Windowsログオンの問題のトラブルシューティング
ここでは、ユーザーが証明書やスマートカードを使用してログオンするときに、Windowsが提供するログおよびエラーメッセージについて説明します。 これらのログには、認証の失敗をトラブルシューティングするために使用できる情報が含まれています。
証明書と公開キー基盤
Windows Active Directoryは、ユーザーのログオン用証明書を管理するいくつかの証明書ストアを保守しています。
- NTAuth証明書ストア:Windowsへの認証のため、ユーザー証明書をすぐに発行する証明機関(つまりチェーンはサポートされません)をNTAuthストアに配置する必要があります。 これらの証明書を表示するには、certutilプログラムから次のように入力します。certutil –viewstore –enterprise NTAuth
- ルートおよび中間証明書ストア:通常、証明書ログオンシステムは単一の証明書のみを提供できるため、チェーンが使用中の場合、すべてのマシン上の中間証明書ストアがこれらの証明書を含んでいる必要があります。 ルート証明書は信頼されたルートストアに、最後から2番目の証明書はNTAuthストアにある必要があります。
- ログオン証明書拡張とグループポリシー:EKUや他の証明書ポリシーを強制的に検証するようにWindowsを構成できます。Microsoftのドキュメントサイトを参照してください:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10)。
| レジストリポリシー | 説明 |
|---|---|
| AllowCertificatesWithNoEKU | 無効にすると、証明書にスマートカードログオン拡張キー使用法(Extended Key Usage:EKU)が含まれる必要があります。 |
| AllowSignatureOnlyKeys | デフォルトで、Windowsは、RSA復号化を許可しない証明書秘密キーを拒否します。このオプションは、そのフィルターを上書きします。 |
| AllowTimeInvalidCertificates | デフォルトで、Windowsは期限切れの証明書を拒否します。このオプションは、そのフィルターを上書きします。 |
| EnumerateECCCerts | 楕円曲線認証を有効化します。 |
| X509HintsNeeded | 証明書に一意のユーザープリンシパル名(UPN)が含まれないか、複数の解釈が可能な場合、このオプションを使用すると、ユーザーが手動でWindowsログオンアカウントを指定できます。 |
| UseCachedCRLOnlyAnd、IgnoreRevocationUnknownErrors | 失効チェックを無効にします(通常ドメインコントローラー上で設定)。 |
- ドメインコントローラー証明書: Kerberos接続を認証するには、すべてのサーバーが適切な「ドメインコントローラー」証明書を持っている必要があります。 これらは、[Local Computer Certificate Personal Store]MMCスナップインメニューを使用して要求できます。
UPN名と証明書マッピング
ユーザー証明書は、一意のユーザープリンシパル名(UPN)をサブジェクトの別名拡張機能に含めることをお勧めします。
Active DirectoryでのUPN名
デフォルトで、Active Directoryのすべてのユーザーは、パターン<samUsername>@<domainNetBios>および<samUsername>@<domainFQDN>に基づく暗黙的UPNを持っています。 利用できるドメインおよびFQDNは、フォレストに対応するRootDSEエントリに含まれています。 RootDSEで、単一のドメインに対して複数のFQDNアドレスが登録されていることがあることに注意してください。
また、Active Directoryのすべてのユーザーは明示的なUPNとaltUserPrincipalNamesを持っています。 これらはユーザーのUPNを指定するLDAPエントリです。
UPNでユーザーを検索する場合、Windowsは、まず(UPNを参照するプロセスのIDに基づいて)現在のドメインで明示的なUPNを、続けて代替UPNを探します。 一致するものがない場合、暗黙的UPNを探しますが、これはフォレストの異なるドメインで解決されることがあります。
証明書マッピングサービス
証明書に明示的なUPNが含まれない場合、Active Directoryは各使用に対して正確な公開証明書を「x509certificate」属性に保管するオプションを持っています。 そのような証明書をユーザーに解決するために、コンピューターは直接この属性を問い合わせることができます(デフォルトでは単一のドメインで)。
用意されているオプションを使用すると、ユーザーがユーザーアカウントを指定してこの検索の速度を上げたり、この機能がクロスドメイン環境で使用されるようにしたりできます。
フォレストに複数のドメインがあり、ユーザーがドメインを明示的に指定しない場合、Active DirectoryのrootDSEが証明書マッピングサービスの場所を指定します。 これは通常グローバルカタログマシンに置かれ、フォレスト内のすべてのx509certificate属性のキャッシュビューを持っています。 このコンピューターは、証明書だけに基づいて任意のドメインでユーザーアカウントを効率的に検出するために使用できます。
