証明書ベースの認証に失敗する事象の調査

目次

本記事はマイクロソフト社員によって公開されております。
いつも弊社製品をご利用いただきまして誠にありがとうございます。
本サイトでは弊社にお問い合わせいただく際に、事前に採取しておいたほうが良い内容についてご紹介しております。
このページでは「証明書ベースの認証に失敗する事象の調査」に必要な資料採取についてご紹介いたします。

本資料が有効なシナリオ


  • スマートカードによる認証に失敗する
  • 証明書を使用した無線LAN認証に失敗する

採取いただく資料


  • パケット キャプチャー
  • OS 構成情報
  • イベント ログ
  • 認証関連トレース ログ
  • 証明書ストア情報
  • 問題ステップ記録ツール

など

資料採取時の影響について


ログ採取中は各種リソースに多少の負荷がかかる可能性がございますが、通常実影響はございません。
ログ採取にあたり再起動の必要はございません。

対象機器


  • 認証元となるクライアント端末
  • ドメイン コントローラー全台
  • NPSサーバー全台 (証明書を使用した無線LAN認証の場合)

事前準備 および 情報採取手順


採取対象機器にて、以下の流れで情報採取を実施していただきますようお願いいたします。

スマートカードログオンの場合

1. 事象再現時のログ採取

採取対象機器:

  • 認証を行うクライアント端末
  • 認証を行うユーザーが所属するドメインのドメインコントローラー全台

採取手順: 採取対象機器にて、以下のリンクを参考に情報採取を実施していただきますようお願いいたします。
TSS 情報採取手順

  1. [0] の事前準備を実施します。
  2. 管理者ユーザーでクライアント端末にログオンし、[1] の情報採取を開始します。
  3. [ユーザーの切り替え] から事象発生ユーザーにてログオンを行います。 この時、以下の情報をメモとして残してください。
    • ユーザー名
    • できる限り正確なログオンをした時刻
  4. [2] のユーザー情報採取を実施します。
  5. 管理者ユーザーで再度クライアント端末にログオンし、[3] の情報採取を停止操作を行い、[4] の採取を行います。
  6. アップロードサイトに情報をお寄せいただきます。
  7. 以下の情報と併せて弊社にご一報ください。
    • ユーザー名
    • できる限り正確なログオンをした時刻

2. 事象再現後のログ採取

採取対象機器:

  • 認証を行うクライアント端末
  • 認証を行うユーザーが所属するドメインのドメインコントローラー全台

採取手順: 以下のコマンドを実行して出力されるテキストファイルを圧縮して弊社までお寄せください。
c:\MS_DATA\CertInfo というフォルダを作成して、その中に出力されるようにしておりますが出力先は適宜変更いただいても問題ございません。

    md C:\MS_DATA\CertInfo
    cd C:\MS_DATA\CertInfo
    certutil -v -store ROOT > %COMPUTERNAME%_cert-root.txt
    certutil -v -store AUTHROOT > %COMPUTERNAME%_cert-authroot.txt
    certutil -v -store -enterprise ROOT > %COMPUTERNAME%_cert-ent-root.txt
    certutil -v -store -enterprise NTAUTH > %COMPUTERNAME%_cert-ent-ntauth.txt
    certutil -v -store -enterprise AUTHROOT > %COMPUTERNAME%_cert-ent-authroot.txt
    certutil -v -store -grouppolicy AUTHROOT > %COMPUTERNAME%_cert-gp-authroot.txt
    certutil -v -store CA > %COMPUTERNAME%_cert-ca.txt
    certutil -v -store -enterprise CA > %COMPUTERNAME%_cert-ent-ca.txt
    certutil -v -store -grouppolicy CA > %COMPUTERNAME%_cert-gp-ca.txt
    certutil -v -store -grouppolicy ROOT > %COMPUTERNAME%_cert-gp-root.txt
    certutil -v -store my > %COMPUTERNAME%_cert-my.txt
    certutil -v -user -store ROOT > %COMPUTERNAME%_cert-user-root.txt
    certutil -v -user -store AUTHROOT > %COMPUTERNAME%_cert-user-authroot.txt
    certutil -v -user -store -grouppolicy AUTHROOT > %COMPUTERNAME%_cert-user-gp-authroot.txt
    certutil -v -user -store CA > %COMPUTERNAME%_cert-user-ca.txt
    certutil -v -user -store -grouppolicy CA > %COMPUTERNAME%_cert-user-gp-ca.txt
    certutil -v -user -store -grouppolicy ROOT > %COMPUTERNAME%_cert-user-gp-root.txt
    certutil -v -user -store my > %COMPUTERNAME%_cert-user-my.txt

証明書を使用した無線LAN認証の場合

1. 事象再現時のログ採取

採取対象機器:

  • 認証を行うクライアント端末
  • NPSサーバー全台
  • NPSサーバーが所属するドメインのドメインコントローラー全台

採取手順: 採取対象機器にて、以下のリンクを参考に情報採取を実施していただきますようお願いいたします。
TSS 情報採取手順

  1. [0] の事前準備を実施します。
  2. 管理者ユーザーで端末にログオンし、[1] の情報採取を開始します。
  3. 事象を再現します。
  4. [3] の情報採取を停止操作を行います。
  5. アップロードサイトに情報をお寄せいただきます

2. 事象再現後のログ採取

採取対象機器:

  • 認証を行うクライアント端末
  • NPSサーバー全台
  • NPSサーバーが所属するドメインのドメインコントローラー全台

採取手順:
以下のコマンドを実行して出力されるテキストファイルを圧縮して弊社までお寄せください。
c:\MS_DATA\CertInfo というフォルダを作成して、その中に出力されるようにしておりますが出力先は適宜変更いただいても問題ございません。

    md C:\MS_DATA\CertInfo
    cd C:\MS_DATA\CertInfo
    certutil -v -store ROOT > %COMPUTERNAME%_cert-root.txt
    certutil -v -store AUTHROOT > %COMPUTERNAME%_cert-authroot.txt
    certutil -v -store -enterprise ROOT > %COMPUTERNAME%_cert-ent-root.txt
    certutil -v -store -enterprise NTAUTH > %COMPUTERNAME%_cert-ent-ntauth.txt
    certutil -v -store -enterprise AUTHROOT > %COMPUTERNAME%_cert-ent-authroot.txt
    certutil -v -store -grouppolicy AUTHROOT > %COMPUTERNAME%_cert-gp-authroot.txt
    certutil -v -store CA > %COMPUTERNAME%_cert-ca.txt
    certutil -v -store -enterprise CA > %COMPUTERNAME%_cert-ent-ca.txt
    certutil -v -store -grouppolicy CA > %COMPUTERNAME%_cert-gp-ca.txt
    certutil -v -store -grouppolicy ROOT > %COMPUTERNAME%_cert-gp-root.txt
    certutil -v -store my > %COMPUTERNAME%_cert-my.txt
    certutil -v -user -store ROOT > %COMPUTERNAME%_cert-user-root.txt
    certutil -v -user -store AUTHROOT > %COMPUTERNAME%_cert-user-authroot.txt
    certutil -v -user -store -grouppolicy AUTHROOT > %COMPUTERNAME%_cert-user-gp-authroot.txt
    certutil -v -user -store CA > %COMPUTERNAME%_cert-user-ca.txt
    certutil -v -user -store -grouppolicy CA > %COMPUTERNAME%_cert-user-gp-ca.txt
    certutil -v -user -store -grouppolicy ROOT > %COMPUTERNAME%_cert-user-gp-root.txt
    certutil -v -user -store my > %COMPUTERNAME%_cert-user-my.txt

手順は以上でございます。
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。