こんにちは。いつも Office 365 を利用いただきまして、ありがとうございます。
今回は、Office 365 に関する問題をトラブルシューティングする際に必要となる情報採取プランの中で
「c. HTTP トレース」の採取手順をご案内します。
この記事は、Office 365 サポートにお問い合わせいただく際に事前に確認いただく内容 の一部です。
Office 365 サポートにお問い合わせいただいていることを前提に、情報採取ツールの使用方法をご案内いたします。
※情報採取ツールでは、HTTP トレースと PSR(画面遷移)を同時に採取します。
▼弊社ツールを使用する方法
--------------------------------------
事前準備
--------------------------------------
1. [IdentityAuthTracing_Diagnostic_global.diagcab] を直接 http://aka.ms/icesdptool からダウンロードします。
2. ダウンロードした [IdentityAuthTracing_Diagnostic_global.diagcab] をダブルクリックで起動します。
3. [Office のサインインと認証の診断] 画面が表示されましたら、[次へ] をクリックします。
4. [Office のサインインと認証の診断] 画面が [はじめに] の説明が表示されている画面に切り替わりましたら、[次へ] ボタンをクリックします。
5. Fiddler の証明書をインストールするためのダイアログ ボックスが表示されますので、[はい] をクリックします。
※ 証明書のインストール画面がダイアログ ボックスの裏に起動する場合がございます。証明書のインストール画面が表示されない場合は、[問題の検出をしています] 画面のウィンドウを移動し、ウィンドウ裏に証明書インストールの画面が起動していないかご確認ください。
6. [次へをクリックすると、ログの記録が開始されます。] とダイアログ ボックスに表示されるので [次へ] をクリックします。
※ ウィザードにより、開いているすべての Office アプリケーションおよび実行中のプロセスが閉じます。いずれかが開いている場合は警告が表示され、作業を保存して閉じる時間が提供されます。何も開いていなければ、割り当てられた時間が終了するとプロセスも終了します。
7. [ログ記録は行われています] の画面が表示されましたら、事象の再現手順の操作を開始します。
--------------------------------------
事象再現
--------------------------------------
例えば Office 365 ポータル(https://portal.office.com)にアクセスし、事象が発生する操作を行います。
--------------------------------------
情報採取
--------------------------------------
1. 事象の再現手順の操作が完了いたしましたら、[ここでキャプチャーを終了します] をクリックします。
2. 事前準備にてインストールした Fiddler の証明書の削除を実行するセキュリティ警告が表示されますので、[はい] をクリックします。
3. トレース ファイルを保護するためのパスワードが求められますので、任意のパスワードを入力し、[わかりました] のボタンをクリックします。
4. [インストールされている OffCAT のままにしますか。] の画面が表示されましたら、任意の選択肢をクリックします。
5. [トラブルシューティング ツールを終了する] をクリックし、診断ツールを終了します。
上記の手順にて、以下のファイルパスにトレース ファイルが格納されたフォルダーが出力されます。
<出力されるファイルパス>
C:\Users\<PC のユーザー名>\AppData\Local\ElevatedDiagnostics
※ 上記ファイルパスには隠しフォルダーが含まれます。
隠しフォルダーの表示方法が不明な場合は、以下の手順で対象のフォルダーが表示可能かご確認ください。
1. [Windows キー] + [R] のショートカットキーで [ファイル名を指定して実行] の画面を起動します。
2. [名前] の入力欄に上記パスを入力し、[OK] をクリックします。
上記のパスに生成されたフォルダーの中から、フォルダー名が "Fiddler.zip" ならびに、"IssueSteps.zip" が末尾に記載された 2 つの Zip フォルダーを、当窓口までご提供ください。
また、ご提供いただいたファイルの確認を行うために、お客様にて入力いただきましたパスワードが必要になりますので、併せてお知らせください。
なお、弊社ツールによる情報採取が難しい場合は、3rd Party 製ツールである Fiddler を使用する方法もございますので、参考として情報採取手順を紹介いたします。
※Internet Explorer / Chrome にて動作確認ください。Edge / Firefox をお使いの場合は、ご相談ください。
※Fiddler で HTTP トレースを採取する場合、情報採取プラン(a. PSR)も一緒に採取ください。
▼Fiddler を使用する方法
--------------------------------------
事前準備
--------------------------------------
1. 以下の Web サイトより、Fiddler for .NET4 をダウンロードします。
https://www.telerik.com/download/fiddler
2. Fiddler4Setup.exe をダブルクリックし、インストールします。
3. インストール完了後、[スタート] - [すべてのプログラム] - [Fiddler4] を選択し、Fiddler4 ツールを起動します。
4. [Tools] - [Fiddler Options] を選択し、[HTTPS] タブに移動します。
5. [Capture HTTPS CONNECTs] および [Decrypt HTTPS traffic] のチェック ボックスをオンにします。
6. WARNING が表示されましたら、 [YES] をクリックします。更に、セキュリティ警告が表示されましたら、 [はい] をクリックします。
これにより、個人ストア、および信頼されたルート証明機関ストアに発行者が "DO_NOT_TRUST_FiddlerRoot" である証明書が追加されます。
7. [Ignore server certificate errors] にチェックを入れます。