ログオンドメインコントローラーの選択制御
ある環境に複数のドメインコントローラーが含まれる場合、認証にどのドメインコントローラーが使用されているかを把握して制限すると、ログを有効化して取得するのに便利です。
ドメインコントローラーの選択制御
Windowsに対して、ログオンで特定のWindowsドメインコントローラーを強制的に使用させるために、lmhostsファイル(\Windows\System32\drivers\etc\lmhosts)を構成することで、Windowsマシンが使用するドメインコントローラーのリストを明示的に設定することができます。
通常その場所には「lmhosts.sam」という名のサンプルファイルがあります。単に次の1行を追加します。
1.2.3.4 dcnetbiosname #PRE #DOM:mydomai
ここで、「1.2.3.4」は、「mydomain」ドメインで「dcnetbiosname」という名前が付けられているドメインコントローラーのIPアドレスです。
再起動後に、Windowsマシンはその情報を使用してmydomainにログオンします。 デバッギングが完了したら、この構成を取り消す必要があることに注意してください。
使用中のドメインコントローラーの識別
Windowsはログオン時に、ユーザーをログオンさせたドメインコントローラーをMSDOS環境変数に設定します。 これを参照するには、コマンドプロンプトで「echo %LOGONSERVER%」を実行します。
認証に関するログは、このコマンドで返されたコンピューターに保存されます。
アカウント監査イベントの有効化
デフォルトで、Windowsドメインコントローラーは完全なアカウント監査ログを有効化していません。 これは、グループポリシーエディターで、セキュリティ設定の監査ポリシーを介して制御できます。有効化すると、ドメインコントローラーはセキュリティログファイル内に追加のイベントログ情報を作成します。
証明書検証ログ
証明書の有効性チェック
スマートカード証明書がDER証明書(秘密キー不要)としてエクスポートされた場合、次のコマンドで検証できます。certutil –verify user.cer
CAPIログの有効化
ドメインコントローラーとユーザーマシンでは、イベントビューアーを開いて、Microsoft/Windows/CAPI2/Operational Logsのロギングを有効化します。
CAPIログは、次のレジストリキーで制御できます。CurrentControlSet\Services\crypt32
| 値 | 説明 |
|---|---|
| DiagLevel(DWORD) | 詳細度レベル(0~5) |
| DiagMatchAnyMask(QUADWORD) | イベントフィルター(すべてに0xffffffを使用) |
| DiagProcessName(MULTI_SZ) | プロセス名(たとえば、LSASS.exe)によるフィルター |
CAPIのログ
| メッセージ | 説明 |
|---|---|
| チェーンの構築 | LSAがCertGetCertificateChainをコールしました(結果含む) |
| 失効確認 | LSAがCertVerifyRevocationをコールしました(結果含む) |
| X509オブジェクト | 詳細モードでは、証明書と証明書失効リスト(CRL)がAppData\LocalLow\Microsoft\X509Objectsにダンプされます |
| チェーンポリシーの検証 | LSAがCertVerifyChainPolicyをコールしました(パラメーター含む) |
エラーメッセージ
| エラーコード | 説明 |
|---|---|
| 信頼されていない証明書 | スマートカード証明書を、証明書を使用してコンピューターの中間証明書ストアおよび信頼できるルート証明書ストアに作成できませんでした。 |
| 証明書失効のチェックエラー | 証明書CRL配布ポイントによって指定されたアドレスからスマートカードのCRLをダウンロードできませんでした。失効チェックが必須の場合、これが原因となってログオンが失敗します。「証明書と公開キー基盤」セクションを参照してください。 |
| 証明書使用状況エラー | 証明書がログオンに適していません。たとえば、サーバー証明書または署名証明書の可能性があります。 |
Kerberosログ
Kerberosログを有効化するには、ドメインコントローラーおよびエンドユーザーマシン上で次のレジストリ値を作成します。
| ハイブ | 値の名前 | 値[DWORD] |
|---|---|---|
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | LogLevel | 0x1 |
| CurrentControlSet\Control\Lsa\Kerberos\Parameters | KerbDebuglevel | 0xffffffff |
| CurrentControlSet\Services\Kdc | KdcDebugLevel | 0x1 |
| CurrentControlSet\Services\Kdc | KdcExtraLogLevel | 0x1f |
Kerberosログはシステムイベントログに出力されます。
