適用対象: AuthPoint 多要素認証、AuthPoint Total Identity Security
認証が期待通りに機能しない場合や障害が発生した場合は、レポート、アラート、監査ログを使用して問題をトラブルシューティングすることができます。始めるには、構成されたリソースの種類とアクセス ポリシーに基づいて、認証プロセスのすべてのステップを検討してください。認証プロセスの最後の手順からトラブルシューティングを開始し、そこから遡ります。
チェックすべきいくつかの項目の例を次に示します。
- ユーザーがプッシュ通知を受信したか (プッシュ認証が構成されている場合)。
- 認証試行の監査ログがあるかどうか。
- Gateway が必要な認証フローの場合、Gateway ログ ファイルにはどのような情報が表示されているか。
- ポリシーにポリシー オブジェクトがある場合は、このポリシー オブジェクトが含まれていない、同じグループやリソースを対象とした 2 つ目のポリシーがあるか。
特定の AuthPoint の問題をトラブルシューティングする手順は、問題の種類や、認証プロセスに関係する AuthPoint と外部コンポーネントによって異なります。Gateway などの一部の AuthPoint のコンポーネントには、トラブルシューティングに役立つローカル ログ ファイルが含まれています。
トラブルシューティングの詳細については、次を参照してください:AuthPoint のヒントとベストプラクティス。
AuthPoint をトラブルシューティングするツール
ほとんどの AuthPoint の問題をトラブルシューティングするには、AuthPoint のレポート、監査ログ、アラートを参照してください。
監査ログは、AuthPoint の問題をトラブルシューティングするための有用な開始地点となります。
開始するには、まず WatchGuard Cloud および AuthPoint Gateway のログ ファイルに表示される情報を参照します。
AuthPoint レポート
レポートには、AuthPoint のアクティビティとイベントに関する情報が示されています。トラブルシューティングに役立つレポートの一例を次に示します。
- 拒否されたプッシュ通知 — ユーザーがプッシュ通知を拒否したかどうかを確認します
- リソース アクティビティ — ユーザーが認証に失敗したリソースを確認します
- 認証 — 各ユーザーの認証失敗を確認します
- 同期アクティビティ — LDAP ユーザーの同期履歴を確認します
レポートの詳細については、次を参照してください:AuthPoint を監視する。
アラート
WatchGuard Cloud は、通知ルールに基づいてイベントのアラートを生成します。たとえば、Gateway が接続または切断されたとき、およびユーザーがプッシュ認証要求を拒否したときにアラートが表示されます。通知ルールを追加することで、他の種類のアラートを生成することができます。
詳細については、次を参照してください:WatchGuard Cloud アラートを管理する。
監査ログ
監査ログには、管理アクション、構成の変更、および AuthPoint イベントに関連するイベントが表示されます。認証イベントの場合、監査ログの詳細ウィンドウには、認証試行の詳細が表示されます。
WatchGuard Cloud の監査ログに記載されているエラー コードを、Gateway のイベントのログ メッセージや、Windows または Mac 用の IdP ポータルや Logon App の認証エラー メッセージに表示されているエラー コードと照合します。詳細については、次を参照してください:監査ログを表示する。
Gateway ログ ファイル
AuthPoint Gateway を使用する認証タイプについては、Gateway のログ ファイルを参照してください。ログ メッセージには、Gateway 操作と、RADIUS、LDAP、ADFS への接続に関する情報が含まれています。Gateway は 4 つのサービス (Gateway、RADIUS、LDAP、および ADFS) として実行され、各サービスは個別のログ ファイルを作成します。Gateway のトラブルシューティングの詳細については、次を参照してください:AuthPoint Gateway のトラブルシューティング。
ログ メッセージには、ログ メッセージを関連する AuthPoint 監査ログ イベントやエラー メッセージに一致させる際に便利なユーザー名と Request ID が含まれます。
Gateway ログ ファイルは以下のディレクトリにあります:C:\ProgramData\WatchGuard\AuthPoint\logs.
Gateway ランタイム ログ ファイルは以下のディレクトリにあります:C:\Program Files (x86)\WatchGuard\AuthPoint Gateway\.
