Kerberos 認証のトラブルシューティング ガイダンス
このガイドでは、Kerberos 認証の問題のトラブルシューティングに使用される基本的な概念について説明します。
トラブルシューティングのチェックリスト
Kerberos 関連のエラーは、別のサービスが失敗した場合の症状です。 Kerberos プロトコルは、認証を実行するために使用でき、適切に機能する必要がある多くのサービスに依存しています。
Kerberos 認証で問題が発生しているかどうかを確認するには、システム イベント ログで、認証を提供するクライアント、ターゲット サーバー、またはドメイン コントローラー上のサービス (Kerberos、kdc、LsaSrv、Netlogon など) からのエラーがないか確認します。 このようなエラーが存在する場合は、Kerberos プロトコルにも関連するエラーが発生する可能性があります。
ターゲット サーバーのセキュリティ イベント ログのエラー監査では、ログオンエラーが発生したときに Kerberos プロトコルが使用されていたことが示される場合があります。
Kerberos プロトコルを検査する前に、次のサービスまたは条件が正しく機能していることを確認します。
- ネットワーク インフラストラクチャが正常に機能しており、すべてのコンピューターとサービスが通信できます。
- ドメイン コントローラーにアクセスできます。 コマンド
nltest /dsgetdc:<Domain Name> /force /kdc(たとえば、nltest /dsgetdc:contoso.com /force /kdc) をクライアントまたはターゲット サーバーで実行できます。 - ドメイン ネーム システム (DNS) が正しく構成され、ホスト名とサービスが適切に解決されます。
- クロックはドメイン間で同期されます。
- Windows Server のすべての重要な更新プログラムとセキュリティ更新プログラムがインストールされます。
- Microsoft 以外のソフトウェアを含むすべてのソフトウェアが更新されます。
- サーバー オペレーティング システムを実行している場合は、コンピューターが再起動されます。
- 必要なサービスとサーバーを使用できます。 Kerberos 認証プロトコルが正常に動作するには、機能しているドメイン コントローラー、DNS インフラストラクチャ、およびネットワークが必要です。 Kerberos プロトコルのトラブルシューティングを開始する前に、これらのリソースにアクセスできることを確認します。
これらすべての条件を調べたが、認証の問題や Kerberos エラーが引き続き発生する場合は、解決策をさらに探す必要があります。 この問題は、Kerberos プロトコルの構成方法、または Kerberos プロトコルで動作する他のテクノロジの構成方法によって発生する可能性があります。
一般的な問題と解決方法
Kerberos 委任の問題
一般的なシナリオでは、偽装アカウントは、Web アプリケーションまたは Web サーバーのコンピューター アカウントに割り当てられたサービス アカウントになります。 偽装されたアカウントは、Web アプリケーション経由でリソースへのアクセスを必要とするユーザー アカウントになります。
Kerberos を使用した委任には、次の 3 種類があります。
完全な委任 (制約のない委任)
完全な委任は、できるだけ避ける必要があります。 ユーザー (フロントエンド ユーザーとバックエンド ユーザー) は、異なるドメインに配置することも、異なるフォレストに配置することもできます。
制約付き委任 (Kerberos のみおよびプロトコルの移行)
ユーザーはどのドメインまたはフォレストからでもかまいませんが、フロントエンド サービスとバックエンド サービスは同じドメインで実行されている必要があります。
リソース ベースの制約付き委任 (RBCD)
ユーザーは任意のドメインから、フロントエンド リソースとバックエンド リソースは任意のドメインまたはフォレストから取得できます。
Kerberos の委任に関する最も一般的なトラブルシューティング
- サービス プリンシパル名が見つからないか、重複しています
- 名前解決エラーまたは不適切な応答 (サーバーに対して指定された間違った IP アドレス)
- 大きな Kerberos チケット (MaxTokenSize) と環境が正しく設定されていない
- ファイアウォールまたはルーターによってブロックされているポート
- サービス アカウントに適切な特権が与えられない (ユーザー権利の割り当て)
- 同じドメイン内にないフロントエンドまたはバックエンド サービスと制約付き委任のセットアップ
詳細については、以下を参照してください:
シングル サインオン (SSO) が壊れ、認証を求めるメッセージが 1 回表示される
以下のようなシナリオが考えられます。
- Microsoft Edge や インターネット インフォメーション サービス (IIS) サーバーなどのクライアントおよびサーバー アプリケーション。 IIS サーバーは Windows 認証 (ネゴシエート) で構成されます。
- SMB クライアントや SMB サーバーなどのクライアントおよびサーバー アプリケーション。 既定では、SMB サーバーはネゴシエート セキュリティ サポート プロバイダー インターフェイス (SSPI) で構成されます。
ユーザーが Microsoft Edge を開き、内部 Web サイト http://webserver.contoso.comを参照します。 Web サイトは Negotiate で構成され、この Web サイトは認証を求めます。 ユーザーがユーザー名とパスワードを手動で入力すると、ユーザーは認証を受け、Web サイトは想定どおりに動作します。
Note
このシナリオは、クライアントとサーバーの例です。 トラブルシューティング手法は、統合Windows 認証で構成されているクライアントとサーバーで同じです。
