Windows Credential ProviderのMFAに関するトラブルシューティング
トラブルシューティングのシナリオと解決策
サインイン中に[MFA Bypass(MFAバイパス)]ダイアログが表示される
症状:サインイン時に[MFA Bypass(MFAバイパス)]ダイアログが表示されます。
![[MFA Bypass(MFAバイパス)]ダイアログ](../../Resources/Images/mfa-ms-rdp-08.png)
解決策:ユーザーがMFAポリシーに含まれていることをOktaで確認します。
App-SignOnポリシーは、Microsoft RDPアプリに関連する唯一のポリシーです。
サインイン中に[Display Failed(表示に失敗しました)]ダイアログが表示される
症状:サインイン時に[Display Failed(表示に失敗しました)]ダイアログが表示されます。
![[Display Failed(表示に失敗しました)]ダイアログ。](../../Resources/Images/mfa-ms-rdp-09.png)
解決策:
次を確認します。
[Display Failed(表示に失敗しました)]ダイアログが表示される
症状:サインイン時に[Display Failed(表示に失敗しました)]ダイアログが表示されます。
解決策:
次を確認します。
- クライアントID、クライアントシークレット、Okta URLが正しく構成されている。
- Windowsサインインに入力したユーザー名がOktaのユーザー名と一致する。
サーバーにRDPを接続できない
症状:エンドユーザーがRDPクライアントを使用してOkta Credential Provider for Windows対応のワークステーションまたはサーバーに接続できません。
解決策:[System Properties(システムのプロパティー)]ダイアログに表示されるように、[Allow remote connections to this computer(このコンピューターへのリモート接続を許可する)]および[Allow connections only from computers running Remote Desktop with Network Level Authentication(ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する)]が有効になっていることを確認します。
![[System Properties(システムのプロパティー)]ダイアログ](../../Resources/Images/mfa-ms-rdp-10.png)
System.Net.WebExceptionの表示
症状:以下のような例外が表示されます。TLSのバージョンが古い可能性があります。OktaではTLS 1.2以降が必要です。
解決策:管理者としてPowerShellターミナルを開き、次のスクリプトを実行します。
コピー
$is64bit = [IntPtr]::Size * 8 -eq 64
Write-Host "Is 64-bit script: $is64bit"
#helper function to check for if 0x800 bit is set
function checkTls12Bit([Int] $regValue) {
return ($regValue -band 0x800) -ne 0x800
}
function setRegKeyToBitValue([string] $regBranch, [string] $regKey) {
$current = Get-ItemProperty -Path $regBranch -ErrorAction SilentlyContinue
if ($current -eq $null) {
Write-Host "$regBranch\$regKey does not exist. No change."
return $false
}
$regValue = $current.$regKey
if ($regValue -eq $null -or (checkTls12Bit $regValue) ) {
if ($regValue -eq $null) {
$regValue = 0x800
} else {
$regValue = $regValue -bor 0x800
}
$p = New-ItemProperty $regBranch -Name $regKey -PropertyType DWord -Value $regValue -ErrorAction Stop -Force
Write-Host "Updated $regBranch\$regKey value to $regValue"
return $true
}
Write-Host "$regBranch\$regKey value is $regValue. No change."
return $false
}
function setRegKeyToValueOfOne([string] $regBranch, [string] $regKey) {
$current = Get-ItemProperty -Path $regBranch -ErrorAction SilentlyContinue
if ($current -eq $null) {
Write-Host "$regBranch\$regKey does not exist. No change."
return $false
}
if ($current.$regKey -ne 1) {
$p = New-ItemProperty $regBranch -Name $regKey -PropertyType DWord -Value 1 -ErrorAction Stop -Force
Write-Host "Updated $regBranch\$regKey value to 1"
return $true
}
Write-Host "$regBranch\$regKey value is 1. No change."
