こんにちわ、アイシーティーリンクの藤井です。

先日、Azure AD ConnectでオンプレAD環境をAzure ADへ同期した時の話です。

オンプレADは4つのフォレストで構成されており、シングルサインオンを利用する要件だったため、Azure AD Connect の構成で4つとも有効にしておりました（1つのフォレストは他の3フォレストと信頼関係で結ばれています）

この状態でAzure AD Connect を構築してAzure ADへ同期すると、Azure AD管理センターのシームレスなシングルサインオンの画面で下記のエラーとなってしまいました。

Kerberos 解読キーのロールオーバーをお勧めされましたが、詳細を見てもよく分かりませんでした。

その後、いろいろ調べると下記Microsoftの記事に辿り着きました。

[Azure Active Directory シームレス シングル サインオンのトラブルシューティングを行う]

記事によると、フォレスト間で信頼関係がある場合は、1つのフォレストのみシングルサインオンを有効にするだけで十分とのこと。

どうやら、シームレスSSOを有効にするポリシーがあり、そのポリシーには25,600文字の文字数制限があるので、4フォレストをシングルサインオン有効にしたことにより文字数の制限に引っかかった模様。

そのため、一旦シングルサインオンを無効にしてAzure AD Connectを構成し、

再度、Azure AD Connect構成ウィザードから、信頼されている1つのフォレストのみシングルサインオンを有効にして構成すると、

エラーが解消しました！

危なくKerberos 解読キーのロールオーバーでハマるところでした。。。

複数のフォレストをAzure AD Connectで同期する際は、お気を付けください。

このように弊社は、オンプレAD環境からAzure ADのクラウド環境への移行作業もおこなっておりますので、ご検討の方は下記リンクよりお気軽にお問い合わせくださいませ。

お問い合わせ – アイシーティーリンク株式会社 (ictlink.jp)