none
AD FS 3.0でのエラーID:342について RRS feed

  • 質問

  • aaaa.comのユーザーで認証するとうまくいくのですが、
    別ドメイン(仮にbbbb.comとします)のユーザーでサインインすると、エラーID:342が出てしまいます。

    ↓以下、エラーメッセージです。↓

    トークンの検証に失敗しました。 

    追加データ 

    トークンの種類: 
    http://schemas.microsoft.com/ws/2006/05/identitymodel/tokens/UserName 
    %エラー メッセージ: 
    testuser@bbbb.com-ログオン失敗: 要求された種類のログオンは、このコンピューターではユーザーに許可されていません。 

    例外情報: 
    System.IdentityModel.Tokens.SecurityTokenValidationException: MLC10193@jpn.marubeni-logi.com ---> System.ComponentModel.Win32Exception: ログオン失敗: 要求された種類のログオンは、このコンピューターではユーザーに許可されていません。
       場所 Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserHandle(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, SafeCloseHandle& tokenHandle, SafeLsaReturnBufferHandle& profileHandle)
       場所 Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName)
       場所 Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName)
       場所 Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)
       --- 内部例外スタック トレースの終わり ---
       場所 Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)
       場所 Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateToken(SecurityToken token)

    System.ComponentModel.Win32Exception (0x80004005): ログオン失敗: 要求された種類のログオンは、このコンピューターではユーザーに許可されていません。
       場所 Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserHandle(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, SafeCloseHandle& tokenHandle, SafeLsaReturnBufferHandle& profileHandle)
       場所 Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName)
       場所 Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName)
       場所 Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token)"

    ↑メッセージはここまでです↑


    おそらくAD同士の信頼関係などが怪しいとは思っておりますが、
    このエラーに関する対処、確認すべき点などありましたら
    アドバイスしていただけないでしょうか。

    以上、よろしくお願いいたします。
    2016年2月15日 1:31

すべての返信

  • チャブーンです。

    おそらくAD同士の信頼関係などが怪しいとは思っておりますが、

    とのことですが、そもそもどのような環境下でご利用になっておられるのか、等の背景情報を全くお知らせいただいていないので、回答を付けにくい状況かと思います。まずは必要な背景情報を示していただくべきかと思います。

    環境がよくわからないのでどうにもならないですが、Windows信頼関係にあるドメイン間でフェデレーション信頼を行うためには、「フォレスト間信頼であること」「信頼元=信頼先のADFSでフェデレーション信頼が結ばれていること」等の必要条件があります。まずは環境自体がフェデレーション信頼を満たしているか、から確認された方がよろしいかと思います。

    https://technet.microsoft.com/ja-jp/library/cc753352.aspx


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年2月15日 2:55
    モデレータ
  • 申し訳ありません、環境などの情報が欠落しておりました。

    ドメイン環境(仮にaaaa.com)にてAD FS 3.0、WAPサーバを構築しました。
    ADサーバーの代替UPNサフィックスにbbbb.comを追加し、
    Office 365側には複数ドメインを追加(仮にbbbb.com)することで
    マルチドメインでSSOができるようにしました。

    その環境で、aaaa.comでサインインすると成功するのですが、
    bbbb.comユーザーでサインインしすると、上記のエラーが出力してしまいます。

    通信経路など確認しなければならない点がありましたら
    ご教授していただけないでしょうか。
    2016年2月16日 8:03
  • チャブーンです。

    返信が遅くなりましたが。

    ドメイン環境(仮にaaaa.com)にてAD FS 3.0、WAPサーバを構築しました。
    ADサーバーの代替UPNサフィックスにbbbb.comを追加し、
    Office 365側には複数ドメインを追加(仮にbbbb.com)することで
    マルチドメインでSSOができるようにしました。

    この環境ですが、オンプレ側のbbbb.comについて「フォレスト間の信頼関係」はそもそも結んでいるのでしょうか?結んでいない場合、bbbb.com側にもADFSを立てて、Office365と直接フェデレーション信頼を結ぶ必要があります。フォレスト間信頼を結んでいる、ということであれば、aaaa.com側のADFSサーバに対して「<user>@bbbb.com」UPNでログオンできるかどうか、確認する必要があります。

    で、ここまで書いて思ったのですが、もしかしてオンプレ側フォレストは最初から1つしかなく、「UPNサフィックス」でドメイン名をかさまし(追加)して、別名ドメイン(UPN)で認証させたい、と思っているのでしょうか?


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年2月22日 3:26
    モデレータ