- 「信頼できない証明書」などのメッセージは診断が簡単です。
- 次の2つのエラーコードは情報提供目的のもので、無視しても問題ありません。
- KDC_ERR_PREAUTH_REQUIRED(以前のドメインコントローラーとの後方互換性のために使用)
- 不明なエラー0x4b
ドメインコントローラーとワークステーションのログ
ここでは、ユーザーが証明書を使用してログオンした場合にドメインコントローラーおよびワークステーションに出力されるログエントリの例について説明します。
- ドメインコントローラーCAPI2ログ
- ドメインコントローラーセキュリティログ
- Virtual Delivery Agent(VDA)セキュリティログ
- VDA CAPIログ
- VDAシステムログ
ドメインコントローラーCAPI2ログ
ログオン時にドメインコントローラーは呼び出し元の証明書を検証し、一連のログエントリを次の形式で作成します。
最終イベントログメッセージは、VDAによって提供される証明書に基づいてチェーンを作成するドメインコントローラー上にlsass.exeを表示し、その妥当性(失効など)を検証します。結果は「ERROR_SUCCESS」として戻されます。
ドメインコントローラーセキュリティログ
ドメインコントローラーは一連のログオンイベントを表示します。主要なイベントは4768で、証明書を使用してKerberos Ticket Granting Ticket(krbtgt)を発行します。
これより前のメッセージは、ドメインコントローラーに対して認証するサーバーのマシンアカウントを表示します。 これより後のメッセージは、ドメインコントローラーに対して認証するために使用される新しいkrbtgtに属するユーザーアカウントを表示します。
VDAセキュリティログ
ログオンイベントに対応するVDAセキュリティ監査ログはイベントIDが4648のエントリで、winlogon.exeにより記録されます。
VDA CAPIログ
このサンプルのVDA CAPIログは、lsass.exeから単一のチェーンビルドおよび検証シーケンスを示しており、ドメインコントローラー証明書(dc.citrixtest.net)を検証しています。
VDAシステムログ
Kerberosログが有効化されている場合、システムログは、エラーKDC_ERR_PREAUTH_REQUIRED(無視してかまいません)と、Kerberosログオンが成功したことを示すWinlogonからのエントリを表示します。
Windowsイベントログを使用したFASの監視
すべてのFASイベントは、Windowsアプリケーションイベントログに書き込まれます。System Center Operations Manager(SCOM)などの製品を使用する場合、ここで説明するプロセスとイベントを使用して、FASサービスの正常性を監視できます。
FASサービスが実行中か
FASサービスが実行されているかどうかを確認するには、Citrix.authentication.FederatedAuthenticationService.exeプロセスを監視します。
このセクションでは、FASサービスを監視する上で最も重要なイベントのみについて解説します。FASイベントコードの一覧については、「FASイベントログ」を参照してください。
FAS正常性イベント
次のイベントは、FASサービスが正常であるかどうかを示します。
イベントソース:Citrix.Authentication.FederatedAuthenticationService。
| イベント | イベントテキスト | 説明 | 注 |
|---|---|---|---|
| [S003] | 管理者[{0}]はメンテナンスモードを[{1}]に設定しています | FASサービスがメンテナンスモードになったか、メンテナンスモードから解除されました。 | メンテナンスモードでは、FASサーバーはシングルサインオンには使用できません。 |
| [S022] | 管理者[{0}]はメンテナンスモードをOffに設定しています | FASサービスがメンテナンスモードから解除されました。 | FAS 10.7/CVAD 2109から入手できます。 |
| [S023] | 管理者[{0}]はメンテナンスモードをOnに設定しています | FASサービスがメンテナンスモードになりました。 | FAS 10.7/CVAD 2109から入手できます。 |
| [S123] | [UPN:{0} ロール:{1}]の証明書の発行に失敗しました[例外:{2}] | このイベントは、CAのFASが正常に発行されたユーザー証明書で構成されていない場合に、[S124]以降に発生します。そのユーザーのシングルサインオンは失敗します。 | このイベントは、構成済みのCAがすべて動作していないことを示している可能性があります。HSMを使用するようにFASが設定されている場合は、HSMが機能していないことを示している場合もあります。 |
| [S124] | [証明機関(CA):{2}]での[UPN:{0} ロール:{1}]の証明書の発行に失敗しました[例外:{3}] | FASが特定のCAからユーザー証明書を要求しようとしたときに、エラーが発生しました。FASが複数のCAで構成されている場合、FASは別のCAで要求を試みます。 | このイベントは、CAが動作していないか、接続できないことを示している可能性があります。HSMを使用するようにFASが設定されている場合は、HSMが機能していないことを示している場合もあります。この例外は、問題の原因の特定に役立ちます。 |
