサービスアカウントのパスワードが1か月毎?に自動で
    変更されているようでSSOする際に認証エラーとなるようなのです。
    こちらはADFSサービスを再起動することで解消します。

    同様の現象に遭遇した方はいらっしゃいますでしょうか。
    また、この解消法について何か策はございますでしょうか。

    どうか皆様のお知恵をお貸しくだされば幸いです。
    以上、よろしくお願い致します。
    2015年8月13日 5:41

回答

  • NMoricchiさん、こんにちは。

    直接的な回答ではありませんが、気になるポイントがありましたので、以下、参考になれば幸いです。

    添付していただいたイベントログには「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」と記載があります。この情報が記載されるときはセキュアチャネルが破損し、ADのユーザー認証以前にセキュアチャネルの確立に問題があります。

    「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」ならびにセキュアチャネルについては下記で詳しい原因と解決方法が掲載されているので、参考になさってください。

    このワークステーションとプライマリ ドメインとの信頼関係に失敗する
    https://social.technet.microsoft.com/Forums/ja-JP/898a1bb6-f0f4-4d27-a692-6022b0c4b4e1/-?forum=w7itprogeneralja

    なお、ADFSサーバーのログで表示されるイベントID 364は汎用的なものであり、必ずしもサービスアカウントのトラブルで表示されるものとは限らないので、その点も含みおきいただければと思います。

    • 回答の候補に設定 佐伯玲 2015年8月24日 1:39
    • 回答としてマーク NMoricchi 2015年9月2日 5:57
    2015年8月22日 0:46

すべての返信

  • 追記

    1か月毎にADFSサービスアカウントのパスワードが変更されるのは
    グループ管理サービスアカウント(gMSA)によるものだと思います。

    サービスアカウントはADFSインストール時に新規作成を行いました。
    通常、gMSAにより自動でパスワードが変更されても問題ないかと思いますが
    なぜかパスワード変更により接続エラーになってしまいます。

    ----------------------------------------------------------
    ADFSサーバに出力されたエラーは以下になります。
    ----------------------------------------------------------
    パッシブな要求のフェデレーション中にエラーが発生しました。 

    ソース: AD FS
    イベントID: 364
    ユーザー: (ドメイン名)\adfssvc$

    追加データ 

    プロトコル名: 
    wsfed 

    証明書利用者: 
    urn:federation:MicrosoftOnline 

    例外情報: 
    Microsoft.IdentityServer.RequestFailedException: MSIS7066: 要求の認証に失敗しました。 ---> System.Security.SecurityException: このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。

       場所 System.Security.Principal.WindowsIdentity.KerbS4ULogon(String upn, SafeTokenHandle& safeTokenHandle)
       場所 System.Security.Principal.WindowsIdentity..ctor(String sUserPrincipalName, String type)
       場所 System.Security.Principal.WindowsIdentity..ctor(String sUserPrincipalName)
       場所 Microsoft.IdentityServer.Web.SessionTokenManager.UserInformationManagerForS4ULogon.FetchIdentityUsingS4U()
       --- 内部例外スタック トレースの終わり ---
       場所 Microsoft.IdentityServer.Web.SessionTokenManager.UserInformationManagerForS4ULogon.FetchIdentityUsingS4U()
       場所 Microsoft.IdentityServer.Web.SessionTokenManager.SingleSignOnTokenHelper.SsoS4ULogonUpdate(SessionSecurityToken sessionSecurityToken)
       場所 Microsoft.IdentityServer.Web.SessionTokenManager.SingleSignOnTokenHelper..ctor(WrappedHttpListenerRequest request, Boolean useTemporarySsoCookie)
       場所 Microsoft.IdentityServer.Web.Protocols.ProtocolContext.get_SingleSignOnTokenHelper()
       場所 Microsoft.IdentityServer.Web.Authentication.AuthenticationPolicyEvaluator.RetrieveFirstStageAuthenticationDomain(Boolean& validAuthMethodsInToken)
       場所 Microsoft.IdentityServer.Web.Authentication.AuthenticationPolicyEvaluator.EvaluatePolicy(Boolean& isLastStage, AuthenticationStage& currentStage, Boolean& strongAuthRequried)
       場所 Microsoft.IdentityServer.Web.PassiveProtocolListener.GetAuthMethodsFromAuthPolicyRules(PassiveProtocolHandler protocolHandler, ProtocolContext protocolContext)
       場所 Microsoft.IdentityServer.Web.PassiveProtocolListener.GetAuthenticationMethods(PassiveProtocolHandler protocolHandler, ProtocolContext protocolContext)
       場所 Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

    System.Security.SecurityException: このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。

       場所 System.Security.Principal.WindowsIdentity.KerbS4ULogon(String upn, SafeTokenHandle& safeTokenHandle)
       場所 System.Security.Principal.WindowsIdentity..ctor(String sUserPrincipalName, String type)
       場所 System.Security.Principal.WindowsIdentity..ctor(String sUserPrincipalName)
       場所 Microsoft.IdentityServer.Web.SessionTokenManager.UserInformationManagerForS4ULogon.FetchIdentityUsingS4U()
    失敗したアセンブリのゾーン:
    MyComputer




    2015年8月19日 5:53
  • NMoricchiさん、こんにちは。

    直接的な回答ではありませんが、気になるポイントがありましたので、以下、参考になれば幸いです。

    添付していただいたイベントログには「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」と記載があります。この情報が記載されるときはセキュアチャネルが破損し、ADのユーザー認証以前にセキュアチャネルの確立に問題があります。

    「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました」ならびにセキュアチャネルについては下記で詳しい原因と解決方法が掲載されているので、参考になさってください。

    このワークステーションとプライマリ ドメインとの信頼関係に失敗する
    https://social.technet.microsoft.com/Forums/ja-JP/898a1bb6-f0f4-4d27-a692-6022b0c4b4e1/-?forum=w7itprogeneralja

    なお、ADFSサーバーのログで表示されるイベントID 364は汎用的なものであり、必ずしもサービスアカウントのトラブルで表示されるものとは限らないので、その点も含みおきいただければと思います。

    • 回答の候補に設定 佐伯玲 2015年8月24日 1:39
    • 回答としてマーク NMoricchi 2015年9月2日 5:57
    2015年8月22日 0:46
  • こんにちは、NMoricchi さん
    フォーラムオペレータの佐伯 玲 です。

    Suguru KUNIIさんからのアドバイスはご覧いただけましたでしょうか?
    ご確認いただけましたらご返信くださいね。
    またご参考になったり解決へ結びついた場合には「回答としてマーク」いただくようお願い致します。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年8月31日 8:21
  • Suguru KUNIIさん、こんにちは。
    貴重な情報ありがとうございます。

    掲載された情報を拝見いたしました。
    セキュアチャンネルの破損には様々な原因があるようで参考になりました。

    今回のケースでは掲載されている原因パターンから「これだ」と特定するのは
    難しい感じですが、コンピューターアカウントのパスワード変更が既定で
    30日で自動変更という部分は気になる点です。

    セキュアチャンネル周りも併せて調査しようと思います。
    ありがとうございました。
    2015年9月2日 5:57