統合Windows 認証は、ユーザー レベルまたはマシン レベルで破損しています。
トラブルシューティング方法
アプリケーションまたはマシン レベルで有効にできる統合認証設定のクライアント構成を確認します。 たとえば、すべての HTTP ベースのアプリケーションは、統合認証を実行しようとしたときに、信頼済みゾーン内にあるサイトを検索します。
すべての HTTP ベースのアプリケーションが Internet Explorer の構成に使用する inetcpl.cpl (Internet Options) を開き、Web サイトが イントラネットとして構成されているかどうかを確認。
アプリケーションには、統合Windows 認証を実行するための構成もあります。
Microsoft Edge または Internet Explorer には、有効にする設定 統合 Windows 認証を有効にする があります。
アプリケーションの構成を確認し、クライアント コンピューターは特定のサービス プリンシパル名 (SPN) の Kerberos チケットを取得できます。 この例では、SPN は
http/webserver.contoso.com。SPN が見つかると、次の成功メッセージが表示されます。
C:>klist get http/webserver.contoso.com Current LogonId is 0:0x9bd1f A ticket to http/webserver.contoso.com has been retrieved successfully.SPN が見つからない場合のエラー メッセージ:
C:>klist get http/webserver.contoso.com klist failed with 0xc000018b/-1073741429: The SAM database on the Windows Server does not have a computer account for this workstation trust relationship.
適切なユーザー、サービス、またはマシン アカウントに対応する SPN を識別して追加します。
SPN を取得できることを確認した場合は、次のコマンドを使用して、SPN が正しいアカウントに登録されているかどうかを確認できます。
setspn -F -Q */webserver.contoso.com
認証 DC 検出の問題
統合Windows 認証で構成されたアプリケーション サーバーでは、ユーザー/コンピューターとサービスを認証するためにドメイン コントローラー (DC) が必要です。
認証プロセス中にドメイン コントローラーに接続できないと、エラー 1355 が発生します。
指定されたドメインが存在しないか、接続できませんでした
統合Windows 認証で構成されたリソースにエラー 1355 でアクセスできない
Note
エラー メッセージはアプリケーションの観点から異なる場合がありますが、エラーの意味は、クライアントまたはサーバーがドメイン コントローラーを検出できないことです。
このようなエラー メッセージの例を次に示します。
-
ドメイン "Contoso" に参加中に次のエラーが発生しました:
指定したドメインが存在しないか、またはアクセスできません。 -
The Domain Controller for the domain contoso.com could not be found (ドメイン contoso.com のドメイン コントローラーが見つかりませんでした)
-
Could not contact domain Controller 1355 (ドメイン コントローラーにアクセスできませんでした: 1355)
問題の上位の原因
クライアントでの DNS 構成の誤り
ipconfig /allコマンドを実行し、DNS サーバーの一覧を確認できます。信頼されたドメインまたはフォレスト内のドメイン コントローラーでの DNS 構成の誤り
クライアントとドメイン コントローラーの間でブロックされているネットワーク ポート
DC 検出ポート: UDP 389 (UDP LDAP) と UDP 53 (DNS)
トラブルシューティングの手順
nslookupコマンドを実行して、DNS 構成の誤りを特定します。- クライアントとドメイン コントローラーの間で必要なポートを開きます。 詳しくは、「Active Directory ドメインと信頼のファイアウォールの構成方法」を参照してください。
ログ分析のテスト シナリオ
環境と構成
クライアント コンピューター
Client1.contoso.com(Windows 11 コンピューター) はドメインContoso.comに参加します。利用者
Johnユーザーは
Contoso.comに属し、クライアント コンピューターにサインインします。クライアント コンピューター上のインターネット オプション
すべての Web サイトは、ローカル イントラネット ゾーンの一部です。
[サーバー]
IISServer.contoso.com(Windows Server 2019) はドメインContoso.comに参加します。認証の構成
Windows 認証 は Enabled です。
![Windows 認証が有効になっていることを示す [インターネット インフォメーション サービス マネージャー] ウィンドウのスクリーンショット。](media/kerberos-authentication-troubleshooting-guidance/windows-authentication-enabled.png)
認証プロバイダー: ネゴシエート
有効なプロバイダーは次のように設定されます。
![[有効なプロバイダー] に [ネゴシエート] が含まれていることを示す [プロバイダー] ウィンドウのスクリーンショット。](media/kerberos-authentication-troubleshooting-guidance/enabled-providers-negotiate.png)
