WAP(ADFSプロキシ)サーバでWeb アプリケーションプロキシサービスが起動せず、イベント422が出力された時の対応(WAP再構成)
以前、Azure環境上にあるWAP(ADFSプロキシ)サーバがMicrosoftの定期メンテナンス後からWeb アプリケーションプロキシサービスが起動せず、office365の運用に影響が出ました。
ADFSとWAP間で信頼関係が壊れ、その後、サーバを再起動したことによりWeb アプリケーションプロキシサービスが起動できなくなりました。
WAPサーバの再構成という方法を行ったのですが、その時の対応方法を紹介させていただきます。
ポイント!
WAPサーバの再構成には、システム構築当初の構成情報が必要です
環境
・ADFS(2台)
Windows Server 2012 R2(ADFSバージョン3.0)
・WAP(2台)
Windows Server 2012 R2
事象
WAPサーバでWeb アプリケーションプロキシサービスが起動せず、イベントログにエラーが出力されました。
WAPサーバを経由してADFS認証を行う業務サービスで認証できないなどの影響が出ました。
WAPサーバでWeb アプリケーションプロキシサービスが起動できない時のメッセージ
WAPサーバでWeb アプリケーションプロキシサービスが起動できない時のイベントログ(システム)
イベント7023
WAPサーバでWeb アプリケーションプロキシサービスが起動できない時のイベントログ(ADFS)
イベント422が繰り返し出力されました。
対応
WAPサーバでADFSとの信頼関係について、再構成を行います。
事象が発生しているWAPサーバで作業を行います。
レジストリ エディターを開き、[HKEY_LOCAL_MACHINE\Software\Microsoft\ADFS] を選択します。
[ProxyConfigurationStatus] をダブル クリックして開き、[値のデータ] を 1 にして [OK] をクリックします。
スタート画面などから [リモート アクセス管理] コンソールを開きます。
左ペインから [構成] – [Web Application Proxy] をクリックし、中央ペインから [Web アプリケーション プロキシ構成ウィザードの実行] をクリックします。
初期構成時と同様に、WAP サーバーを構成します。
ようこそ画面は次へをクリックします。
フェデレーションサーバー画面では、「フェデレーションサービス名」、「ユーザー名」、「パスワード」を入力します。
私の環境を例にあげますと「フェデレーションサービス名」は、ブラウザなどでADFS認証を行う際に表示されているURLのFQDNを入力しました。
※URLが https://example.com/office365/index.html の場合、example.comがそれにあたります
「ユーザー名」や「パスワード」は、ドメイン運用していますのでその管理者情報を入力しました。
ご自身の環境と読み替えて入力してください。
ADFSプロキシの証明書画面では、WAP(ADFSプロキシ)サーバで利用している証明書を選択し、次へをクリックします。
確認画面で内容を確認し、構成をクリックします。
画面中央に実行されるPowerShellコマンドが表示されます。証明書の拇印やフェデレーションサービス名に誤りがないか確認してください。
しばらくすると結果画面に「Webアプリケーションプロキシが正常に構成されました。」と表示されれば成功です。閉じるをクリックして画面を終了します。
スタート画面などから [リモート アクセス管理] コンソールを開きます。
左ペインから [操作の状況] をクリックします。
[クラスターサーバー] 内から該当のWAPサーバを選択します。
中央ペインに表示される操作の状況が正常であることを確認してください。
まとめ
今回はWAPサーバの再構成について、手順をご紹介しました。
この手の障害はそう何度も発生するものではないですが、はじめて発生した時はまさかWAPの再構成まで必要と思いませんでした。
現在はイベントログの422が出力されないか監視しています。