Windows では、ProgramData フォルダは既定で非表示になっています。このフォルダを開くには、Windows キー + R キー を押してから %ProgramData% と入力し、OK をクリックします。
AuthPoint のトラブルシューティングに役立つヒント
ここでは、特定の種類の認証や、AuthPoint コンポーネントの問題をトラブルシューティングする際に役立つヒントをご紹介します。ほとんどのケースにおいて、以下を探します。
- エラーに関連付けられているエラー コード
- エラーに関連付けられている Request ID
その後、この情報を使用して監査ログとログ メッセージを検索することができます。
AuthPoint Gateway のトラブルシューティング
AuthPoint Gateway は、次の 4 つのサービスとして機能します。Gateway、RADIUS、LDAP、ADFS。
| サービス | 説明 | ポート |
|---|---|---|
| WatchGuard AuthPoint Gateway | WatchGuard Cloud と通信し、残りの 3 つのサービスを構成します。 | TCP ポート 9000 |
| WatchGuard AuthPoint RADIUS | RADIUS クライアントと通信します。 | TCP ポート 9001 |
| WatchGuard AuthPoint LDAP | LDAP データベースと通信し、LDAP ユーザーを認証します。プライマリ Gateway もこのサービスを使用して LDAP ユーザーを AuthPoint にインポートします。 | TCP ポート 9002 |
| WatchGuard AuthPoint ADFS | ADFS と通信します。 | TCP ポート 9003 |
Gateway は、以下の TCP サービス ポートを使用して、異なる Gateway サービス間の内部通信を行っています。他のアプリケーションによってこれらの TCP サービス ポートが使用されていると、Gateway が起動できなかったり、オフラインと表示されたりする場合があります。
コマンド プロンプトを使用して Netstat -ano |findstr 900 というコマンドを実行すると、これらのポートが使用中ではないことを確認できます。このコマンドは、900 で始まるものをすべて検索します。
必要なポートの 1 つが使用中の場合は、Tasklist | findstr process ID というコマンドを実行して、どのプロセスがその特定のポートを使用しているのかを特定する事ができます。
tasklist コマンドを使用する際の AuthPoint Gateway は java.exe になります。Gateway がすでにインストールされている場合は、そのように表示されるはずです。
Windows サービス アプリを使用して、4 つのサービスすべてが実行していることを確認できます。サービス アプリでは、この実行している 4 つのサービスは次のように表示されます:
実行していないサービスがある場合は、Windows イベント ビューアを使用してサービスの停止時間と開始時間を確認します。
Gateway サービスが開始して正しく実行されるまで、他のサービスは開始されません。Gateway サービスがクラウドに接続できない場合や、何らかの理由で開始できない場合、他のサービスは届かない構成ファイルを待ち続けてハングします。Gateway サービスの再起動に成功した場合は、Gateway サービスが再び正常に実行された後、他のサービスも再起動する必要があります。
ウイルス対策ソフトの影響で、Gateway インストールに失敗する場合があります。
インストール後に Gateway に問題がある場合は、Gateway の監査ログとログ ファイルを調べます。
- WatchGuard Cloud で監査ログを確認し、ユーザー認証が表示されているかどうかを確認します。
- Gateway サーバーのランタイム ログ ファイルを C:\Program Files (x86)\WatchGuard\AuthPoint Gateway\ でチェックし、Gateway がクラッシュしたかどうかを確認します。
- Gateway サーバーの Gateway 通信ログ ファイルを C:\ProgramData\WatchGuard\AuthPoint\logs\ でチェックし、ポートの競合やその他何らかの問題が発生している場合に備え、何が起こっているかを確認します。
- また、グループ メンバーシップ、AuthPoint 認証ポリシーなどのユーザー アカウントの詳細を確認し、パスワードが正しいことを確認する必要があります (パスワードでは大文字と小文字が区別されることに留意してください)。Service Provider の場合は、ユーザーが正しい AuthPoint アカウントに属していることを確認してください。
問題がソフトウェア自体に関連している場合 (Gateway が起動しない、何かがクラッシュまたはハングしているなど)、Gateway サーバーのインストール ディレクトリに戻り、ログ フォルダを開きます。インストール ディレクトリは C:\Program Files (x86)\WatchGuard\AuthPoint Gateway\ です。
Gateway がクラッシュしていないものの通信に問題がある場合は、C:\ProgramData\WatchGuard\AuthPoint\logs\ に移動し、そこにある Gateway ログ ファイルを調べます。このディレクトリには、さまざまなコンポーネントそれぞれに独自のログ ファイルがあります。現在のログ ファイルと過去のログ ファイルがあります。過去のログ ファイルは zip ファイルに入っており、ファイル名に日付が付いています。問題が現在発生している場合は、現在のログ ファイルを確認する必要があります。
RADIUS 認証のトラブルシューティング
