Ad FS 2.0 サービスを開始できません。

概要

Ad FS 2.0 の問題のほとんどは、次の主要なカテゴリのいずれかに属しています。この資料には、ADFS サービスの問題をトラブルシューティングする手順が含まれています。

  • ADFS サービスの問題 (KB 3044973)

現象

  • AD FS サービスは起動しません。

  • AD FS サービスの開始が、再起動した後、AD FS の管理ログに次のエラーを記録します。

    • イベント ID: 220
      フェデレーション サービスの構成は、AD FS の構成データベースから正しくないロードでした。

    • イベント ID: 352
      接続文字列%1の AD FS の構成データベース内の SQL Server 操作に失敗しました。

    • イベント ID: 102
      フェデレーション サービスのエンドポイントを有効にすることでエラーが発生しました。

解決策

この問題を解決するには、所定の順序で、次の手順に従います。次の手順を使用すると、問題の原因を特定できます。各手順の実行後、問題が解決するかどうかを確認することを確認します。

手順 1: AD FS サービスの起動中にタイムアウトになるのかどうかを確認します。

チェックする方法

AD FS サービスを開始しようとするときのタイムアウト、次のエラー メッセージが表示されます。


サービスは、適切なタイミングで開始または制御要求に応答しませんでした。


修正する方法

「コントロール ・ キーで 60000 DWORD 値の [ ServicesPipeTimeout値データに変更。これを行うには、以下の手順を実行します。

  1. AD FS サーバーで、レジストリ エディターを開きます。

  2. 次のレジストリ キーを探してクリックします。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

  3. コントロールのサブキーをクリックします。

  4. ServicesPipeTimeoutの DWORD 値を右クリックし、[変更] をクリックします。ServicesPipeTimeout の値がない場合、それを作成してください。

  5. [ 10 進] をクリックします。

  6. 60000を入力し、[ OK] をクリックします。

このタイムアウト エラーの詳細については、以下を参照してください。


手順 2: AD FS の構成データベースが実行されているかどうかを確認します。

チェックする方法

  • AD FS の構成データベースと Windows 内部データベース (WID) を使用する場合は、services.msc を開き Windows 内部データベース サービスが実行されているかどうかを確認します。

  • AD FS の構成データベースとして SQL Server サービスを使用する場合は、services.msc を開きます。SQL Server サービスが実行されているかどうかを確認してください。Test.udl ファイルを作成し、Microsoft SQL Server への接続をテストするのには接続文字列を設定することも。詳細についてを参照してください。

修正する方法

Services.msc を開き、Windows 内部データベース サービスまたは SQL Server サービスを開始します。

構成データベースとして SQL Server を使用する AD FS サーバーのも確認してください 2 つのセキュリティ設定では、次のようになります。

  1. SQL Management Studio を使用して SQL Server を実行しているサーバーに接続します。

  2. チェックは、セキュリティ上の AD FS 2.0 サービス id は、SQL Server に存在する Windows コンソールかどうか] の [ログイン] ノードです。しない場合は、それを追加します。

  3. AD FS 2.0データベース] の下のサービスの id が存在する Windows が -> かどうかを確認AdfsConfiguration -> ->ユーザーセキュリティと it は、 IdentityServerPolicyスキーマを所有しています。しない場合は、それを追加します。

手順 3: AD FS サービス アカウントを確認します。

  1. AD FS サービスは、IIS アプリケーション プールが有効なサービス アカウントで実行しているかどうかを確認してください。サービス アカウントのパスワードを変更した場合は、AD FS サービスおよび IIS アプリケーション プールで新しいパスワードに更新されることを確認します。

    チェックする方法

    1. Services.msc を開き、右クリックしAD FS 2.0 サービス、し、[プロパティ] をクリックします。[ログオン] タブで、[アカウント] ボックスに新しい AD FS サービス アカウントが表示されていることを確認します。

    2. IIS マネージャーを開くアプリケーション プールに移動、 ADFSAppPoolを右クリックし、 [詳細設定] をクリックします。「プロセス モデル」のセクションの新しい AD FS サービス アカウントがIdとして表示されていることを確認します。

  2. サービス アカウントが、AD FS のデータベースに十分なアクセス許可を持つかどうかを確認してください。実行して、ADFS サービス アカウントを変更した場合、アクセス許可について考慮する必要があります。

    構成サーバーとして SQL Server を使用する場合、次のこれらのサービス アカウントのアクセス許可をリセットする手順。

    1. コマンド プロンプトで次のコマンドを実行します。fsconfig.exe /CreateSQLScripts /ServiceAccount <ADFS service account> /ScriptDestinationFolder <path to create scripts>

    2. SQL Server を実行しているサーバーに作成したスクリプトをコピーします。

    3. サーバー上でスクリプトを実行します。

  3. サービス アカウントが読み取りおよび上のアクセス許可を変更するかどうかを確認して、(CN = < GUID >、CN = ADFS、CN = マイクロソフトでは、CN = プログラム データ、DC = < ドメイン > DC = < COM >) コンテナーの証明書を共有します。

