Office 365 (Enterprise) のシングル サイオン ユーザーが、社内ネットワークから Lync Online にサインインできない

文書翻訳 文書翻訳
文書番号: 2839539 - 対象製品

アップグレード前後、どちらの Office 365 を使用しているか確認するには、以下の Microsoft Web サイトを参照してください。
すべて展開する | すべて折りたたむ

現象

以下のシナリオを検討します。 ?
  • Microsoft Office 365 for Enterprises、Microsoft Office 365 for Education、Microsoft Office 365 for Midsize Business のいずれかのお客様は、Active Directory Federation Services (AD FS) 2.0で、シングル サインオン (SSO) がセットアップされています。
  • 社内ネットワークから接続するフェデレーション ユーザーは、Lync Online 2013 にサインインできず、以下のエラー メッセージが表示されます。

    “サーバーが一時的に使用できないため、サインインできません。"
注:?この問題は、Enterprise SSO ユーザーが、Microsoft Lync 2013 を使用して、社内ネットワークからMicrosoft Lync Online にサインインする場合にのみ発生します。Microsoft Lync 2010 ユーザー、Lync Online に接続していないユーザー、または社内ネットワーク外から接続するユーザーついては、この問題は発生しません。

解決方法

重要: この手順を実行する場合は、以下セクションの手順に従って正確に実行してください。レジストリ値を誤って編集すると重大な問題が生じる場合があります。問題が生じた場合に備え、以下の手順に従いレジストリのバックアップを取ってからレジストリを編集してください。
レジストリのバックアップおよび復元する方法 (英語)

この問題の原因については、多数のケースが考えられるため、以下の解決方法に従って対処してから構成を確認します。
  1. AD FS 2.0 フェデレーション サーバー ファームを展開する場合、登録済みのサービス プリンシパル名 (SPN) を必要とするドメインベースのサービス アカウントを指定する必要があります。これにより、Kerberos 認証を使用してサービスへのユーザーの認証ができるようになります。この詳細については、以下の TechNet Wiki を参照してください。
    AD FS 2.0: サービス アカウントの SPN (servicePrincipalName) を構成する方法 (英語)
    AD FS 2.0 で、SPN の手動設定の必要性が生じる可能性があるサービス アカウントは、以下のとおりです。
    • ファームの初期構成で、SPN を登録できない場合
    • フェデレーション サービス名を変更した場合
    • サービス アカウントを変更した場合
  2. 上記手順で記載されたドメインベースのサービス アカウントで、AD FS 2.0 サービスが実行していることを確認します。以下の画面例では、内部ホスト名は、TRLBV3、サービス アカウントは、ADFSSvc となります。

    元に戻す画像を拡大する
    2840105

  3. 40 キロバイト (KB) を超えるリクエスト ヘッダーを受信できるよう、AD FS 2.0 サーバーを構成します。この問題は、ユーザーが、多数の Active Directory Domain Services (AD DS) ユーザー グループに所属している場合に発生することがあります。ユーザーが、多数の AD DS グループのメンバーである場合、ユーザーに対する Kerberos 認証トークンが増加します。

    ユーザーによってインターネット インフォメーション サービス (IIS) サーバーに送信される HTTP リクエストには、WWW 認証ヘッダー内に Kerberos トークンが含まれています。このヘッダー サイズは、グループの数に伴って増加します。HTTP ヘッダーまたはパケットのサイズが IIS で構成されている制限を超える場合、ISS はリクエストを拒否し、レスポンスとしてエラー メッセージを送信する場合があります。詳細情報については、以下の Microsoft Knowledge Base 資料を参照してください。
    2020943?: インターネット インフォメーション サービス (IIS) で、"HTTP 400 - Bad Request (Request Header too long)" エラーが表示される?(英語)
    この問題を回避するには、以下いずれかの方法を実行します。
    1. ユーザーが所属している AD DS ユーザー グループの数を削減します。
    2. ユーザー リクエストのヘッダーの長さが制限値を超えないよう、IIS を実行しているサーバーで、MaxFieldLength および MaxRequestBytes のレジストリ値を変更します。この 2 つのレジストリ値は、以下のレジストリ サブキーに格納されています。?
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. ファームで複数の AD FS 2.0 サーバーを展開し、負荷分散している場合、Lync 2013 クライアントは、AD FS 2.0 サーバーにリクエストを送信できない場合があります。この場合、AD FS 2.0 サーバーに直接向けられたクライアント上のホスト ファイルに、AD FS 2.0 サーバーのエントリを追加することにより、負荷分散の仮想 IP がバイパスされます。
  5. 上記の記載を実行しても問題が解決されない場合で Lync 2010 のダウングレードも検討できない場合は、以下の手順に従って問題を回避します。

    : コンピューターにローカル管理者のアカウントが設定されてない場合は、以下の解決手順を実行するために、新しい管理者アカウントを作成する必要があります。
    1. Windows Explorer で以下の Lync 2013 実行ファイルを開きます。

      ?
      C:\Program Files\Microsoft Office 15\root\office15
    2. Shift キーを押しながら、Lync.exe ファイルを右クリックします。
    3. [別のユーザーとして実行] をクリックします。
    4. コンピューターのローカル管理者の資格情報を入力し、Enter キーを押します。

追加情報

この問題は通常、AD FS 2.0 の誤構成により生じます。Microsoft Exchange Online などの、その他のサービスは、この構成内容にかかわらず正常に動作する場合があります。一般的な原因は、以下のとおりです。
  • 以下に記載の原因などにより、ServicePrincipalName (SPN) が正常に構成されていない
    • ファームの初期構成で、SPN を登録できない場合
    • フェデレーション サービス名を変更した場合
    • サービス アカウントを変更した場合
  • 正しいサービス アカウントで AD FS 2.0 サービスを実行していない
  • Lync 2013 からのリクエスト ヘッダーの長さが制限を超えているため、IIS と AD FS 2.0 サーバーにより拒否される場合。これは、ユーザー アカウントが、多数の AD DS のユーザー グループに所属している場合に発生します。
  • AD FS 2.0 サーバー ファームが負荷分散されているため、リクエストが AD FS 2.0 サーバーに届かない場合
Office 365 で SSO を使用するために、AD FS 2.0 を展開する際の詳細情報については、以下の TechNet Web サイトを参照してください。
シングル サインオンで使用するために AD FS を計画して展開する
ユーザーが多数の AD DS グループに所属している場合、Microsoft Online Services サインイン アシスタントによる以下のログ エントリから確認できます (通常、このログは、C:\ MSOSSPTrace に格納されています)。
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

その他のトピックは、Office 365 コミュニティ Web サイトを参照してください。

プロパティ

文書番号: 2839539 - 最終更新日: 2013年9月25日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Office Communications Online
キーワード:?
o365062011 o365022013 o365 o365e o365a o365m pre-upgrade after upgrade kbgraphxlink KB2839539
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com