Authentication flow
- ユーザー
JohnClient1.contoso.comにサインインし、Microsoft Edge ブラウザーを開き、IISServer.contoso.comに接続します。 - クライアント コンピューターは、次の手順を実行します (上の図の手順 1)。
- DNS リゾルバーは
IISServer.contoso.comをキャッシュして、この情報が既にキャッシュされているかどうかを確認します。 - DNS リゾルバーは、HOSTS ファイルで、C:\Windows\System32\drivers\etc\Hosts にある
IISServer.contoso.comのマッピングをチェックします。 - (IP 構成設定で構成されている) 優先 DNS サーバーに DNS クエリを送信します。これは、環境内のドメイン コントローラーでもあります。
- DNS リゾルバーは
- ドメイン コントローラー上で実行されている DNS サービスは、構成済みのゾーンを調べたり、ホスト A レコードを解決したり、
IISServer.contoso.comの IP アドレスで応答したりします (上の図の手順 2)。 - クライアント マシンは、TCP ポート 80 で TCP 3 方向ハンドシェイクを実行して
IISServer.contoso.comします。 - クライアント マシンは、匿名の HTTP 要求を
IISServer.contoso.comに送信します。 - ポート 80 でリッスンしている IIS サーバーは、
Client1.contoso.comから要求を受信し、IIS サーバーの認証構成を調び、認証構成として Negotiate を使用してクライアント コンピューターに HTTP 401 チャレンジ応答を返します (上の図の手順 3)。 Client1.contoso.comで実行されている Microsoft Edge プロセスは、IIS サーバーが Negotiate で構成されていることを認識し、Web サイトがローカル イントラネット ゾーンの一部であるかどうかを確認します。 Web サイトがローカル イントラネット ゾーンにある場合、Microsoft Edge プロセスは LSASS.exe を呼び出して、SPNHTTP\IISServer.contoso.comを含む Kerberos チケットを取得します (上の図の手順 5)。- ドメイン コントローラー (KDC サービス) は、
Client1.contoso.comから要求を受信し、そのデータベースで SPNHTTP\IISServer.contoso.comを検索し、この SPN で構成されているIISServer.contoso.comを見つけます。 - ドメイン コントローラーは、IIS サーバーのチケットを使用して TGS 応答で応答します (上の図の手順 6)。
- クライアント コンピューター上の Microsoft Edge プロセスは、ドメイン コントローラーによって発行された Kerberos TGS チケットを使用して、Kerberos アプリケーション プロトコル (AP) 要求を IIS Web サーバーに送信します。
- IIS プロセスは、Web サーバー上の LSASS.exe を呼び出してチケットを復号化し、承認のために SessionID と Users グループ メンバーシップを持つトークンを作成します。
- IIS プロセスは、承認の決定を行い、ユーザーが AP 応答に接続できるように、 LSASS.exe からトークンへのハンドルを取得します。
ワークフローのネットワーク モニター分析
Note
以下のアクティビティを実行するには、ローカルの Administrators グループのユーザーである必要があります。
クライアント コンピューター (
Client1.contoso.com) にMicrosoft ネットワーク モニターをインストールします。管理者特権のコマンド プロンプト ウィンドウで次のコマンドを実行します (cmd.exe)。
ipconfig /flushdnsネットワーク モニターを起動します。
Microsoft Edge ブラウザーを開き、「
http://iisserver.contoso.com」と入力します。ネットワーク トレース分析:
ホスト A レコードのドメイン コントローラーに対する DNS クエリ:
IISServer.contoso.com。3005 00:59:30.0738430 Client1.contoso.com DCA.contoso.com DNS DNS:QueryId = 0x666A, QUERY (Standard query), Query for iisserver.contoso.com of type Host Addr on class Internetドメイン コントローラー上の DNS サービスからの DNS 応答。
3006 00:59:30.0743438 DCA.contoso.com Client1.contoso.com DNS DNS:QueryId = 0x666A, QUERY (Standard query), Response - Success, 192.168.2.104Client1.contoso.com上の Microsoft Edge プロセスは、IIS Web サーバーIISServer.contoso.com(匿名接続) に接続します。3027 00:59:30.1609409 Client1.contoso.com iisserver.contoso.com HTTP HTTP:Request, GET / Host: iisserver.contoso.comIIS サーバーは、HTTP 応答 401: ネゴシエートと NTLM (IIS サーバーで実行される構成) で応答します。
