問題
次のような状況で問題が発生します。
-
企業向け Office 365、教育機関向け Office 365、または Office 365 ビジネスユーザーは、Active Directory フェデレーション サービス (AD FS) 2.0 でシングル サインオン (SSO) を設定します。
-
企業ネットワーク内から接続するフェデレーション ユーザーは、Lync 2013 からビジネス オンライン (以前の Lync Online) の Skype にサインインするうえで、次のエラー メッセージが表示されます。
サーバーが一時的に使用できないため、サインインできません。
メモこの問題は、企業ネットワーク内から Lync 2013 を使用してオンラインビジネス用の Skype にサインインするエンタープライズ SSO ユーザーにのみ適用されます。この問題は、Microsoft Lync 2010 のユーザー、ビジネス オンラインの Skype にいないユーザー、または企業ネットワークの外部から接続するユーザーには適用されません。
解決方法
重要 このセクションの手順を慎重に実行します。レジストリを誤って変更すると、深刻な問題が発生する可能性があります。変更する前に、問題が発生した場合に復元するためにレジストリをバックアップしてください。考えられる原因は多数あるので、次のすべての解決策を実行し、構成を確認することをお勧めします。
-
AD FS 2.0 フェデレーション サーバー ファームを展開する場合は、Kerberos 認証が正しく機能するために登録された SPN を必要とするドメイン ベースのサービス アカウントを指定する必要があります。詳しくは、次の TechNet Wiki をご覧ください。
AD FS 2.0: サービス アカウントの SPN (サービス プリンシパル名) を構成する方法AD FS 2.0 サービス アカウントで SPN を手動で設定する必要がある理由は次のとおりです。
-
ファームの初期構成中に SPN の登録に失敗しました。
-
フェデレーション サービス名が変更されました。
-
サービス アカウントが変更されました。
-
-
AD FS 2.0 サービスが、前の手順で説明したドメイン ベースのサービス アカウントで実行されていることを確認します。たとえば、次の図では、TRLABV3 は内部ホスト名、ADFSSvc はサービス アカウントです。
-
40 KB を超える要求ヘッダーを受け入れるように AD FS 2.0 サーバーを構成します。ユーザーが多数の Active Directory ドメイン サービス (AD DS) ユーザー グループのメンバーである場合は、この操作が必要になることがあります。ユーザーが多くの AD DS グループのメンバーである場合、ユーザーの Kerberos 認証トークンのサイズが増加します。ユーザーがインターネット インフォメーション サービス (IIS) サーバーに送信する HTTP 要求には、WWW 認証ヘッダーに Kerberos トークンが含まれています。したがって、グループの数が増えるにつれて、ヘッダーのサイズが大きくなります。HTTP ヘッダーまたはパケット サイズが IIS で構成されている制限を超えて増加した場合、IIS は要求を拒否し、応答としてエラーを送信する可能性があります。詳細については、次のマイクロソフト サポート技術情報資料を参照してください。
2020943インターネット インフォメーション サービス (IIS) でエラー "HTTP 400 - 要求 (要求ヘッダーが長すぎます)" エラーこの問題を回避するには、以下のいずれかの方法を使用します。
-
ユーザーがメンバーである AD DS ユーザー グループの数を減らします。
-
IIS を実行しているサーバー上の MaxFieldLength レジストリ値と MaxRequestBytes レジストリ値を変更して、ユーザーの要求ヘッダーが長すぎると見なされないようにします。これら 2 つのレジストリ値は、次のレジストリ サブキーの下にあります。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
ファームに複数の AD FS 2.0 サーバーを展開し、負荷分散を行っている場合、Lync 2013 クライアントが AD FS 2.0 サーバーに要求を送信できないことがあります。AD FS 2.0 サーバーを直接指すクライアントの Hosts ファイルに AD FS 2.0 サーバーのエントリを追加すると、ロード バランサーの仮想 IP がバイパスされます。
-
以前の解決策で問題が解決せず、Lync 2010 へのダウングレードができない場合は、次の手順に従って問題を回避します。メモローカル管理者アカウントがコンピュータに存在しない場合は、このソリューションを機能させるためにアカウントを作成する必要があります。
-
Windows エクスプローラーで Lync 2013 実行可能ファイルを参照します。
C:\Program Files\Microsoft Office 15\root\office15
-
Shift キーを押しながら Lync.exe を右クリックします。
-
[別のユーザーとして実行]をクリックします。
-
コンピューターのローカル管理者アカウントの資格情報を入力し、Enter キーを押します。
-
詳細情報
この問題は通常、AD FS 2.0 で構成が正しくないために発生します。この構成にもかかわらず、Microsoft Exchange Online などの他のサービスは正常に動作する可能性があります。一般的な原因を次に示します。
-
サービス プリンシパル名 (SPN) が正しく構成されていません。これには、次のような理由があります。
-
ファームの初期構成中に SPN の登録に失敗しました。
-
フェデレーション サービス名が変更されました。
-
サービス アカウントが変更されました。
-
-
AD FS 2.0 サービスが正しいサービス アカウントで実行されていません。
-
ヘッダーが大きすぎるため、Lync 2013 からの要求ヘッダーは IIS および AD FS 2.0 サーバーによって拒否されます。この問題は、ユーザー アカウントが AD DS ユーザー グループのメンバーが多すぎないために発生する可能性があります。
-
AD FS 2.0 サーバー ファームは負荷分散され、要求が AD FS 2.0 サーバーに到達していません。
Office 365 で SSO で使用するために AD FS 2.0 を展開する方法の詳細については、次の TechNet web サイトを参照してください。
シングル サインオンで使用する AD FS の計画と展開ユーザーが AD DS グループのメンバーが多すぎる場合は、Microsoft オンライン サービス サインイン アシスタントのトレース ログに次のエントリが入力されます (これらのログは通常 C:\MSOSSPTrace:
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。
