2012年11月30日金曜日

Office 365 “あなたの組織では、このサービスにサインインすることはできません”エラー

  • このエントリーをはてなブックマークに追加



Office 365の検証でOWAに接続する時に、”あなたの組織では、このサービスにサインインすることはできません”というようなエラーが出まくってました。最初はADFSサーバーを再起動して、一時的にアクセスできたが、一定の時間がたつと、また接続できなくなることがありました。
調べたところ、KBがありました。
以下のような現象があった時にKBで対応できます。
  1. 1 人以上のユーザーが Office 365 サービス ( 電子メール、 SharePoint 、 Lync など ) にアクセスできなくなる。
  2. フェデレーション ユーザーが Office 365 ブラウザー アプリケーション (OWA 、 SharePoint Online など ) にアクセスしようとすると、"https://login.microsoftonline.com/login.srf" で始まる URL の Web ページに以下のエラー メッセージが表示される。
a. "あなたの組織では、このサービスにサインインすることはできません"
b. "サイトへのアクセス時に問題が発生しました。サイトをもう一度参照してください。問題が解決されない場合は、このサイトの管理者に問合せて、参照番号を伝えて問題を特定してください。参照番号: <GUID>"

"Your organization could not sign you in to this service" error and "80041317" or "80043431" error code when a federated user tries to sign in to Office 365


AD FS 2.0 トークン署名証明書のロールオーバーの結果、Office 365 のすべてのサービスにアクセスできなくなる

フォレストの信頼 VS 外部の信頼

  • このエントリーをはてなブックマークに追加


フォレストの信頼と外部の信頼の違いについては、メモしておきます。

フォレストの信頼(Forest Trust)
  • Windows Server 2003から構成可能
  • 2つのフォレストのルートドメインの間でフォレストの信頼を結ぶ
  • フォレストの信頼を結ぶと、各フォレスト内のドメインとの信頼関係が確立される(推移性がある)
  • 信頼は一方向(入力方向、出力方向)または双方向で構成できる
  • 信頼が確立したら、信頼される側のフォレスト内のユーザーが信頼する側のフォレスト内のリソースを利用できる
  • フォレストの信頼を作成する前に、全DCがWindows Server 2003であること、ADの機能レベル(2003)を上げることが必要

外部の信頼(External Trust)
  • Windows NT 4.0 ドメインにあるリソースや、フォレストの信頼で結ばれていない別のフォレストのドメインにあるリソースにアクセスできるようにするには、外部の信頼を使用する
  • 異なるフォレスト内の任意の2つのドメインの間で信頼関係を確立する。それ以外のドメイン間の信頼関係は確立されない。(推移性がない)
  • 信頼は一方向(入力方向、出力方向)または双方向で構成できる

TDO(Trusted Domain Object)というオブジェクトが信頼関連の情報を保存します。
外部の信頼の場合は、TDOが信頼先のドメイン名、SID(Security Identifier)、信頼の方向、信頼の種類などの属性を保存している
フォレストの信頼の場合は、上記の以外にForest Trust Informationという属性が含まれる。Forest Trust Information属性には信頼先フォレスト内のドメインの情報、ドメインツリー名などが入っている。ユーザー認証時にドメインの検索に使われる

他にもいくつか違い(認証方式など)があるので、以下の図をご参照ください。
image

情報源

Technologies for Federating Multiple Forests



What Are Domain and Forest Trusts?




2012年11月22日木曜日

DNS プライマリとセカンダリの間のゾーン転送

  • このエントリーをはてなブックマークに追加


プライマリDNSはレコードの原本を持っています。レコードの読み取り・書き込みができます。セカンダリDNSはプライマリからレコードコピーを保持します。読み取りしかできません。
レコードの整合性を保つため、プライマリとセカンダリの間、ゾーン転送が行われます。
ゾーンの転送は、次のシナリオのいずれかで発生します。
  • ゾーンの更新間隔の時間が経過した場合
  • セカンダリ サーバーがそのマスタ サーバーからゾーンの変更を通知された場合
  • ゾーンのセカンダリ サーバーで DNS サーバー サービスを起動した場合
  • ゾーンのセカンダリ サーバーで DNS コンソールを使って、手動でそのマスタ サーバーからの転送を開始する場合
※注意 ゾーンのセカンダリ サーバーとして動作するサーバーに通知する場合にだけ、DNS 通知を使います。ディレクトリに統合されたゾーンのレプリケーションでは、DNS 通知は必要ありません。
この理由は、Active Directory からゾーンを読み込むすべての DNS サーバーは、(SOA リソース レコードの [更新間隔] の指定に従って) 自動的にディレクトリにポーリング (問い合わせ) を行って、ゾーンを更新します。
この場合、通知一覧を構成することによって、更新済みゾーンに対する不要な追加転送要求が発生して、システムのパフォーマンスが低下することがあります。
参考 ゾーンおよびゾーン転送とは