| [S413] | 認証証明書がまもなく期限切れになります(残り{0}日)。証明書の詳細:{1} | このイベントは、FAS認証証明書の有効期限が近づくと定期的に生成されます。デフォルトでは、認証証明書の有効期限が切れてから30日以内であれば、毎日イベントが生成されます。 | デフォルト設定は、コマンドレットSet-FasRaCertificateMonitorを使用して調整できます。「PowerShellコマンドレット」を参照してください。 |
| [S414] | 認証証明書が期限切れになりました。証明書の詳細:{0} | このイベントは、FAS 認証証明書の有効期限が切れると定期的に生成されます。デフォルトでは、このイベントは毎日生成されます。 | 有効期限が切れると、FASは新しいユーザー証明書を生成できなくなり、シングルサインオンが失敗し始めます。 |
クラウド接続されたFASイベント
FASをCitrix Cloudと組み合わせて使用している場合、FASサービスが正常であるかどうかが次のイベントに表示されます。
イベントソース:Citrix.Fas.Cloud。
| イベント | イベントテキスト | 説明 | 注 |
|---|---|---|---|
| [S012] | FASサービスはCitrix Cloudからのシングルサインオンで利用可能です | このイベントは、ワークスペース(Citrix Cloudなど)からのシングルサインオンが機能していることを示します。 | このイベントを発行する前に、FASは(1)構成済みであること、(2)メンテナンスモードになっていないこと、(3)Citrix Cloudに接続されていることを確認します。 |
| [S013] | FASサービスは、Citrix Cloudからのシングルサインオンでは利用できません。[{0}]詳しくは、管理コンソールを確認してください。 | このイベントは、FASがワークスペース(Citrix Cloudなど)からのシングルサインオンを提供できないことを示します。このメッセージには、シングルサインオンが機能しない理由が含まれています。 | FASはCitrix Cloudへの固定接続を維持します。この接続は、ネットワーク障害、プロキシサーバーでの接続の有効期間ポリシーなど、さまざまな理由で終了することがあります。この場合、イベントテキストに「サービスはクラウドに接続されていません」と表示されます。これは正常な動作であり、FASは直ちにCitrix Cloudへの再接続を試みます。 |
セキュリティイベント
次のイベントは、権限のないエンティティがFASを使用しようとしたことを示します。
イベントソース:Citrix.Authentication.FederatedAuthenticationService。
| イベント | イベントテキスト | 説明 |
|---|---|---|
| [S001] | アクセス拒否:ユーザー[{0}]はAdministratorsグループのメンバーではありません | FASの構成を表示または変更しようとしましたが、呼び出し元はFAS管理者ではありませんでした。 |
| [S002] | アクセス拒否:ユーザー[{0}]はロール[{1}]の管理者ではありません | FASルールの構成を表示または変更しようとしましたが、呼び出し元がFAS管理者ではありませんでした。 |
| [S101] | サーバー[{0}]にはロール[{1}]のIDをアサートする権限がありません | ユーザーIDのアサートが試行されましたが、呼び出し元には許可されていません。FASルール構成(および該当する場合はWorkspace)で許可されたStoreFrontサーバーのみが、ユーザーIDのアサートを許可されます。 |
| [S104] | サーバー[{0}]はUPN[{1}]のアサートに失敗しました(UPNはロール[{2}]によって許可されていません) | ユーザーIDのアサートが試行されましたが、そのユーザーのアカウントはFASルール構成で許可されていません。 |
| [S205] | 証明書利用者のアクセスが拒否されました - 呼び出し元アカウント[{0}]は、ルール[{1}]の許可された証明書利用者ではありません | VDAがFASでシングルサインオンを実行しようとしましたが、VDAはFASルール構成で許可されていません。 |
FASイベントログ
次の表は、FASで生成されるイベントログエントリの一覧です。
管理イベント[フェデレーション認証サービス]
[イベントソース:Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、FASサーバーでの構成変更に応じて記録されます。
| ログコード |
|---|
| [S001]アクセス拒否:ユーザー[{0}]は管理者グループのメンバーではありません |
| [S002]アクセス拒否:ユーザー[{0}]はロール[{1}]の管理者ではありません |
| [S003]管理者[{0}]はメンテナンスモードを[{1}]に設定しています |
| [S004]管理者[{0}]はテンプレート[{2}と{3}]を使用 してCA[{1}]から認証証明書を要求しています |
| [S005]管理者[{0}]はCA[{1}]の権限を取り消しています |
