可変情報
%s1:保守情報
意味
以下の原因が考えられます。
保守情報(%s1)に“Integrity check on decrypted field failed”が含まれる場合、利用者が統合Windows認証を正しく利用できない状態になっている可能性があります。
保守情報(%s1)に“Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled”が含まれる場合、Active Directoryへの認証サーバの登録時に作成した認証サーバのアカウントの「アカウントオプション」に、サポートしていない暗号方式である“このアカウントで Kerberos AES 256ビット暗号をサポートする”が選択されています。
保守情報(%s1)に“Clock skew too great”が含まれる場合、Active Directoryが運用されているマシンのシステム時間とInterstage シングル・サインオンの認証サーバが構築されているマシンのシステム時間が一致していない可能性があります。
上記以外の場合、Interstage シングル・サインオンの統合Windows認証アプリケーションで内部異常が発生しました。
ユーザの対処
以下の対処を行ってください。
保守情報(%s1)に“Integrity check on decrypted field failed”が含まれる場合
利用者に、いったんドメインからログオフし、再度ドメインにログオンするよう運用指導してください。
再度ドメインにログオンしても同様の現象が発生する場合は、認証サーバへのサービスプリンシパル名の割り当て時に、誤った認証基盤のURLを指定した可能性があります。統合Windows認証アプリケーションを配備したワークユニットを削除し、再度Active Directoryの設定、および統合Windows認証アプリケーションの配備を行ってください。(注)
保守情報(%s1)に“Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled”が含まれる場合、Active Directoryに登録した認証サーバのアカウント、および統合Windows認証アプリケーションを配備したワークユニットを削除し、再度Active Directoryの設定、および統合Windows認証アプリケーションの配備を行ってください。(注)
保守情報(%s1)に“Clock skew too great”が含まれる場合、Active Directoryが運用されているマシンのシステム時間とInterstage シングル・サインオンの認証サーバが構築されているマシンのシステム時間が一致しているか確認してください。一致していない場合はシステム時間を一致させてください。
Microsoft(R) Windows Server(R) 2008と連携している場合、連携に必要なActive Directoryの更新プログラムを、連携しているMicrosoft(R) Windows Server(R) 2008に適用してください。その後、統合Windows認証アプリケーションを配備したワークユニットを削除し、再度統合Windows認証を行うための設定を実施してください。連携に必要なActive Directoryの更新プログラムについては、“システム設計ガイド”の“ソフトウェア条件”-“アプリケーション実行時に必要なソフトウェア”-“その他”を参照してください。
Active Directoryを運用しているマシンのセキュリティのログを参照し、問題が発生していないかを確認してください。問題が発生している場合には、Active Directoryの設定を見直してください。
上記対処を行っても問題が解決しない場合は、メッセージ出力後、速やかにiscollectinfoコマンドを使用して調査情報を採取し、技術員に連絡してください。
注)Active Directoryの設定、および統合Windows認証アプリケーションの配備については“シングル・サインオン運用ガイド”の“Active Directoryと連携するための設定”-“ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する”-“統合Windows認証を行うための設定”を参照してください。
