デスクトップシングルサインオンのトラブルシューティング
Agentless DSSOを有効にした状態でOktaテナントを閲覧すると、通常のサインインページが表示される
Agentless DSSOエンドポイントにルーティングされませんでした。IPアドレスが正しいゾーンに追加され、そのゾーンがAgentless DSSOで使用されていることを確認してください。
リモートで作業しているが、Agentless DSSOが機能しない
Agentless DSSOが機能するためには、ブラウザーがドメインのKey Distribution Center(KDC)に接続できる必要があります。これはKerberosの検証にとって非常に重要です。KDCに到達できないと、Kerberosチケットを取得できず、認証もできません。可能な場合は、仮想プライベートネットワーク(VPN)を使用してネットワークに接続してください。KDCがVPN経由で利用できる場合、Agentless DSSOが機能します。
オンプレミスの適切なゾーンにいるが、Agentless DSSOに継続して失敗する
AD内、およびOkta構成に保存されている両方のSPNアカウントのユーザー名とパスワードが正しいことを確認します。アカウントの有効期限が切れているか変更された場合、フローが中断されます。
正しいゾーンにいること、SPNに使用するアカウントが正しいこと、オンプレミスであることを確認したにもかかわらず、Agentless DSSOに継続して失敗する
これは、Kerberosに関連する障害の可能性があります。Wiresharkなどのツールを使用して、Agentless DSSO試行中のネットワークトラフィックをキャプチャします。キャプチャしたら、Kerberosトラフィックをフィルタリングします。このトラフィックをKDCのEvent Viewerログと比較します。これら2つのツール(または同様のツール)を使用すれば、Kerberos認証失敗を発見できるはずです。
デバッグレベルのKerberosイベントを表示するために、Kerberosイベントのログ記録を有効にする必要が生じる場合があります。詳細については、https://support.microsoft.com/ja-jp/help/262177/how-to-enable-kerberos-event-loggingを参照してください。
Kerberosバリデーターとサインインの失敗
企業ネットワークとOktaエージェントレスSSO間のクロックの誤差が大きくなりすぎると、Kerberosの検証とサインインに失敗します。ドメインコントローラーのクロックが外部のタイムサーバーに同期されている場合、この問題は発生しません。
サインオン動作が遅い、または失敗する
エージェントレスDSSOのサインイン中に、OktaでSIDのルックアップを実行します。EAの期間中は、AD Agentへの呼び出しで行われます。サインインの動作が遅い、または失敗する場合は、AD Agentのポーリングスレッド数を増やすか、ドメインに新しいAD Agentを追加することを検討してください。この方法の詳細については、「OktaのActive Directory Agentを複数インストールする」および「OktaのActive Directory Agentのスレッド数を変更する」を参照してください。
次のような状況が発生すると、AD Agentのログに多数のLDAP参照コールが表示され、Next action = NONE行が表示されなくなります。例:
2018/06/11 23:14:34.441 Debug -- N079-H076(57) -- Sending result for READ_LDAP action (id=ADS2n15k1yGW23cn10g7) finished, (executionTime=00:00:00.2196026)
デスクトップSSOが機能しない
サーバーのホスト名がクライアント・ネットワーク内から解決可能であることを確認します。
The request was aborted: Could not create SSL/TLS secure channel
というエラーメッセージが表示されたときは、どうすればよいですか?
Okta IWA Webエージェントがオフラインになり、The request was aborted:Could not create SSL/TLS secure channell
というエラーが発生する可能性があります。その場合、Okta IWA Webエージェントは以下のようになっています。
- Windows Server 2008 R2 SP1を実行しているサーバーにインストールされており、かつ
- HTTPSを使用するように構成されており、かつ
- 自動フェイルオーバー用に構成されている。
- IWA Webエージェントをホストしているのと同じWindows 2008 R2サーバーで、次の値をレジストリに追加します。
- サーバーを再起動します。