return $false
}
#setup .net tls settings
function setupTls4NET([boolean]$is64bit, [string]$regBranch, [string]$reg32bitBranch) {
# https://docs.microsoft.com/en-us/dotnet/framework/network-programming/tls
$updated = setRegKeyToValueOfOne $regBranch "SchUseStrongCrypto"
$updated = (setRegKeyToValueOfOne $regBranch "SystemDefaultTlsVersions") -or $updated
if ($is64bit) {
$updated = (setRegKeyToValueOfOne $reg32bitBranch "SchUseStrongCrypto") -or $updated
$updated = (setRegKeyToValueOfOne $reg32bitBranch "SystemDefaultTlsVersions") -or $updated
}
return $updated
}
# https://docs.microsoft.com/en-us/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed
$version = Get-ItemProperty -Path "HKLM:\Software\Microsoft\NET Framework Setup\NDP\v4\Full" -Name Release
# 394254 - .NET Framework 4.6.1, which is the current target of the installer
if ($version.Release -ge 394254) {
$ev = [environment]::Version
$v = "v" + $ev.Major + "." + $ev.Minor + "." + $ev.Build
$updated = setupTls4NET $is64bit "HKLM:\SOFTWARE\Microsoft\.NETFramework\$v" "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\$v"
# https://support.microsoft.com/en-ca/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" "DefaultSecureProtocols") -or $updated
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
# updated the 32-bit branches if we are on 64-bit machine
if ($is64bit) {
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" "DefaultSecureProtocols") -or $updated
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
}
# current user settings
$updated = (setRegKeyToBitValue "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
# local system account
$userSid = ".DEFAULT"
$updated = (setRegKeyToBitValue "Registry::HKEY_USERS\$userSid\Software\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
if ($updated) {
Write-Host "Done. Updated required settings."
}
else
{
Write-Host "Done. No updates are required."
}
}
else
{
Write-Host "No changes were made. Your version of .NET Framework is earlier version than 4.6.1, please upgrade."
} 症状:エンドユーザーがWindows Credential ProviderのMFAおよびリモートデスクトッププロトコルを使用してWindowsホストにアクセスできなくなりました。エンドユーザーは事実上ロックアウトされます。
解決策:Windowsレジストリエディターを使用してリモートサーバーのレジストリを参照し、Windows資格情報プロバイダーのMFAを無効にします。
このソリューションでは、すべてのユーザーに対してWindows資格情報プロバイダーのMFAを無効にし、管理者がロックされたサーバーのレジストリにリモートでアクセスできる必要があります。
Windowsレジストリの編集には、細心の注意を払う必要があります。
- 管理者としてホストサーバーにアクセスできる別のコンピューターにログオンします。
- レジストリエディターを開きます。
- [Connect Network Registry(ネットワークレジストリに接続)]を選択します。
- Windows Credential ProviderのMFAがインストールされているリモートサーバーのホスト名を入力します。
![[Enter object name(オブジェクト名を入力)]フィールドが強調表示されたレジストリエディターの[Select Computer(コンピューターの選択)]ダイアログ。](../../Resources/Images/integrations/rdp-ts-regedit-hostname_thumb_220_220.png)
- [Check Names(名前の確認)]をクリックします。しばらくすると、ホスト名が検証されます。
- [OK]をクリックします。リモートレジストリが開きます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filtersに移動します。
- Okta Credential ProviderのCLSID(またはフォルダー名)に注意してください。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providersで、前の手順で使用したCLSIDを特定します。
- 右クリックして、名前がDisabled、値が1の新しいDWORDを作成します。
- サーバーを再起動します。再起動すると、資格情報プロバイダーは非アクティブになります。
