AAD Connect のトラブルシューティング

2016/7/19 Active Directory, ADFS, Microsoft Azure

皆さんこんにちは。国井です。

オンプレミスのActive DirectoryとAzure ADの間でID情報を同期するだけでなく、ADFSサーバーのインストールやSSO環境の構築など、何かと便利な機能を提供してくれるAzure Active Directory Connect (AAD Connect) ツール。だけど、事前準備が整っていないとAAD Connectはあっさりエラーを表示して私たちを切り捨ててくれます。。そんなときにエラーの原因から何が問題でどのような対処をすればよいか?私が見かけたパターンを公開します。

必須コンポーネントのインストールエラーが表示されるパターン

これは、見たまんまのエラーで、エラーメッセージに書いてあるフォルダー内のファイルを削除しましょう。
ちなみにこれが起こるのは、AAD Connectを複数回実行することが原因です。

Install ADFS Certificateエラーが表示されるパターン

これはわかりやすいエラーで、証明書の構成に問題があるパターンです。
用意すべき証明書がADFSサーバーで使用可能なSSL証明書ではない場合に表示されました。

image

Configure Web App Proxyエラーが表示されるパターン

結構よく見かけるような気がしますが、私が遭遇したパターンはADFSサーバーで使用するSSL証明書がオレオレ証明書という場合。この場合、Webアプリケーションプロキシの[信頼されたルート証明機関]にSSL証明書の情報(認証局の情報)が登録されていない場合に表示されました。
ADFSサーバーの[信頼されたルート証明機関]に登録されていなくても、ADFSサーバーのインストールエラーとはならないのに、Webアプリケーションプロキシのインストール(構成)時には、[信頼されたルート証明機関]が設定されていないと確実にエラーになります。

image

ちなみに、[信頼されたルート証明機関]にSSL証明書の情報が登録されていない場合は、手動でWebアプリケーションプロキシをインストールして、ADFSサーバーとの信頼関係を設定してもエラーになります。

image_thumb.png

Configure New ADFS Taskエラーが表示されるパターン

このパターンはADFSサーバーを過去にインストールしたことがあり、手動でADFSサーバーをアンインストールして、再度AAD Connectを実行すると表示されます。
原因はADFSサーバーをアンインストールしても、ADFSサーバーで使用するデータベースは削除されずに残っていることが原因で、新しいデータベースを作れないことにあります。
こういうときは、「ADFS3.0の再インストールするときの注意点」を参考にデータベースの手動削除を行いましょう。
(エラーメッセージを見ていると、他のエラーパターンでも表示されそうな気がするんですけどね)

image

Configure New ADFS Taskエラーが表示されるパターンPart2

このパターンも、メッセージは異なりますが、最初の「Configure New ADFS Task」エラーと同じです。対処方法は上記のとおり。

image

Configure New ADFS Taskエラーが表示されるパターンPart3

このパターンは、ADFSサーバーがリモートから追加された後、再起動が要求される場合に出るエラーです。
ADFSをインストールしたサーバーを一度再起動した後で、[再試行]をクリックしてあげると、エラーが解消されます。

image

Configure New ADFS Taskエラーが表示されるパターンPart4

これは、何が原因の時に表示されたか、忘れてしまいました。。ごめんなさい。

image

2016年7月19日追記
install-webapplicationproxyのエラー
「フェデレーションサービスとの信頼関係の構築中にエラーが発生しました。リモート名を解決できませんでした。」というエラーも遭遇したことがありますが、このケースの場合は、フェデレーションサービス名の名前解決ができていないことが原因なので、DNSサーバーにフェデレーションサービス名の名前解決ができるようにゾーンとレコードを作成しておきましょう。

最後に

Azure AD Connectのエラーは多種多様です。
ここにあるエラー以外にも、単純にタイムアウトしただけ?というエラーもあり、
そうした原因の追及は、やっぱりログを見ることに尽きます。
エラー画面にログファイルへのリンクがついているので、クリックしてアクセスしてみましょう。
そうすれば、こんな感じでログファイルを参照できます。
ポイントは、ERRORというキーワードで検索すること。簡単でしょ?
(画像が小さいので、文字起こしすると
「AAD Failed. This may be due to replication delay.」とのことです。

image

えっ、タイムアウト?
と思ったら、Azure AD Connectを再実行してみましょう。
本当にタイムアウトだったら、2度目はうまく実行できるだろうし、
他に原因があれば、他のエラーを出してくれます。(←ちなみに私のケースはこっちのパターンでした)

■ ■ ■

誰かのトラブルシューティングに役立てばうれしいですし、
他にもこんなのがあったよ、とか教えていただけたら、もっとうれしいです。

Suguru KUNII