none
AFDSセットアップでSPNエラー RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    環境:Windows2012 R2 DetaCenter 日本語 (WindowsUpdateは最新まで適用)

    内容:ADFSのインストール後、構成の最後でエラーが発生

    構成の最後に

    「指定したサービスアカウントのSPNの設定中にエラーが発生しました。サービスアカウントのSPNを手動で設定してください。。。。」

    と出ます。

    PoweShellで

    >setspn -a host/xxx.xxx.xxxxx "adfeserviceaccount"

    を実行すると、「重複する SPNが見つかりました。操作を中止します」

    また、イベントログには、ID4のKerberosのエラーが記載されています。

    どのように調査/修正すればよろしいでしょうか

    2017年3月23日 14:52
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    ご返信いただきありがとうございます。最終的には、ADFSのアンインストール、「Internal Database」のアンインストールで解決しました

    最初はADFSだけアンインストールしましたがうまくいかず、最終的にInternal Databaseのアンインストールと

    DBファイルの手動削除 で解決しました。

    重複したのは、AD上に存在するアカウントを構成中に新規作成で指定したからのようです。

    新規作成の意味を取り違えた結果発生した問題でした

    2017年3月28日 8:55
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    SPNは、同一の名前に対して一つのエントリーしか作成できません。host/xxx.xxx.xxxxx が既に設定されている旨のエラーになります。

    ・AD FSのポイント名(上記コマンドでいうxxx.xxx.xxxxx)と同じ名前で既に過去AD FSをセットアップしたことがある
    ・AD FSサーバと同じFQDNをAD FSのサービス名として利用しようとしている

    上記であれば、一度setspn -dコマンドで削除頂ければセットアップが再開可能、下記であれば、新たにAD FSサービス用の名前を定義頂いて(例えばsts.xxx.xxxxx)そちらで再セットアップを頂ければと(SSL証明書の再発行などが必要ですが)思います。

    2017年3月24日 2:06
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、AD FSのgMSA用にSPNを登録する際は、通常の方法とやり方が異なるためです。本来は

    setspn -a host/<フェデレーションサービス名FQDN> "<ドメイン>\<gMSAアカウント名$>"
    setspn -a HTTP/<フェデレーションサービス名FQDN> "<ドメイン>\<gMSAアカウント名$>"

    を実行します。

    https://blogs.technet.microsoft.com/bulentozkir/2016/05/14/spn-registered-incorrectly-during-adfs-setup-when-you-use-gmsa-service-account/

    <フェデレーションサービス名FQDN>とはわかりにくい呼称ですが、本来のAD FSサーバ名とは別に、AD FS参照のためだけに用意されたサーバの別名、ということです。たとえばadfs01.example.comが本来の名前だったら、sts.example.comといった別の「フェデレーションサービス名」を用意してセットアップを行ったはずです。

    ここでフェデレーションサービス名を「本来のサーバ名」と同一に設定してしまった場合、host/<フェデレーションサービス名FQDN>と(コンピュータオブジェクトに登録された)host/<本来のサーバ名FQDN>がかぶってしまうため、問題が発生します。

    一番簡単なことは、AD FSを再セットアップし、その際に本来のサーバ名とは違う「フェデレーションサービス名」を設定するようにすることです。この前提としては「フェデレーションサービス名」で本来のサーバへの名前解決ができるよう、Aレコードを事前に登録しておく必要があります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年3月24日 2:29
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご返信いただきありがとうございます。最終的には、ADFSのアンインストール、「Internal Database」のアンインストールで解決しました

    最初はADFSだけアンインストールしましたがうまくいかず、最終的にInternal Databaseのアンインストールと

    DBファイルの手動削除 で解決しました。

    重複したのは、AD上に存在するアカウントを構成中に新規作成で指定したからのようです。

    新規作成の意味を取り違えた結果発生した問題でした

    2017年3月28日 8:55
    |
  • Question
    サインインして投票
    0
    サインインして投票

    上記回答の返信でも書かさせていただいた通り、新規ユーザーを作成してしまったため でした。

    ご回答ありがとうございました

    2017年3月28日 8:58
    |