![[Enter object name(オブジェクト名を入力)]フィールドが強調表示されたレジストリエディターの[Select Computer(コンピューターの選択)]ダイアログ。](../../Resources/Images/integrations/rdp-ts-regedit-hostname.png)
ユーザーがロックアウトされ、PSExecを使用して資格情報プロバイダーが無効になる
症状:エンドユーザーがWindows Credential ProviderのMFAおよびリモートデスクトッププロトコルを使用してWindowsホストにアクセスできなくなりました。エンドユーザーは事実上ロックアウトされます。
さらに、Windowsレジストリエディターをリモートで使用するなどの他のソリューションも使用できません。
解決策:psexecを使用して、Windows Credential ProviderのMFAを実行しているサーバーのレジストリをクエリして変更し、プロバイダーを無効にします。
このソリューションでは、System Internals PsExecアプリケーションを使用する必要があります。https://docs.microsoft.com/en-us/sysinternals/downloads/psexecからダウンロードできます。
Enter-PSSessionは、psexecの代わりに使用できます。「Enter-PSSession」を参照してください。
- 管理者としてコマンドプロンプトを開きます。
- psexecとWindows regクエリコマンドを使用して、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filtersで検出された値を一覧表示します。
例:コピーリモートレジストリのクエリ
psexec \\ipaddress -u username -p password reg query "hklm\software\microsoft\windows\currentversion\authentication\Credential Provider Filters"
ここで、
\\ipaddressはWindows資格情報プロバイダーのMFAを実行しているサーバーのIPアドレスを参照します。例:\\192.168.1.199
-u usernameは、\\ipaddressで表されるリモートサーバー上の有効なユーザーを参照します。例:-u validuser
- p passwordは、-uパラメーターで指定されたユーザーのパスワードを参照します。例:-p pwdforValiduser
次のような結果が返されます。HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\authentication\Credential Provider Filters\{6D269AEA-...-02AA9C14F310} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\authentication\Credential Provider Filters\{DDC0EED2-...-EDE16A79A0DE}
- psexecとWindows regクエリコマンドを使用して、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filtersで検出された値を一覧表示します。
- 表示された各結果についてクエリを実行し、OktaCredentialProviderを特定します。コピー
リモートレジストリのクエリ
psexec \\ipaddress -u username -p password reg query "hklm\software\microsoft\windows\currentversion\authentication\Credential Provider Filters\{6D269AEA-...-02AA9C14F310}"
次のような結果が返されます。
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\authentication\Credential Provider Filters\{6D269AEA-...-02AA9C14F310} (Default) REG_SZ OktaCredentialProvider - psexecとreg addコマンド、およびOkta Credential ProviderのクラスIDを使用して、名前がDisabled、値が1の新しいDWord値を作成します。 コピーここで、無効なエントリを作成する
psexec \\ipaddress -u username -p password reg add "hklm\software\microsoft\windows\currentversion\authentication\Credential Provider Filters\{value from prior step}" /f /v Disabled /t REG_DWORD /d 1
/f:強制上書き
/v {新しいエントリの名前}:追加される新しいエントリの名前、「Disabled」
/t {type}:追加された新しいエントリのタイプ、「REG_DWORD」
/d {value}:新しいエントリの値、「1」
次のような結果を返す必要があります。
「操作は正常に完了しました。」 - 前のクエリを再実行すると、新しく追加された要素を示す結果が返され、次のようになります。
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\authentication\Credential Provider Filters\{6D269AEA-...-02AA9C14F310} (Default) REG_SZ OktaCredentialProvider REG_DWORD Disabled 1 - psexecとshutdownコマンドを使用して、リモートコンピューターを再起動します。
ここで、
-f:実行中のプログラムを警告なしで強制終了します。
-r:完全にシャットダウンし、再起動します。
-t 0:シャットダウン前のタイムアウトをゼロ秒に設定します。
再起動すると、資格情報プロバイダーは非アクティブになります。
根本原因が特定されたら、次のようなコマンドを使用して「Disabled」値を削除できます。
コピー
無効なエントリを削除
psexec \\ipaddress -u username -p password reg delete "hklm\software\microsoft\windows\currentversion\authentication\Credential Provider Filters\{class id from prior step}" /f /v Disabled 症状:資格情報プロバイダーがOktaにアクセスできません。これは、プロキシーの有無にかかわらず発生する可能性があります。
以下に示すような例外がスローされます。
System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send.