8. [OK] をクリックし、Fiddler Options を閉じます。
9. ブラウザーを全て終了します。他にも Fiddler 以外のウィンドウが開いている場合はすべて終了してください。
10. 左側の画面で Ctrl+A を押下し、すべてを選択した状態で Del キーを押下し、現在記録されている情報を削除します。
11. [File] - [Capture Traffic] のチェックをオンにして、Fiddler トレースの取得を開始します。
--------------------------------------
事象再現
--------------------------------------
例えば Office 365 ポータル(https://portal.office.com)にアクセスし、事象が発生する操作を行います。
--------------------------------------
情報採取
--------------------------------------
1. 再現手順が完了しましたら、[File] - [Save] - [All Sessions] を選択し、Password Protected SAZ(*.saz) 形式でログを保存します。
2. パスワードの設定が求められますので、入力します。
3. 保存されたファイルを提供ください。
4. パスワードは、別途お問い合わせの担当者にご連絡ください。絶対にファイルと一緒にパスワードを保管したりメールに添付したりしないでください。
--------------------------------------
事後作業
--------------------------------------
下記の手順にて Fiddler をアンインストールすることができます。不要な場合は、アンインストールを実施ください。
1. コントロール パネルから [プログラムと機能] を選択します。
2. Fiddler4 をダブル クリックし、"Uninstall" ボタンをクリックします。
3. C:\Program Files 配下にある Fiddler4 フォルダを削除します。
4. [スタート] - [ファイル名を指定して実行] より certmgr.msc と入力し、Enter キーを押下します。
5. 証明書管理スナップインの左ペインから、[個人] - [証明書] を展開し、右ペインから発行者が "DO_NOT_TRUST_FiddlerRoot" となっている全ての証明書に関して、証明書を右クリックし、"削除" を選択し、証明書を削除します。
6. 証明書管理スナップインの左ペインから、[信頼されたルート証明機関] - [証明書] を展開し、右ペインから発行者が DO_NOT_TRUST_FiddlerRoot" となっている全ての証明書に関して、証明書を右クリックし、"削除" を選択し、証明書を削除します。
★★★Federated ユーザーでの Fiddler ログ採取について★★★
AD FS での拡張保護機能が有効の状態で Fiddler を起動しますと、Fiddler が介入攻撃者として認識され、正常に情報採取できない事象が報告されています。
この場合、ログ採取を実施いただく際のみ当該機能を無効化していただき、作業後に元に戻す運用をご検討ください。
AD FS サーバーでの操作手順は、下記の通りです。
--------------------------------------
AD FS 3.0 の拡張保護機能無効化
--------------------------------------
まずは、以下をプライマリ AD FS サーバーのみで行います。
1. 管理者権限で PowerShell を開き、以下を実行します。
Get-AdfsProperties | select ExtendedProtectionTokenCheck
2. 現在の ExtendedProtectionTokenCheck の値 (既定は Allow) を確認します。
3. 続けて以下のコマンドを実行します。
Set-AdfsProperties -ExtendedProtectionTokenCheck None
元に戻す場合は以下を実行します。
Set-AdfsProperties -ExtendedProtectionTokenCheck <2. で確認した元の値>
続いて、以下を全 AD FS サーバーで行います。
1. [サービス] コンソールから以下のサービスを再起動します。
Active Directory Federation Services
--------------------------------------
AD FS 2.0 の拡張保護機能無効化
--------------------------------------
以下を全 AD FS サーバーで行います。
1. AD FS サーバーにて IIS マネージャーを起動します。
2. [Default Web Site] - [adfs] - [ls] を展開します。
3. 中央のペインより [認証] を開きます。
4. [Windows 認証] を選択し、右側のペインより [詳細設定] を選択します。
5. "拡張保護" をオフにします。
※AD FS 2.0 の場合は、サービスの再起動は不要です。
- 参考情報
AD FS 2.0: Continuously Prompted for Credentials While Using Fiddler Web Debugger
https://social.technet.microsoft.com/wiki/contents/articles/1426.ad-fs-2-0-continuously-prompted-for-credentials-while-using-fiddler-web-debugger.aspx
Extended Protection for Authentication Overview
https://msdn.microsoft.com/library/dd767318(v=vs.90).aspx
弊社ツール(MSDT)および Fiddler どちらの方法でも情報採取が難しい環境の場合、ブラウザーの標準機能である F12 トレースを使用する方法もございますので、こちらも参考として情報採取手順を紹介いたします。
使用されているブラウザーごとに手順を記載しましたので、参照ください。
・Internet Explorer
・Edge
・Chrome
・Firefox
- 参考情報
再現手順の取得と Office 365 サポートへ取得したファイルを送信する手順
https://answers.microsoft.com/wiki/e2fea319-2875-471c-9f68-48617361dd6f