デスクトップ・シングル・サインオンのトラブルシューティング

エージェントレスDSSOを有効にした状態でOktaテナントを閲覧すると、通常のサインイン・ページが表示される。

エージェントレスDSSOエンドポイントにルーティングされませんでした。IPアドレスが正しいゾーンに追加され、そのゾーンがエージェントレスDSSOで使用されていることを確認してください。

エージェントレスDSSOが機能するためには、ブラウザーがドメインのKey Distribution Center（KDC）に接続できる必要があります。これはKerberosの検証にとって非常に重要です。KDCに到達できないと、Kerberosチケットを取得できず、認証もできません。可能な場合は、仮想プライベート・ネットワーク（VPN）を使用してネットワークに接続してください。KDCがVPN経由で利用できる場合、エージェントレスDSSOが機能します。

オンプレミスの適切なゾーンにいるが、エージェントレスDSSOに継続して失敗する。

AD内、およびOkta構成に保存されている両方のSPNアカウントのユーザー名とパスワードが正しいことを確認します。アカウントの有効期限が切れているか変更された場合、フローが中断されます。

正しいゾーンにいること、SPNに使用するアカウントが正しいこと、オンプレミスであることを確認したにもかかわらず、エージェントレスDSSOに継続して失敗する。

これは、Kerberosに関連する障害の可能性があります。Wiresharkなどのツールを使用して、エージェントレスDSSO試行中のネットワーク・トラフィックをキャプチャします。キャプチャしたら、Kerberosトラフィックをフィルタリングします。このトラフィックをKDCのEvent Viewerログと比較します。これら2つのツール（または同様のツール）を使用すれば、Kerberosの障害を発見できるはずです。

注：デバッグレベルのKerberosイベントを表示するために、Kerberosイベントのログ記録を有効にする必要が生じる場合があります。詳細については、https://support.microsoft.com/en-us/help/262177/how-to-enable-kerberos-event-loggingを参照してください。

Kerberos検証ツールとサインインの失敗

企業ネットワークとOktaエージェントレスSSO間のクロックの誤差が大きくなりすぎると、Kerberosの検証とサインインに失敗します。ドメイン・コントローラーのクロックが外部のタイム・サーバーに同期されている場合、この問題は発生しません。

サインオン動作が遅い、または失敗する

エージェントレスDSSOのサインイン中に、OktaでSIDのルックアップを実行します。EAの期間中は、AD Agentへの呼び出しで行われます。サインインの動作が遅い、または失敗する場合は、AD Agentのポーリング・スレッド数を増やすか、ドメインに新しいAD Agentを追加することを検討してください。この方法の詳細については、複数のOkta Active DirectoryエージェントをインストールするおよびOkta Active Directoryエージェントのスレッド数を変更するを参照してください。

次のような状況が発生すると、AD Agentのログに多数のLDAP読み取りコールが表示され、Next action = NONE行が表示されなくなります。例：

2018/06/11 23:14:34.441 Debug -- N079-H076(57) -- Sending result for READ_LDAP action (id=ADS2n15k1yGW23cn10g7) finished, (executionTime=00:00:00.2196026)

デスクトップSSO が機能しない

サーバーのホスト名がクライアント・ネットワーク内から解決可能であることを確認します。

注：Office 2016およびWindows 10の最新ビルドには、サインイン・ワークフロー用のWebアカウント・マネージャー（WAM）が組み込まれています（この Microsoftの記事を参照してください）。WAMにはhttpsが必要です — 認証ワークフロー中にhttps以外のトラフィックをブロックします。このユース・ケース用にIWAを構成する方法の詳細については、「SSLの構成」を参照してください。

「リクエストが中断されました：SSL/TLSのセキュアなチャネルを作成できません」というエラー・メッセージを受け取った場合はどうすればよいですか？

Okta IWA Webエージェントが次の状況の場合は、エージェントがオフラインになり、「リクエストが中断されました：SSL/TLSのセキュアなチャネルを作成できません」というエラーがが表示されることがあります。

Windows Server 2008 R2 SP1、、およびを実行しているサーバーにインストールされている
HTTPS、、を使用するように構成されている
自動フェイルオーバー用に構成されている。

IWA Webエージェントをホストしているのと同じWindows 2008 R2サーバーで、次の値をレジストリーに追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\DisabledByDefault : 0 (DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\Enabled : 1 (DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\DisabledByDefault : 0 (DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\Enabled : 1 (DWORD)

サーバーを再起動します。