| [S006]管理者[{0}]は新しい証明書定義[{1}]を作成しています |
| [S007]管理者[{0}]は証明書定義[{1}]を更新しています |
| [S008]管理者[{0}]は証明書定義[{1}]を削除しています |
| [S009]管理者[{0}]は新しいルール[{1}]を作成しています |
| [S010]管理者[{0}]はルール[{1}]を更新しています |
| [S011]管理者[{0}]はルール[{1}]を削除しています |
| [S012]管理者[{0}]は証明書を作成しています [UPN:{1} SID:{2} ルール:{3}][Certificate Definition: {4}][セキュリティコンテキスト:{5}] |
| [S013]管理者[{0}]は証明書を削除しています[UPN:{1} ロール:{2} 証明書定義:{3} セキュリティコンテキスト:{4}] |
| [S015]管理者[{0}]は証明書を作成しています[TPM:{1}] |
| [S016]管理者[{0}]は認証証明書をインポートしています[参照:{1}] |
| [S022]管理者[{0}]はメンテナンスモードをOffに設定しています |
| [S023]管理者[{0}]はメンテナンスモードをOnに設定しています |
| [S024]管理者[{0}]はシステムヘルスモニターを設定しています |
| [S025]管理者[{0}]はシステムヘルスモニターを設定しています |
| [S026]管理者[{0}]はRA証明書モニターを設定しています |
| [S027]管理者[{0}]はRA証明書モニターをリセットしています |
| [S050]管理者[{0}]は新しいクラウド構成を作成しています:[{1}] |
| [S051]管理者[{0}]はクラウド構成を更新しています:[{1}] |
| [S052]管理者[{0}]はクラウド構成を削除しています |
| [S060] 管理者[{0}]がクラウド登録を要求しています。インスタンス:{1} |
| [S060] 管理者[{0}]がダイレクトトラストでのクラウド登録を要求しています。インスタンス:{1} CloudServiceUrlFormat:{2} |
| [S061] 管理者[{0}]がクラウド登録を完了しています。リソースの場所:{1}、規則名:{2} |
| [S062] 管理者[{0}]がクラウド登録を完了しました。リソースの場所:{1}({2})、規則名:{3}、顧客:{4}({5}) |
| [S063] クラウド登録中にKRSエラーが発生しました。例外:{0} |
| [S063] [S064] クラウド登録中に不明なエラーが発生しました。例外:{0} |
| ログコード |
|---|
| [S401]構成アップグレードを実行中です – [バージョン{0}以降][to version {1}] |
| [S402]エラー:Citrixフェデレーション認証サービスはNetwork Serviceとして実行する必要があります[現在は{0}として実行中] |
| [S404]Citrixフェデレーション認証サービスのデータベースを強制的に消去しています |
| [S405]レジストリからデータベースへのデータの移行中にエラーが発生しました:[{0}] |
| [S406]レジストリからデータベースへのデータ移行が完了しました(注:ユーザー証明書は移行されない) |
| [S407]データベースがすでに存在していたため、レジストリベースのデータはデータベースに移行されませんでした |
| [S408]構成をダウングレードできません – [バージョン{0}以降][to version {1}] |
| [S409]ThreadPool構成が成功しました - MinThreadsは[ワーカー:{0} 完了:{1}]から[ワーカー:{2} 完了:{3}]に変更されました |
| [S410]ThreadPool構成に失敗しました - MinThreadsは[ワーカー:{0} 完了:{1}]から[ワーカー:{2} 完了:{3}]に変更できませんでした。これは、FASサーバーの拡張性に影響を与える可能性があります |
| [S411]FASサービスの開始エラー:[{0}] |
| [S412]構成のアップグレードが完了しました - [バージョン{0}以降][to version {1}] |
| [S413]認証証明書がまもなく期限切れになります(残り{0}日)。証明書の詳細:{1} |
| [S414]認証証明書が期限切れになりました。証明書の詳細:{0} |
| [S415]認証証明書のチェックが完了しました。{0}件の問題がログに記録されました。次回のチェックは{1}後です |
IDアサーションの作成[フェデレーション認証サービス]
[イベントソース:Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、信頼済みのサーバーがユーザーログオンをアサートすると、ランタイム時にFASサーバーに記録されます。
| ログコード |
|---|
| [S101]サーバー[{0}]にはロール[{1}]のIDをアサートする権限がありません |
| [S102]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(例外:{2}{3}) |
