ADFS 2.0 エラー: このページを表示できません

  • [アーティクル]

この記事では、AD FS 2.0 を使用する Web サイト上のアプリケーションにアクセスしようとするとエラーが発生する解決策について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 3044971

概要

ほとんどの Active Directory フェデレーション サービス (AD FS) 2.0 の問題は、次のメインカテゴリのいずれかに属しています。 この記事では、接続の問題をトラブルシューティングする手順について説明します。

現象

  • 現象 1

    Active Directory フェデレーション サービス (AD FS) (AD FS) 2.0 を使用する Web サイト上の Web アプリケーションにアクセスしようとすると、次のエラー メッセージが表示されます。

    このページは表示できません。

  • 現象 2

    次の IDP によって開始されるサインオン ページと AD FS メタデータにアクセスすることはできません。

    https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

    https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

解決方法

この問題を解決するには、次の手順を順番に実行します。 これらの手順は、問題の原因を特定するのに役立ちます。 すべてのステップの後で問題が解決されるかどうかをチェックしてください。

手順 1: クライアントが正しい AD FS URL にリダイレクトされているかどうかを確認する

  • 確認方法

    1. Internet Explorer を開始します。
    2. F12 キーを押して開発者ツール ウィンドウを開きます。
    3. [ ネットワーク ] タブで、 開始 ボタンを選択するか、[ キャプチャの開始] を押してネットワーク トラフィックのキャプチャを有効にします。
    4. Web アプリケーションの URL を参照します。
    5. ネットワーク トレースを調べて、クライアントが認証のために AD FS サービスの URL にリダイレクトされることを確認します。 AD FS サービス URL が正しいことを確認します。

    次のスクリーンショットでは、最初の URL は Web アプリケーション用で、2 番目の URL は AD FS サービス用です。

    開発者ツールに一覧表示されている Web アプリケーション URL と A D F S サービス URL。

  • 修正方法

    正しくないアドレスにリダイレクトされた場合、Web アプリケーションで AD FS フェデレーション設定が正しくない可能性があります。 これらの設定を確認して、AD FS フェデレーション サービス (SAML サービス プロバイダー) URL が正しいことを確認します。

手順 2: AD FS サービス名を正しい IP アドレスに解決できるかどうかを確認する

  • 確認方法

    クライアント コンピューターと AD FS プロキシ サーバー (この場合) では、ping または nslookup コマンドを使用して、AD FS サービス名が正しい IP アドレスに解決されているかどうかを判断します。 次のガイドラインに従ってください。

    • イントラネット: 名前は、内部 AD FS サーバー IP または AD FS サーバーの負荷分散 IP (内部) に解決する必要があります。

    • 外部: 名前は、AD FS サービスの外部/パブリック IP に解決する必要があります。 この状況では、パブリック DNS を使用して名前を解決します。 同じ AD FS サービス名の異なるコンピューターから異なるパブリック IP が返される場合、パブリック DNS の最近の変更が世界中のすべてのパブリック DNS サーバーに反映されていない可能性があります。 このような変更をレプリケートするには、最大 24 時間が必要な場合があります。

      重要

      すべての AD FS サーバーで、AD FS プロキシ サーバーが AD FS サービスの名前を内部 AD FS サーバー IP または内部 AD FS サーバーの負荷分散 IP に解決できることを確認します。 これを行う最善の方法は、AD FS プロキシ サーバー上の HOST ファイルにエントリを追加するか、境界ネットワーク ("DMZ"、"非武装地帯"、および "スクリーンサブネット" とも呼ばれます) で分割 DNS 構成を使用することです。

      nslookup コマンドの例:

      Nslookup sts.contoso.com

      nslookup コマンドの実行後に返される出力。

  • 修正方法

    DNS サーバーまたはインターネット サービス プロバイダー (ISP) を使用して、AD FS サービス名のレコードを確認します。 IP アドレスが正しいことを確認します。

手順 3: AD FS サーバー上の TCP ポート 443 にアクセスできるかどうかを確認する

  • 確認方法

    PortQry コマンド ライン ポート スキャナーの Telnet または PortQryUI - ユーザー インターフェイスを使用して、AD FS サーバー上のポート 443 の接続を照会します。 443 ポートがリッスンしていることを確認します。

    A D F S サーバー上のポート 443 の接続を確認したポート クエリの結果。

  • 修正方法

    AD FS サーバーが 443 ポートでリッスンしていない場合は、次の手順に従います。

    1. AD FS 2.0 Windows サービスが開始されていることを確認します。
    2. AD FS サーバーの Windows ファイアウォール設定を確認して、TCP 433 ポートが接続を許可されていることを確認します。
    3. AD FS サービスの前にロード バランサーが使用されている場合は、負荷分散プロセスをバイパスして、これが問題の原因ではないことを確認してください。 (負荷分散が一般的な原因です)。

手順 4: IdP によって開始されたサインオン ページを使用して ADFS に対する認証を行うことができるかどうかを確認する

  • 確認方法

    インターネット エクスプローラーを起動し、次の Web アドレスを参照します。 このページを開こうとすると証明書の警告が表示された場合は、[続行] を選択 します

    <http:// YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx

    注:

    この URL では、 <YourADFSServiceName> は実際の AD FS サービス名を表します。

    通常、サインイン画面にアクセスし、資格情報を使用してサインインできます。

    [A D F S サインイン] ページのスクリーンショット。

  • 修正方法

    手順 1 ~ 手順 3 を正常に実行しても Web アプリケーションにアクセスできない場合は、次の手順に従います。

    1. 別のクライアント コンピューターとブラウザーを使用してテストを行います。 クライアントに影響する問題が発生する可能性があります。
    2. 次の高度なトラブルシューティング手順を実行します。
    3. ページにアクセスしているときに Fiddler Web デバッガートレースとネットワーク キャプチャ情報を収集します IDPInitiatedsignon 。 詳細については、「 AD FS 2.0: Fiddler Web デバッガーを使用して WS-Federation パッシブ サインインを分析する方法」を参照してください。
    4. クライアント コンピューターからネットワーク トレースを収集して、SSL ハンドシェイクが正常に完了したかどうか、暗号化されたメッセージがあるかどうか、正しい IP アドレスにアクセスしているかどうかなどをチェックします。 詳細については、「 Windows および Windows Server で Schannel イベント ログを有効にする方法」を参照してください。

サードパーティの情報に関する免責事項

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。