解決策:TLSが正しく有効化されていない可能性があります。OktaではTLS 1.2以降が必要です。
問題を修正するには、次の手順を実行します。
- プロキシーが使用されていて、TLSがプロキシーで終了している場合は、SslPinningEnabledを無効にします。
「Okta Credential Provider for Windowsのインストール」の「その他のプロパティーの変更」を参照してください。 - レジストリでTLS 1.2を有効にします。管理者としてPowerShellターミナルを開き、次のスクリプトを実行します。
コピー
$is64bit = [IntPtr]::Size * 8 -eq 64
Write-Host "Is 64-bit script: $is64bit"
#helper function to check for if 0x800 bit is set
function checkTls12Bit([Int] $regValue) {
return ($regValue -band 0x800) -ne 0x800
}
function setRegKeyToBitValue([string] $regBranch, [string] $regKey) {
$current = Get-ItemProperty -Path $regBranch -ErrorAction SilentlyContinue
if ($current -eq $null) {
Write-Host "$regBranch\$regKey does not exist. No change."
return $false
}
$regValue = $current.$regKey
if ($regValue -eq $null -or (checkTls12Bit $regValue) ) {
if ($regValue -eq $null) {
$regValue = 0x800
} else {
$regValue = $regValue -bor 0x800
}
$p = New-ItemProperty $regBranch -Name $regKey -PropertyType DWord -Value $regValue -ErrorAction Stop -Force
Write-Host "Updated $regBranch\$regKey value to $regValue"
return $true
}
Write-Host "$regBranch\$regKey value is $regValue. No change."
return $false
}
function setRegKeyToValueOfOne([string] $regBranch, [string] $regKey) {
$current = Get-ItemProperty -Path $regBranch -ErrorAction SilentlyContinue
if ($current -eq $null) {
Write-Host "$regBranch\$regKey does not exist. No change."
return $false
}
if ($current.$regKey -ne 1) {
$p = New-ItemProperty $regBranch -Name $regKey -PropertyType DWord -Value 1 -ErrorAction Stop -Force
Write-Host "Updated $regBranch\$regKey value to 1"
return $true
}
Write-Host "$regBranch\$regKey value is 1. No change."
return $false
}
#setup .net tls settings
function setupTls4NET([boolean]$is64bit, [string]$regBranch, [string]$reg32bitBranch) {
# https://docs.microsoft.com/en-us/dotnet/framework/network-programming/tls
$updated = setRegKeyToValueOfOne $regBranch "SchUseStrongCrypto"
$updated = (setRegKeyToValueOfOne $regBranch "SystemDefaultTlsVersions") -or $updated
if ($is64bit) {
$updated = (setRegKeyToValueOfOne $reg32bitBranch "SchUseStrongCrypto") -or $updated
$updated = (setRegKeyToValueOfOne $reg32bitBranch "SystemDefaultTlsVersions") -or $updated
}
return $updated
}
# https://docs.microsoft.com/en-us/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed
$version = Get-ItemProperty -Path "HKLM:\Software\Microsoft\NET Framework Setup\NDP\v4\Full" -Name Release
# 394254 - .NET Framework 4.6.1, which is the current target of the installer
if ($version.Release -ge 394254) {
$ev = [environment]::Version
$v = "v" + $ev.Major + "." + $ev.Minor + "." + $ev.Build
$updated = setupTls4NET $is64bit "HKLM:\SOFTWARE\Microsoft\.NETFramework\$v" "HKLM:\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\$v"
# https://support.microsoft.com/en-ca/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-a-default-secure-protocols-in
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" "DefaultSecureProtocols") -or $updated
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
# updated the 32-bit branches if we are on 64-bit machine
if ($is64bit) {
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp" "DefaultSecureProtocols") -or $updated
$updated = (setRegKeyToBitValue "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
}
# current user settings
$updated = (setRegKeyToBitValue "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
# local system account
$userSid = ".DEFAULT"
$updated = (setRegKeyToBitValue "Registry::HKEY_USERS\$userSid\Software\Microsoft\Windows\CurrentVersion\Internet Settings" "SecureProtocols") -or $updated
if ($updated) {
Write-Host "Done. Updated required settings."
}
else
{
Write-Host "Done. No updates are required."
}
}
else
{
Write-Host "No changes were made. Your version of .NET Framework is earlier version than 4.6.1, please upgrade."
}