Office 365 (Enterprise) のシングル サイオン ユーザーが、社内ネットワークから Skype for Business Online にサインインできない

現象
以下のシナリオを検討します。  
  • Microsoft Office 365 for Enterprises、Microsoft Office 365 for Education、Microsoft Office 365 for Midsize Business のいずれかのお客様は、Active Directory Federation Services (AD FS) 2.0で、シングル サインオン (SSO) がセットアップされています。
  • 社内ネットワークから接続するフェデレーション ユーザーは、Skype for Business Online (旧名称 Lync Online) 2013 にサインインできず、以下のエラー メッセージが表示されます。

    “サーバーが一時的に使用できないため、サインインできません。"
注: この問題は、Enterprise SSO ユーザーが、Microsoft Lync 2013 を使用して、社内ネットワークからMicrosoft Skype for Business Online にサインインする場合にのみ発生します。Microsoft Lync 2010 ユーザー、Skype for Business Online に接続していないユーザー、または社内ネットワーク外から接続するユーザーついては、この問題は発生しません。
解決方法
重要: この手順を実行する場合は、以下セクションの手順に従って正確に実行してください。レジストリ値を誤って編集すると重大な問題が生じる場合があります。問題が生じた場合に備え、以下の手順に従いレジストリのバックアップを取ってからレジストリを編集してください。

この問題の原因については、多数のケースが考えられるため、以下の解決方法に従って対処してから構成を確認します。
  1. AD FS 2.0 フェデレーション サーバー ファームを展開する場合、登録済みのサービス プリンシパル名 (SPN) を必要とするドメインベースのサービス アカウントを指定する必要があります。これにより、Kerberos 認証を使用してサービスへのユーザーの認証ができるようになります。この詳細については、以下の TechNet Wiki を参照してください。AD FS 2.0 で、SPN の手動設定の必要性が生じる可能性があるサービス アカウントは、以下のとおりです。
    • ファームの初期構成で、SPN を登録できない場合
    • フェデレーション サービス名を変更した場合
    • サービス アカウントを変更した場合
  2. 上記手順で記載されたドメインベースのサービス アカウントで、AD FS 2.0 サービスが実行していることを確認します。以下の画面例では、内部ホスト名は、TRLBV3、サービス アカウントは、ADFSSvc となります。


  3. 40 キロバイト (KB) を超えるリクエスト ヘッダーを受信できるよう、AD FS 2.0 サーバーを構成します。この問題は、ユーザーが、多数の Active Directory Domain Services (AD DS) ユーザー グループに所属している場合に発生することがあります。ユーザーが、多数の AD DS グループのメンバーである場合、ユーザーに対する Kerberos 認証トークンが増加します。

    ユーザーによってインターネット インフォメーション サービス (IIS) サーバーに送信される HTTP リクエストには、WWW 認証ヘッダー内に Kerberos トークンが含まれています。このヘッダー サイズは、グループの数に伴って増加します。HTTP ヘッダーまたはパケットのサイズが IIS で構成されている制限を超える場合、ISS はリクエストを拒否し、レスポンスとしてエラー メッセージを送信する場合があります。詳細情報については、以下の Microsoft Knowledge Base 資料を参照してください。
    2020943 : インターネット インフォメーション サービス (IIS) で、"HTTP 400 - Bad Request (Request Header too long)" エラーが表示される (英語)
    この問題を回避するには、以下いずれかの方法を実行します。
    1. ユーザーが所属している AD DS ユーザー グループの数を削減します。
    2. ユーザー リクエストのヘッダーの長さが制限値を超えないよう、IIS を実行しているサーバーで、MaxFieldLength および MaxRequestBytes のレジストリ値を変更します。この 2 つのレジストリ値は、以下のレジストリ サブキーに格納されています。 
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. ファームで複数の AD FS 2.0 サーバーを展開し、負荷分散している場合、Lync 2013 クライアントは、AD FS 2.0 サーバーにリクエストを送信できない場合があります。この場合、AD FS 2.0 サーバーに直接向けられたクライアント上のホスト ファイルに、AD FS 2.0 サーバーのエントリを追加することにより、負荷分散の仮想 IP がバイパスされます。
  5. 上記の記載を実行しても問題が解決されない場合で Lync 2010 のダウングレードも検討できない場合は、以下の手順に従って問題を回避します。

    : コンピューターにローカル管理者のアカウントが設定されてない場合は、以下の解決手順を実行するために、新しい管理者アカウントを作成する必要があります。
    1. Windows Explorer で以下の Lync 2013 実行ファイルを開きます。

       
      C:\Program Files\Microsoft Office 15\root\office15
    2. Shift キーを押しながら、Lync.exe ファイルを右クリックします。
    3. [別のユーザーとして実行] をクリックします。
    4. コンピューターのローカル管理者の資格情報を入力し、Enter キーを押します。
追加情報
この問題は通常、AD FS 2.0 の誤構成により生じます。Microsoft Exchange Online などの、その他のサービスは、この構成内容にかかわらず正常に動作する場合があります。一般的な原因は、以下のとおりです。
  • 以下に記載の原因などにより、ServicePrincipalName (SPN) が正常に構成されていない
    • ファームの初期構成で、SPN を登録できない場合
    • フェデレーション サービス名を変更した場合
    • サービス アカウントを変更した場合
  • 正しいサービス アカウントで AD FS 2.0 サービスを実行していない
  • Lync 2013 からのリクエスト ヘッダーの長さが制限を超えているため、IIS と AD FS 2.0 サーバーにより拒否される場合。これは、ユーザー アカウントが、多数の AD DS のユーザー グループに所属している場合に発生します。
  • AD FS 2.0 サーバー ファームが負荷分散されているため、リクエストが AD FS 2.0 サーバーに届かない場合
Office 365 で SSO を使用するために、AD FS 2.0 を展開する際の詳細情報については、以下の TechNet Web サイトを参照してください。ユーザーが多数の AD DS グループに所属している場合、Microsoft Online Services サインイン アシスタントによる以下のログ エントリから確認できます (通常、このログは、C:\ MSOSSPTrace に格納されています)。
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

その他のトピックは、Office 365 コミュニティ Web サイトを参照してください。
プロパティ

文書番号:2839539 - 最終更新日: 04/30/2015 23:09:00 - リビジョン: 8.0

Skype for Business Online

  • o365022013 o365 o365e o365a o365m kbgraphxlink KB2839539
フィードバック