有用な情報を得るには次のログ メッセージとエラー メッセージを参照してください:
- WatchGuard Cloud の監査ログ
- AuthPoint Gateway の RADIUS ログ
- RADIUS クライアントのエラー メッセージ
- Firebox ログ メッセージ — Firebox が RADIUS クライアントとして構成されている場合は、Firebox ログ メッセージからユーザ認証イベント、および Firebox と AuthPoint Gateway 間の接続エラーを検索します。
その他にも、以下の内容をお試しください。
- Gateway がインストールされているサーバーの RADIUS ポート (既定のポートは 1812 または 1645 です) が開いていることを確認します。ポートは、既定では開いていません。ポートが開いている場合は、そのポートがサーバー上の他の何かに使用されていないことを確認してください。これは、使用されていると Gateway と競合するためです。
- Gateway と RADIUS クライアントの間で pcap を行います。
Firebox 上の Mobile VPN で複数の認証サーバーを使用するように構成した場合、既定の認証サーバーを使用しないユーザーは、認証サーバーまたはドメインをユーザー名の前に指定する必要があります。例:ad1_example.com\j_smith。
LDAP 認証のトラブルシューティング
次のログ メッセージを参照してください:
- Gateway の LDAP ログで、次を探します。
- 接続性テストの結果
- 同期イベント
- ユーザー認証の要求
- ドメイン コントローラへの接続のエラー
- WatchGuard Cloud の監査ログで、次を探します。
- LDAP 外部アイデンティティの構成の変更
- LDAP のユーザー同期エラー
その他にも、以下の内容をお試しください。
- Gateway が LDAP/AD サーバーとは異なるサーバーにインストールされている場合は、Gateway と LDAP/AD サーバーの間で pcap を行い、LDAP 応答が返ってくることを確認してください。
同じ LDAP グループを複数のグループ同期に追加したり、同じ LDAP ユーザーを含む複数のグループ同期を作成したりしないでください。LDAP データベースから同期されたユーザーは、複数のローカル AuthPoint グループに属することはできません。LDAP ユーザーが複数のグループ同期に属している場合、AuthPoint が LDAP データベースと同期するたびに、ユーザーが属するローカル AuthPoint グループが変更される可能性があります。
LDAP ユーザーを AuthPoint の複数のグループに追加するには、グループ同期で新しい同期グループを作成するトグルを有効化し、Active Directory グループの構造を使用してユーザーを管理することをお勧めします。
外部アイデンティティのトラブルシューティング
外部アイデンティティへの接続テストが失敗し、NPS が Gateway サーバー上で実行されている場合は、AuthPoint Gateway が使用する RADIUS ポートを変更してください。
外部アイデンティティへの接続テストが成功したものの、AuthPoint がユーザーを同期しない場合は、システム アカウント ユーザーの認証情報と権限を確認することをお勧めします。Active Directory インスタンスが LDAPS を使用していない場合は、外部アイデンティティの LDAPS トグルを無効にする必要があります。
AuthPoint がユーザーを正常に同期したものの、一部のユーザーが同期されない場合は、欠けているユーザー アカウントに、別の AuthPoint ユーザーによってまだ使用されていない有効な電子メール アドレスがあること、そしてすべての必須フィールド (名や電子メール アドレス) に値が設定されていることを確認してください。また、AuthPoint ライセンスが同期させたいユーザー数をサポートしていることも確認する必要があります。グループ同期の結果に、使用可能なライセンスよりも多いユーザーがいる場合、同期では AuthPoint ライセンスによってサポートされる数のユーザーしか作成されません。
AuthPoint Agent for Windows および Agent for Mac のトラブルシューティング
認証エラーが発生した場合、AuthPoint Agent for Windows または Agent for Mac のログイン ページにエラー メッセージが表示される場合があります。このエラー メッセージには、エラー コードと Request ID が含まれています。このエラー コードと Request ID を使用して、WatchGuard Cloud 監査ログのエラーを探します。
Windows と Mac でエージェントのトラブルシューティングを行う場合は、通信に関係する IP アドレスを調べます。この情報は、どの監査ログに注目するかを絞り込むのに役立ちます。
- ユーザーがローカル ネットワーク上にいる場合は、ネットワークのパブリック IP が WatchGuard Cloud 監査ログに表示されるはずです。
- ユーザーがネットワーク上の別のコンピュータへの RDP 接続を使用する場合、接続元のコンピュータのプライベート IP が WatchGuard Cloud 監査ログに表示されます。
- ユーザーが、自宅から、または休暇中に VPN を使用して企業ネットワークに接続し、ネットワーク上のマシンに RDP でアクセスする場合、そのモバイル VPN のコンピュータの仮想 IP アドレスが WatchGuard Cloud 監査ログに表示されるはずです。