    チェックして修正する方法

    1. ドメイン コント ローラーでは、ファイル名を指定を開きます。

    2. 既定の名前付けコンテキストに接続します。

    3. 移動CN = < GUID >、CN = ADFS、CN = Microsoft、CN = プログラム データ、DC = < ドメイン > DC = < COM >。GUID の例としては、「62b8a5cb-5 d 16-4b13-b616-06caea706ada です」

    4. GUID を右クリックし、し、[プロパティ] をクリックします。1 つ以上の GUID がある場合は、次のセクションを参照してください。


    AD FS サービスが実行されているサーバーの GUID を検索する場所

    1. AD FS サービスを実行しているサーバー上には、Windows PowerShell を開始します。

    2. 次のコマンドを実行します。Add-PSSnapin microsoft.adfs.powershell Get-ADFSProperties

    3. GUID は、 CertificateShareingContainerの下に表示されます。


  4. 新しいサービス アカウントが、AD FS サービス通信の証明書の秘密キーの読み取りアクセス許可を持つかどうかを確認してください。

    チェックして修正する方法

    1. ローカル コンピューターの証明書ストアを対象とする証明書スナップインを使用して Microsoft 管理コンソール (MMC) を作成します。

    2. MMC を展開し、秘密キーの管理を選択します。

    3. [セキュリティ] タブで、AD FS サービス アカウントを追加し、このアカウントに読み取りアクセス許可を付与します。

  5. ホストと ADFSServiceName の AD FS のサービス プリンシパル名 (SPN) がサービス アカウントに追加され、場合に、サービス アカウントを変更) は、以前のアカウントから削除されたかどうかを確認してください。

    チェックする方法

    1. コマンド プロンプトを右クリックし、[管理者として実行] をクリックします。

    2. 型SetSPN – f – q ホスト/< フェデレーション サービス名 >、し、Enter キーを押します。

      注 このコマンドでは、 < フェデレーション サービス名 >は、AD FS サービス エンドポイントの完全修飾ドメイン名 (FQDN) のサービス名を表します。フェデレーション サービスのプロパティ] ダイアログ ボックスでサービス名を見つけることができます。


    追加またはアカウントの SPN を削除する方法

    1. ドメイン コント ローラーでは、ファイル名を指定を開きます。

    2. 既定の名前付けコンテキストに接続します。

    3. 拡張CN = Users と CN、マイクロソフトでは、CN を = = プログラム データ、DC = < ドメイン > DC = < COM >

    4. サービス アカウントを検索します。サービス ・ アカウントを右クリックし、[プロパティ] をクリックします。

    5. サービス プリンシパル名属性を見つけてし、[編集] をクリックします。

    6. 追加または AD FS サービスの SPN を削除します。ここでは、AD FS サービスの SPN の例です。

      HOST/newadfs.contoso.com

  6. サービス アカウントのパスワードを変更する場合は、AD FS サービスと IIS の AD FS アプリケーション プールで新しいパスワードに更新されることを確認します。

  7. AD FS サービス アカウントが、ローカルの管理者グループかどうかを確認してください。潜在的な問題を避けるためには、AD FS サービス アカウントにローカル管理者権限を付与します。

手順 4: 最新のバージョンに、AD FS サービスを更新します。

以下の更新プログラムがインストールされているかどうかを確認してください。間違っている場合、それらをインストールします。

手順 5: 断続的な AD FS サービスの失敗を修正します。

一時的な AD FS サービス障害が発生した場合は、セキュリティ更新プログラム 2894844 を適用した後に問題が発生するかどうかを確認します。このような状況では、AD FS は失敗し、外部ネットワークから、またはフォーム ベースの通信を使用してアクセスされた場合、参照番号が生成されます。

記載されている問題が発生している可能性がありますが問題は、セキュリティ更新プログラム 2894844 が適用された後に開始だった場合、「原因 1: ファーム (マルチ サーバー環境) では、web アプリケーションが実行されている"次のサポート技術情報資料の。

解決する状態メッセージ認証コード (MAC) エラーの表示

修正する方法

すべての AD FS サーバーおよび AD FS プロキシの同じコンピューターの静的なキーを設定します。

  1. IIS マネージャーを見つけて、adfs と ls のフォルダーを開きます。

  2. [ASP.NET] セクションでは、コンピューターのキーをクリックします。

  3. 検証キーと復号化キーの両方の実行時に自動的に生成し、アプリケーションごとに一意のキーの生成のチェック ボックスをオフにします。

  4. キーの生成] をクリックします。

  5. [適用] をクリックします。

  6. 最初の AD FS サーバーの検証と復号化キーをコピーして、他のすべてのサーバーにこれらのキーを貼り付けます。

手順 6: ADFS サービス、通信のことを確認トークン署名とトークン解読証明書が正しく構成されています。

詳細については、 を参照してください。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×