| [S103]サーバー[{0}]はUPN[{1}]、SID {2}を要求しましたが、検索でSID {3}が返されました |
| [S104]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(UPNはロール[{2}]によって許可されていません) |
| [S105]サーバー[{0}]はIDのアサーションを発行しました[UPN:{1}、ロール:{2}、セキュリティコンテキスト:[{3}]] |
| [S120][UPN:{0}、ロール:{1}、セキュリティコンテキスト:[{2}]]に対して証明書を発行しています |
| [S121]証明書が[UPN:{0} ロール:{1}]に[認証局:{2}]から発行されました |
| [S122] 警告:サーバー過負荷です[UPN:{0}、ロール:{1}][1分あたりの要求{2}]。 |
| [S123][UPN:{0} ロール:{1}]の証明書の発行に失敗しました[例外:{2}] |
| [S124][証明機関(CA):{2}]で[UPN:{0} ロール:{1}]に対する証明書の発行に失敗しました[例外:{3}] |
証明書利用者としての機能[フェデレーション認証サービス]
[イベントソース:Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、VDAにユーザーがログオンすると、ランタイム時にFASサーバーに記録されます。
| ログコード |
|---|
| [S201]証明書利用者[{0}]にはパスワードへのアクセス権がありません。 |
| [S202]証明書利用者[{0}]には証明書へのアクセス権がありません。 |
| [S203]証明書利用者[{0}]にはログオンCSPへのアクセス権がありません |
| [S204]証明書利用者[{0}]が[{4}]によって承認されたロール:[{2}]でログオンCSPにアクセスしています[UPN:{1}][操作:{3}] |
| [S205]証明書利用者のアクセスが拒否されました - 呼び出し元アカウント[{0}]は、ルール[{1}]の許可された証明書利用者ではありません |
| [S206]呼び出しアカウント[{0}]は証明書利用者ではありません |
| [S208]秘密キーの処理が失敗しました[操作:{0}][UPN:{1}、ロール:{2}、証明書定義{3}][エラー {4} {5}] |
セッション内証明書サーバー[フェデレーション認証サービス]
[イベントソース:Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、ユーザーはセッション内証明書を使用すると、FASサーバーで記録されます。
| ログコード |
|---|
| [S301]アクセス拒否:ユーザー[{0}]には仮想スマートカードへのアクセス権がありません |
| [S302]ユーザー[{0}]は不明な仮想スマートカードを要求しました[拇印:{1}] |
| [S303]アクセス拒否:ユーザー[{0}]が仮想スマートカードと一致しません[UPN:{1}] |
| [S304]コンピューター[{2}]でプログラム[{1}]を実行中のユーザー[{0}]は秘密キー処理[{6}]のために仮想スマートカードを使用しています[UPN:{3}、ロール:{4}、拇印: {5}] |
| [S305]秘密キーの処理が失敗しました[操作:{0}][UPN:{1}、ロール:{2}、コンテナ名{3}][エラー {4} {5}]。 |
FAS アサーションプラグイン[フェデレーション認証サービス]
[イベントソース:Citrix.Authentication.FederatedAuthenticationService]
これらのイベントは、FASアサーションプラグインによって記録されます。
| ログコード |
|---|
| [S500]FASアサーションプラグインが設定されていません |
| [S501]設定されたFASアサーションプラグインをロードできませんでした[例外:{0}] |
| [S502]FASアサーションプラグインがロードされました[pluginId={0}][assembly={1}][location={2}] |
| [S503]サーバー[{0}]がUPN[{1}] のアサートに失敗しました(ログオン値が提供されましたがプラグイン[{2}]が対応していません) |
| [S504]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(ログオン値が提供されましたが、FASプラグインが構成されていません) |
| [S505]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(プラグイン[{2}]によりログオン値が拒否されステータス[{3}]とメッセージ[{4}]が返されました) |
| [S506]プラグイン[{0}]がサーバー[{1}]のログオン値をUPN[{2}]として承認しメッセージ[{3}]が返されました |
| [S507]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(プラグイン[{2}]が例外[{3}]をメソッド[{4}]中にスローしました) |
| [S507]サーバー[{0}]はUPN[{1}]のアサートに失敗しました(プラグイン[{2}]が例外[{3}]をスローしました) |