Logon App が WatchGuard Cloud からダウンロードした構成ファイルを確認することもできます。AuthPoint で変更を加えてもこれらのファイルが更新されない場合は、通信に問題がある可能性があります。そのような場合は、セキュリティ ソフトウェアと上流のネットワーク デバイスを介して、Logon App と WatchGuard Cloud の間の通信が許可されていることを確認してください。
Logon App 構成ファイルは以下で参照することができます:
- Agent for Windows
- 構成ファイルを作成する:%WINDIR%\wlconfig.cfg
- オフライン ポリシー キャッシュ:%WINDIR%\drivers\etc\wlconfig.cfg
- macOS 用エージェント
- 構成ファイルを作成する:/Library/Application Support/WatchGuard/wlconfig.cfg
- ログ ファイル:/Library/Logs/WatchGuard/AuthPoint Agent/
AuthPoint Agent for Windows のインストール中に問題が発生した場合:
- msiexec <filename> /l*v などのさまざまなログ記録スイッチを利用して、より多くの情報を収集することができます。これらのコマンドに関連するログ メッセージに加えて、Windows イベント ログでより詳細な情報を得ることもできます。
- エージェントのインストールに使用するユーザー アカウントの権限を確認します。
- (Service Provider) 複数の AuthPoint アカウントがある場合は、正しいアカウントの構成ファイルを使用するようにしてください。
IdP ポータルのトラブルシューティング
IdP ポータルをトラブルシューティングするには、ユーザーにログイン エラーについての情報を提供してもらいます。認証に失敗すると、ログイン ページにエラー メッセージが表示されます。エラー コードと Request ID は、ページ下部に表示されます。
このエラー コードと Request ID を使用して、監査ログのエラーを探します。
AuthPoint モバイル アプリのトラブルシューティング
モバイル アプリをトラブルシューティングするには、ユーザーにログイン エラーについての情報を提供してもらいます。認証エラーが発生した場合、モバイル デバイスには、エラー コードを含むエラー メッセージが表示されます。エラーは、トラブルシューティングに役立ちます。これは、ユーザーが監査ログでエラー コードを探すことができるためです。
モバイル アプリでは、ユーザーはトークンの詳細を見ることもできます。トークンの詳細に、次の値が表示されていることを確認してください。
- プッシュ ステータス — 登録済み
- 時間参照 — 正しい時間
必要に応じて、ユーザーは トークンの同期 オプションを選択してトークンの時間とステータスをサーバーと同期させることができます。これは、ユーザーがプッシュを承認するときや、OTP を入力するときに、認証が許可された時間内に行われたことを AuthPoint が認識できるようにするために必要です。トークンのタイムスタンプとサーバーのタイムスタンプの間の時間差が大きすぎる場合、ユーザーが認証できない場合があります。
詳細については、次を参照してください:トークンを同期する。
ユーザーにプッシュ通知に関する問題が発生している場合は、以下のトラブルシューティングのオプションを試すことができます。
- ユーザー検証機能を使用して、ユーザーがプッシュ通知を受信するかどうかをテストします。
- 管理ユーザーにユーザーのトークンの詳細を調べてもらい、そのユーザーのデバイスでプッシュ通知が許可されていることを確認します。また、ユーザーはモバイルアプリのデバイス情報欄でもこれを確認することができます。いずれかのテストでプッシュ通知が許可されていないことが判明した場合、ユーザーは AuthPoint アプリの通知を許可する必要があります。
Android デバイスの場合は、通知スタイルを「詳細」に設定することをお勧めします。
- バッテリー最適化をオフにするか、AuthPoint アプリの自動起動をオンにするようユーザーに依頼します。バッテリー最適化かアプリの設定がプッシュ通知の問題を引き起こすことがよくあります。一部のデバイスでは、バッテリー最適化機能によりアプリの自動機能が防止されます。
- ユーザーに、信頼できるインターネット接続があることを確認してもらってください。
- また、以下にリストする AuthPoint モバイル アプリのモバイル設定を構成することをお勧めします。
- ロック画面での通知を許可する
- バックグラウンドおよびローミング データを許可する
- データ節約がオンのときにアプリを許可する
- バックグラウンド アクティビティを許可する
- 自動起動を許可する
- バッテリー セーバーをオフにする
ADFS のトラブルシューティング
ADFS をトラブルシューティングする際に役立つ情報は、以下で見つけることができます。
- ADFS エージェントがインストールされているコンピュータ上のイベント ビューア
- WatchGuard Cloud の監査ログ
- AuthPoint Gateway の ADFS ログ ファイル
- ADFS エージェントのログ ファイル
RD Web のトラブルシューティング
AuthPoint Agent for RD Web は、RD Web サーバーにおけるサービスとして機能します。WatchGuard AuthPoint RD Web Core サービスが実行していることを確認してください。
RD Web のトラブルシューティングに使用できるツールには、次のようなものがあります。
- IIS サーバー ログ ファイル — RD Web ポータルへのユーザー認証に関する情報の確認
- リモート デスクトップ サービスのイベント ビューア — RD Web がホストするリソースへのユーザー接続に関する情報の確認
- AuthPoint 監査ログ — RD Web ユーザー認証のイベントの確認