3028 00:59:30.1633647 iisserver.contoso.com Client1.contoso.com HTTP HTTP:Response, HTTP/1.1, Status: Unauthorized, URL: /favicon.ico Using Multiple Authetication Methods, see frame details WWWAuthenticate: Negotiate WWWAuthenticate: NTLMClient1.contoso.comからの Kerberos 要求は、SPN:HTTP/iisserver.contoso.comを使用してドメイン コントローラーDCA.contoso.comに送信されます。3034 00:59:30.1834048 Client1.contoso.com DCA.contoso.com KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/iisserver.contoso.comドメイン コントローラー
DCA.contoso.comは Kerberos 要求で応答します。Kerberos 要求には Kerberos チケットを含む TGS 応答があります。3036 00:59:30.1848687 DCA.contoso.com Client1.contoso.com KerberosV5 KerberosV5:TGS Response Cname: John Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.com Sname: HTTP/iisserver.contoso.comClient1.contoso.comの Microsoft Edge プロセスが、Kerberos AP 要求を使用して IIS サーバーに送信されるようになりました。3040 00:59:30.1853262 Client1.contoso.com iisserver.contoso.com HTTP HTTP:Request, GET /favicon.ico , Using GSS-API Authorization Authorization: Negotiate Authorization: Negotiate YIIHGwYGKwYBBQUCoIIHDzCCBwugMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYKKwYBBAGCNwICCqKCBtUEggbRYIIGzQYJKoZIhvcSAQICAQBugga8MIIGuKADAgEFoQMCAQ6iBwMFACAAAACjggTvYYIE6zCCBOegAwIBBaENGwtDT05UT1NPLkNPTaIoMCagAwIBAqEfMB0bBEhUVFAbF SpnegoToken: 0x1 NegTokenInit: ApReq: KRB_AP_REQ (14) Ticket: Realm: CONTOSO.COM, Sname: HTTP/iisserver.contoso.comIIS サーバーは、認証が完了したことを示す応答で応答します。
3044 00:59:30.1875763 iisserver.contoso.com Client1.contoso.com HTTP HTTP:Response, HTTP/1.1, Status: Not found, URL: / , Using GSS-API Authentication WWWAuthenticate: Negotiate oYG2MIGzoAMKAQChCwYJKoZIgvcSAQICooGeBIGbYIGYBgkqhkiG9xIBAgICAG+BiDCBhaADAgEFoQMCAQ+ieTB3oAMCARKicARuIF62dHj2/qKDRV5XjGKmyFl2/z6b9OHTCTKigAatXS1vZTVC1dMvtNniSN8GpXJspqNvEfbETSinF0ee7KLaprxNgTYwTrMVMnd95SoqBkm/FuY7WbTAuPvyRmUuBY3EKZEy NegotiateAuthorization: GssAPI: 0x1 NegTokenResp: ApRep: KRB_AP_REP (15)
klist ticketsコマンドを実行して、Client1.contoso.comのコマンド出力で Kerberos チケットを確認します。Client: John @ CONTOSO.COM Server: HTTP/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 0:59:30 (local) End Time: 11/28/2022 10:58:56 (local) Renew Time: 12/5/2022 0:58:56 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.comSuccess監査を示す IIS サーバー上のイベント ID 4624 を確認します。
既定では、
SuccessまたはFailure監査は、Windows のすべてのサーバー オペレーティング システムで有効になっています。 監査が有効になっているかどうかを確認するには、次のコマンドを実行します。監査が有効になっていない場合は、監査を有効にします。 次の一覧でログオン カテゴリを確認します。 確認できるように、ログオン サブカテゴリは
Success and Failureで有効になっています。C:\>auditpol /get /Subcategory:"logon" System audit policy Category/Subcategory Setting Logon/Logoff Logon Success and FailureSuccess and Failureでのログオンが観察されない場合は、コマンドを実行して有効にします。C:\>auditpol /set /subcategory:"Logon" /Success:enable /Failure:enable The command was successfully executed.