| [S508]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(処理へのアクセスが提供されましたがプラグイン[{2}]が対応していません) |
| [S509]サーバー[{0}]がUPN[{1}]のアサートに失敗しました(処理へのアクセスが提供されましたが、FASプラグインが構成されていません) |
| [S510]サーバー[{0}]がUPN[{1}] のアサートに失敗しました(プラグイン[{2}]によってアクセス処理が無効と判断されました) |
Workspace対応FAS[フェデレーション認証サービス]
[イベントソース:Citrix.Fas.Cloud]
FASとWorkspaceを組み合わせて使用している場合、これらのイベントがログに記録されています。
| ログコード |
|---|
| [S001]ローテーションされたCitrix Cloud認証キー[FAS ID:{0}][古いキーID:{1}][新しいキーID:{2}] |
| [S002]クラウドサポートモジュールが開始しています。FasHubクラウドサービスURL:{0} |
| [S003]FASはクラウドに登録しました[FAS ID:{0}][トランザクションID:{1}] |
| [S004]FASはクラウドに登録できませんでした[FAS ID:{0}][トランザクション ID:{1}][例外:{2}] |
| [S005]FASは現在の構成をクラウドに送信しました[FAS ID:{0}][トランザクションID:{1}] |
| [S006]FASは現在の構成をクラウドに送信しました[FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S007]FASはクラウドから登録解除しました[FAS ID:{0}][トランザクションID:{1}] |
| [S009]FASはクラウドに登録できませんでした[FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S010]FASサービスはクラウドメッセージングURLに接続されています:{0} |
| [S011]FASサービスはクラウドに接続されていません |
| [S012]FASサービスはCitrix Cloudからのシングルサインオンで利用可能です |
| [S013]FASサービスは、Citrix Cloudからのシングルサインオンでは利用できません。[{0}]詳しくは、管理コンソールを確認してください |
[S014]クラウドサービス<service name>への呼び出しに失敗しました[FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S015]Citrix Cloudからのメッセージは、呼び出し元が許可されていないためブロックされました[メッセージID {0}][トランザクションID {1}][呼び出し元 {2}] |
[S016]クラウドサービス<service name>への呼び出しに成功しました[FAS ID:{0}][トランザクションID:{1}] |
| [S019]FASはクラウドから構成をダウンロードしました[FAS ID:{0}][トランザクションID:{1}] |
| [S020]FASはクラウドから構成をダウンロードできませんでした[FAS ID:{0}][トランザクションID:{1}][例外:{2}] |
| [S021]クラウドサポートモジュールを開始できませんでした。例外: {0} |
| [S022]クラウドサポートモジュールが停止しています |
| [S023]Citrix Cloud認証キーのローテーションに失敗しました[FAS ID:{0}][現在のキーID:{1}][新しいキーID:{2}][クラウド内のキー:{3}] |
| [S024]Citrix Cloud認証キーのローテーションを開始する[FAS ID:{0}][現在のキーID:{1}][新しいキーID:{2}] |
| [S025]このサービスの認証キーはCitrix Cloudに存在します[現在のキー:{0}][クラウド内のキー:{1}] |
| [S026]このサービスの認証キーはCitrix Cloudに存在しません[現在のキー:{0}][クラウド内のキー:{1}] |
| [S027]Citrix Cloud認証キーのストレージ形式をアップグレードしました[FAS ID:{0}] |
ログオン[VDA]
[イベントソース:Citrix.Authentication.IdentityAssertion]
これらのイベントは、ログオン時にVDAで記録されます。
| ログコード |
|---|
| [S101]IDアサーションログオンに失敗しました。 認識できないフェデレーション認証サービス[ID:{0}] |
| [S102]IDアサーションログオンに失敗しました。 {0}のSIDが見つかりませんでした[例外:{1}{2}] |
| [S103]IDアサーションログオンに失敗しました。 ユーザー{0}のSIDは{1}ですが、想定されたSIDは{2}です |
| [S104]IDアサーションログオンに失敗しました。 フェデレーション認証サービスへの接続に失敗しました:{0}[エラー:{1} {2}] |
| [S105]IDアサーションログオン。 [ユーザー名:{0}][Domain: {1}]にログインしています |