2012年11月15日木曜日

Office 365 ADFS(AD FS Proxy)のパブリックSSL証明書

  • このエントリーをはてなブックマークに追加



社外からフェデレーションIDを使ってWebブラウザでOffice 365(OWA,SharePoint Online,Lync Online)にアクセスする時に、クライアントから直接ADFS Proxyに認証要求を出します。この場合は、AD FS Proxyに公的証明機関が発行した証明書を持たなくてもアクセスできますが、Outlookからアクセスする場合は、社内でも社外でも、Office 365が代理でAD FS Proxyに認証要求を出すので、Office 365がAD FS Proxyの証明書を信頼しなくては接続できません。そのため、公的証明機関の発行する証明書が必要になります。

詳しくは、こちらにご参照ください。

AD FS(AD FS Proxy)で利用するSSL証明書

ひと目でわかるAD FS 2.0&Office 365連携

新品価格
¥2,940から
(2012/12/20 21:07時点)

Office 365 認証フロー

  • このエントリーをはてなブックマークに追加


Office 365自習書からの引用です。以下のURLから自習書をダウンロードすることができます。

 

Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築ステップ バイ ステップ ガイド

Office 365へアクセスする際に、クライアント、アクセス元の環境(社内・社外)によって認証フローが異なります。
各認証フローは以下のようになります。
 

1.1 WEBブラウザからのアクセス(社内ユーザー)

【Office 365 ポータル/Outlook Web App/SharePoint Online/Lyncの場合】
①ユーザーが Office 365 にアクセス
②認証には MFG から発行されたサービス チケットが必要なため、ユーザーのアクセスを MFG にリダイレクト
③サービス チケット発行には AD FS で署名されたログオントークンが必要なため、AD FS のURLを送信
④ユーザーは社内の DNS サーバーを参照し AD FS に接続
clip_image002
⑤AD に接続し、ログオン トークン作成に必要なデータを収集
⑥AD FS がログオン トークンを作成し、ユーザーに返信
⑦ユーザーがログオントークンを MFG に送信
⑧信頼している AD FS で署名されたログオン トークンかを確認し、ユーザーにサービス チケットを返信
⑨サービス チケットを Office 365 に送信し認証が完了
clip_image004

1.2 WEBブラウザからのアクセス(社外ユーザー)

【Office 365 ポータル/Outlook Web App/SharePoint Online/Lyncの場合】
①ユーザーが Office 365 にアクセス
②認証には MFG から発行されたサービス チケットが必要なため、ユーザーのアクセスを MFG にリダイレクト
③サービス チケット発行には AD FS で署名されたログオントークンが必要なため、AD FS の URL を送信
④社外上の DNS サーバーを参照し、AD FS プロキシに接続AD FS プロキシを経由して AD FS に接続
clip_image006
⑤AD に接続し、ログオン トークン作成に必要なデータを収集
⑥AD FS がログオン トークンを作成し、ユーザーに返信
⑦ユーザーがログオン トークンを MFG に送信
⑧信頼している AD FS で署名されたログオン トークンかを確認し、ユーザーにサービスチケットを返信
⑨サービス チケットを Office 365 に送信し認証が完了
clip_image008



























1.3 その他のアクセス(社内ユーザー)

【Exchange Online (POP/IMAP/ActiveSync/Outlook/EWS)の場合】
①ユーザーが Office 365 にアクセス(AD の認証情報が保存されていなければ認証画面が表示)
②MFG にリダイレクト先の AD FS の URL を確認
③社外の DNS サーバーを参照し、AD FS プロキシに接続、AD の認証情報を送信
④AD FS に接続しログオン トークンを要求
clip_image010
⑤AD に接続し、ログオン トークン作成に必要なデータを収集
⑥ログオン トークンを作成し AD FS プロキシに返信
⑦AD FS プロキシが Office 365 にログオン トークンを送信
⑧MFG に ログオン トークンを送信し、サービス チケットを取得
⑨認証が完了し、ユーザーにサービスを提供開始
clip_image012













1.4 その他のアクセス(社外ユーザー)

【Exchange Online (POP/IMAP/ActiveSync/Outlook/EWS)の場合】
①ユーザーが Office 365 にアクセス(AD の認証情報が保存されていなければ認証画面が表示)
②MFG にリダイレクト先の AD FS の URL を確認
③社外の DNS サーバーを参照し、AD FS プロキシに接続、AD の認証情報を送信
④AD FS に接続しログオン トークンを要求
clip_image014
⑤AD に接続し、ログオン トークン作成に必要なデータを収集
⑥ログオン トークンを作成し AD FS プロキシに返信
⑦AD FS プロキシが Office 365 にログオン トークンを送信
⑧MFG に ログオン トークンを送信し、サービス チケットを取得
⑨認証が完了し、ユーザーにサービスを提供開始
clip_image015