IISServer.contoso.com の成功セキュリティ イベント ID 4624 を確認する
次のフィールドを確認します。
Logon type: 3 (ネットワーク ログオン)Security IDNew Logonフィールド:Contoso\JohnSource Network Address: クライアント コンピューターの IP アドレスLogon ProcessとAuthentication Package:Kerberos
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 11/28/2022 12:59:30 AM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: IISServer.contoso.com
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No
Impersonation Level: Impersonation
New Logon:
Security ID: CONTOSO\John
Account Name: John
Account Domain: CONTOSO.COM
Logon ID: 0x1B64449
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {<GUID>}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: -
Source Network Address: 192.168.2.101
Source Port: 52655
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
認証ワークフローのトラブルシューティング
問題のトラブルシューティングを行うには、次のいずれかの方法を使用します。
IIS Web サーバー (
IISServer.contoso.com) の名前をClient1.contoso.comから解決できるかどうかを確認します。次のコマンドレットを使用して、DNS サーバーが正しい IIS サーバー IP アドレスに応答しているかどうかを確認します。
PS C:\> Resolve-DnsName -Name IISServer.contoso.com Name Type TTL Section IPAddress ---- ---- --- ------- --------- IISServer.contoso.com A 1200 Answer 192.168.2.104次のコマンドレットを使用して、クライアント コンピューターと IIS Web サーバー (
IISServer.contoso.com) の間でネットワーク ポートが開かれているかどうかを確認します。PS C:\> Test-NetConnection -Port 80 IISServer.contoso.com ComputerName : IISServer.contoso.com RemoteAddress : 192.168.2.104 RemotePort : 80 InterfaceAlias : Ethernet 2 SourceAddress : 192.168.2.101 TcpTestSucceeded : Trueドメイン コントローラーから Kerberos チケットを取得しているかどうかを確認します。
Web サイトにアクセスしようとしているユーザーのコンテキストで、通常のコマンド プロンプト (管理者コマンド プロンプトではない) を開きます。
klist purgeコマンドを実行します。次のように
klist get http/iisserver.contoso.comコマンドを実行します。PS C:\> klist get http/iisserver.contoso.com Current LogonId is 0:0xa8a98b A ticket to http/iisserver.contoso.com has been retrieved successfully. Cached Tickets: (2) #0> Client: John @ CONTOSO.COM Server: krbtgt/CONTOSO.COM @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize Start Time: 11/28/2022 1:28:11 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0x1 -> PRIMARY Kdc Called: DCA.contoso.com #1> Client: John @ CONTOSO.COM Server: http/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 1:28:11 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.comSPN
http/IISServer.contoso.comの Kerberos チケットがCached Ticket (2)列に表示されます。
IIS Web サービスが既定の資格情報を使用して IIS サーバーで実行されているかどうかを確認します。
Web サイトにアクセスしようとしているユーザーのコンテキストで、通常の PowerShell プロンプト (管理者 PowerShell プロンプトではない) を開きます。
PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials PS C:\> invoke-webrequest -Uri http://IIsserver.contoso.com -UseDefaultCredentials StatusCode : 200 StatusDescription : OK Content : <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" cont... RawContent : HTTP/1.1 200 OK Persistent-Auth: true Accept-Ranges: bytes Content-Length: 703 Content-Type: text/html Date: Mon, 28 Nov 2022 09:31:40 GMT ETag: "3275ea8a1d91:0" Last-Modified: Fri, 25 Nov 2022...IIS サーバーのセキュリティ イベント ログを確認します。
- 成功イベント ログ 4624
- エラー イベント ログ 4625
分離のプロセス: 以下のトラブルシューティング手順を使用して、IIS サーバー上の他のサービスが Kerberos 認証を処理できるかどうかを確認できます。
前提条件:
IIS サーバーは、サーバー バージョンの Windows を実行している必要があります。
IIS サーバーには、SMB (ポート 445) などのサービス用に開かれたポートが必要です。
新しい共有を作成するか、コンピューターで既に共有されているフォルダー (Software$ など) の読み取りアクセス許可をユーザー
Johnに付与します。Client1.contoso.comにサインインします。エクスプローラーを開きます。
「 \IISServer.contoso.com \Software$」と入力します。
IISServer.contoso.comでセキュリティ イベントを開き、イベント ID 4624 を確認します。ユーザーの
Johnとして、Client1.contoso.comで通常のコマンド プロンプトを開きます。klist ticketsコマンドを実行し、チケットCIFS/IISServer.contoso.comを確認します。#1> Client: John @ CONTOSO.COM Server: cifs/iisserver.contoso.com @ CONTOSO.COM KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96 Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize Start Time: 11/28/2022 1:40:22 (local) End Time: 11/28/2022 11:28:11 (local) Renew Time: 12/5/2022 1:28:11 (local) Session Key Type: AES-256-CTS-HMAC-SHA1-96 Cache Flags: 0 Kdc Called: DCA.contoso.comClient1.contoso.comでネットワーク トレースを収集します。 ネットワーク トレースを確認して、失敗したステップを確認して、手順をさらに絞り込んで問題のトラブルシューティングを行えるようにします。