シームレスSSO環境でのAADC(Azure AD Connect)サーバー入れ替えで発生したエラーについて

備忘録として記載する記事になります。
検証環境のスペック的にサーバーを何台も起動出来ないため、節約のために、AADCサーバーをADと統合(1台)する作業を行いました。

その際に気づいたことをメモとして記述します。

新AADCサーバーでシングルサインオンを構成するとエラーが出た

新AADCの構成ウィザードで シングルサインオンを 進めた際、”コンピューターアカウントの検索中にエラーが表示されました”というエラーが表示され、シングルサインオンを構成することができませんでした。

まったくわからず、 この時点では、古いAADCサーバーをステージングモードにしただけでしたのでシングルサインオンを解除してみました。

結果は変わらず。

もう一度エラー内容を読み返したときに気づき、シームレスシングルサインオンを 構成するときに作成されるリモートコンピューターオブジェクト「AZUREADSSOACC」を 見ると、古いAADCでシームレスシングルサインオンを構成したときに作成された オブジェクトの状態のままとなっておりました。

「AZUREADSSOACC」・・オンプレミスのユーザーがシームレスシングルサインオンするために 必要となるAzureADへのST(サービスチケット)を提示するオブジェクト

このコンピューターオブジェクトは自動で更新されなかったので、手動削除しないといけないみたいです。

2020/12 追記
[Azure AD Connect:バージョンのリリース履歴]の公開情報より、 2020年7月29日 の以下更新内容に本事象が改善されるような記事がありました。ご利用のAADCサーバーのバージョンによっては本事象が発生しないかもしれません。

1.5.45.0
修正する問題
AZUREADSSOACC コンピューター アカウントが “” に既に存在する場合、管理者が “シームレス シングル サインオン” を有効にできない問題を解決しました。

削除前に何かあったときのことも考慮し、ADのごみ箱機能を有効化しておいたほうがいいかもしれませんね。
ごみ箱から復元して戻るかは確認していませんが、やらないよりかはマシかと。。


手動削除後、新AADCで構成してみると、正常にウィザードが構成されることを確認しました。