| [S106]IDアサーションログオン。\n\nフェデレーション認証サービス:{0}\n\n[証明書:{1}]にログインしています |
| [S107]IDアサーションログオンに失敗しました。 [例外:{0}{1}] |
| [S108]IDアサーションサブシステム。 ACCESS_DENIED[呼び出し元:{0}] |
セッション内証明書[VDA]
[イベントソース:Citrix.Authentication.IdentityAssertion]
これらのイベントは、ユーザーがセッション内証明書を使用しようとすると、VDAに記録されます。
| ログコード |
|---|
| [S201]仮想スマートカードの[PID:{1} プログラム名:{2}][Certificate thumbprint: {3}]へのアクセスが[{0}]に認証されました |
| [S203]仮想スマートカードサブシステム。 アクセスが拒否されました[呼び出し元:{0}、セッション:{1}] |
| [S204]仮想スマートカードサブシステム。 スマートカードのサポートが無効化されました。 |
証明書要求およびキーペア生成[フェデレーション認証サービス]
[イベントソース:Citrix.Fas.PkiCore]
これらのイベントは、FASサーバーが低レベルの暗号化操作を実行すると記録されます。
| ログコード |
|---|
| [S001]TrustArea::TrustArea:証明書がインストールされました[TrustArea: {0}][証明書 {1}][TrustAreaJoinParameters{2} |
| [S014]Pkcs10Request::Create: PKCS10要求が作成されました[識別名 {0}] |
| [S016]PrivateKey::Create [識別子 {0}][MachineWide: {1}][プロバイダー:{2}][ProviderType: {3}][EllipticCurve:{4}][KeyLength: {5}][isExportable:{6}] |
| [S017]PrivateKey::Delete[CspName: {0}、識別子 {1}] |
| ログコード |
|---|
| [S104]MicrosoftCertificateAuthority::GetCredentials:{0}の使用権限が付与されました |
| [S105]MicrosoftCertificateAuthority::SubmitCertificateRequestエラーが応答[{0}]を返しました |
| [S106]MicrosoftCertificateAuthority::SubmitCertificateRequest証明書[{0}]が発行されました |
| [S112]MicrosoftCertificateAuthority::SubmitCertificateRequest - 承認待機中[CR_DISP_UNDER_SUBMISSION][参照:{0}] |
エンドユーザーエラーメッセージ
ここでは、Windowsログオンページでユーザーに表示される一般的なエラーメッセージの一覧を示します。
| 表示されるエラーメッセージ | 説明および参照先 |
|---|---|
| 無効なユーザー名またはパスワードです。 | コンピューターはユーザーが有効な証明書および秘密キーを持っていると判断していますが、Kerberosドメインコントローラーが接続を拒否しました。この記事の「Kerberosログ」を参照してください。 |
| システムにログオンできませんでした。資格情報を確認できませんでした。/この要求は、サポートされていません。 | ドメインコントローラーに接続できないか、ドメインコントローラーにスマートカード認証をサポートする証明書が構成されていません。「Kerberos認証」、「ドメインコントローラー認証」、または「ドメインコントローラー」証明書のドメインコントローラーを登録します。これは通常試す価値があります。既存の証明書が有効に見える場合でも同様です。 |
| システムにログオンできませんでした。認証のために使用されたスマートカード証明書が信頼できませんでした。 | 中間証明書とルート証明書がローカルコンピューターにインストールされていません。「証明書と公開キー基盤」を参照してください。 |
| 不正な要求 | これは通常、証明書の拡張子が正しく設定されていないか、RSAキーが短すぎることを示します(2048ビット未満)。 |
関連情報
- スマートカードログオン用のドメインを構成します:http://support.citrix.com/article/CTX206156
- スマートカードログオンポリシー:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10)
- CAPIログの有効化:http://social.technet.microsoft.com/wiki/contents/articles/242.troubleshooting-pki-problems-on-windows.aspx
- Kerberosログの有効化:https://support.microsoft.com/en-us/kb/262177
- サードパーティの証明機関を使用してスマートカードログオンを有効化するためのガイドライン: https://support.microsoft.com/en-us/kb/281245