Windows サーバー上の AD FS で、アカウントのロックアウトのトラブルシューティング

適用対象: Windows Servers

Microsoft Active Directory フェデレーション サービス (AD FS) Windows Server 上で、アカウント ロックアウトの問題が発生する可能性があります。この問題をトラブルシューティングするには、次の点をまず確認してください。

接続の稼働状態を使用して、ログイン、ユーザーの作業用データを生成するには

接続の稼働状態を使用すると、ユーザー ログインの利用状況に関するデータを生成します。AD FS のファームで行われる上の不正なパスワード試行の状態を生成のレポートに接続します。

ユーザー アカウントと無効なパスワード試行の ip アドレスのリストを分析するこの資料の情報を参照してください。「Ip アドレスを分析し不正なパスワード試行の影響を受けるアカウントのユーザー名」に進みます

AD FS および Web アプリケーションのプロキシ サーバーから AD FS のイベント ログを収集します。

無効なパスワード試行の影響を受けるアカウントの ip アドレスとユーザー名を分析します。

IP アドレスとユーザー名を列挙すると後、は、アクセスの予期しない場所にある ip アドレスを識別します。は、不明な外部の ip アドレスから作成しようとしますか?

最新の修正プログラムを使用して AD FS サーバーを更新します。

AD FS サーバーに最新の機能があることを確認するのには、AD FS サーバーと Web アプリケーションのプロキシ サーバーの最新の修正プログラムを適用します。さらに、後で使用されるイベントの 411 で IP アドレスをログに記録する、Windows Server 2012 R2 では修正プログラム3134222が必要です。、次の手順を実行します。

エクストラネットのロックアウトが有効になっているかどうかを確認します。

Get ADFSPropertiesを使用して、エクストラネットのロックアウトが有効になっているかどうかを確認します。

ロックアウト状態を確認する手順を実行します。

Windows Server 2012 R2 の新しいバージョン

スマート ロックアウトは、2016 と更新によって 2012 R2 の AD FS ですぐに利用可能な新しい機能です。機能は、使用するとすぐに、スマートのロックアウトを有効にするための適切な手順をこのセクションが更新されます。、に進みます"エクストラネットのロックアウト、および内部のロックアウトのしきい値を確認してください。

Windows Server 2008 R2 の Windows の以前のバージョン

Windows Server 2012 R2 または Windows Server 2016 には、AD FS サーバーをアップグレードすることをお勧めします。詳細については、 Windows Server 2016 の AD FS へのアップグレードを参照してください。次に、Windows Server 2012 R2 または新しいバージョンの手順に従います。

サービスまたはアプリケーションの資格情報が更新されているかどうかを確認します。

ユーザー アカウントをサービス アカウントとして使用する場合、最新の資格情報は、サービスまたはアプリケーションでは更新されません。このような場合は、間違った資格情報を使用して認証サービスを続ける可能性があります。これにより、ロックアウト状態が原因です。この問題を解決するには、サービスまたは資格情報が正しいかどうかを確認するのにはアプリケーションのサービス アカウントの構成を確認します。それ以外の場合は、次の手順に従います。

アプリケーションでキャッシュされた資格情報の消去

アプリケーションのいずれかでユーザーの資格情報はキャッシュされる繰り返し認証の試行が原因で、アカウント ロックアウトがあります。この問題を解決するには、アプリケーションでキャッシュされた資格情報をオフにします。問題が解決されたかどうかを確認してください。