一方向ドメイン信頼を使用して CRM URL にアクセスすると、2011 年Microsoft Dynamics CRMエラーが発生する

  • [アーティクル]

この記事では、一方向ドメイン信頼を使用して Microsoft Dynamics CRM 2011 URL にアクセスしようとしたときに発生するエラー メッセージを解決するためのオプションについて説明します。

適用対象: Microsoft Dynamics CRM Online
元の KB 番号: 2698987

現象

次のような状況を想定します。 Microsoft Dynamics CRM 2011 と ADFS 2.0 は信頼するドメインにインストールされ、ユーザーは信頼されたドメインに配置されます。

  • 2 つのドメイン間には一方向の信頼があります。
  • 信頼ドメイン: contoso.com
  • 信頼されたドメイン: fabrikam.com

信頼されたドメインからの資格情報を使用して 2011 Microsoft Dynamics CRMにログインすると、次のエラーが発生します。

サイトへのアクセスに問題が発生しました。 サイトをもう一度参照してみてください。
問題が解決しない場合は、このサイトの管理者に連絡し、参照番号を指定して問題を特定してください。

参照番号: <GUID>

さらに、ADFS サーバーからのイベント ビューアーには、次の情報があります。

ログ名: AD FS 2.0/管理
ソース: AD FS 2.0
Date: DateTime
イベント ID: 111
タスク カテゴリ: なし
レベル: エラー
キーワード: AD FS
ユーザー: SYSTEM
コンピューター: ADFS.contoso.com
説明:
フェデレーション サービスで、WS-Trust 要求の処理中にエラーが発生しました。
要求の種類: https://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue

例外の詳細:
Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0018: クエリ ';userPrincipalName;{0}'属性ストア 'Active Directory' に失敗しました: '型の例外
'Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.Ldap.LdapServerUnavailableException' がスローされました。'。 --->
Microsoft.IdentityServer.ClaimsPolicy.Engine.AttributeStore.Ldap.LdapServerUnavailableException

LDP.exe ツールを使用して、ADFS サーバーから信頼されたドメインにあるドメイン コントローラーに対して、信頼するドメインからの資格情報を使用してクエリを実行すると、次のエラーが発生します。

0 = ldap_set_option(ld, LDAP_OPT_ENCRYPT, 1)
res = ldap_bind_s(ld, NULL, &NtAuthIdentity, NEGOTIATE (1158));v.3
{NtAuthIdentity: User='NULL';Pwd=<unavailable>;domain = 'NULL'}
エラー <49>: ldap_bind_s() が失敗しました: 資格情報が無効です。
サーバー エラー: 8009030C: LdapErr: DSID-0C09043E, コメント: AcceptSecurityContext エラー, データ 0, vece
エラー 0x8009030C ログオン試行に失敗しました

原因

この問題は、一方向ドメイン信頼が構成されているために発生します。 ADFS サービス アカウントには、信頼されたドメイン内のユーザーの属性を読み取る権限が必要です。 これを行わないと、ADFS は要求を発行する方法がありません。

解決方法

この問題を解決するには、次の 2 つのオプションがあります。

  • 信頼するドメイン内のユーザーを認証していない場合は、信頼するドメインから ADFS サーバーを削除し、信頼されたドメインに参加させます。 ADFS プロキシ サーバーは、インターネット上のユーザーがプロキシを介して認証できるように、信頼するドメインに配置できます。 Microsoft Dynamics CRM 2011 では、ADFS プロキシからフェデレーション メタデータをプルできるため、ADFS サーバーとの直接通信は必要ありません。 ただし、ADFS では、証明書利用者信頼を設定するときにMicrosoft Dynamics CRMとの直接通信が必要になり、Microsoft Dynamics CRMから federationmetadata を取得できますが、証明書利用者信頼のセットアップに対してのみ必要になります。 証明書利用者の信頼が作成されると、通信を終了できます。
  • 信頼ドメインと信頼されたドメインのユーザーを認証する場合は、新しい ADFS サーバーを内部ドメインに追加し、2 つの ADFS サーバー間でフェデレーション信頼を設定します。 信頼されたドメインのインターネット ユーザーが認証できるように、ADFS プロキシを信頼ドメインに追加することもできます。

詳細

フェデレーション信頼を設定するには、「 クレーム アクセスとパートナー企業」の手順に従います。