情報採取プラン(c. HTTP トレース)


こんにちは。いつも Office 365 を利用いただきまして、ありがとうございます。

今回は、Office 365 に関する問題をトラブルシューティングする際に必要となる情報採取プランの中で

「c. HTTP トレース」の採取手順をご案内します。

この記事は、Office 365 サポートにお問い合わせいただく際に事前に確認いただく内容 の一部です。

Office 365 サポートにお問い合わせいただいていることを前提に、情報採取ツールの使用方法をご案内いたします。

※情報採取ツールでは、HTTP トレースと PSR(画面遷移)を同時に採取します。

 

▼弊社ツールを使用する方法

--------------------------------------

事前準備

--------------------------------------

1. [IdentityAuthTracing_Diagnostic_global.diagcab] を直接 http://aka.ms/icesdptool からダウンロードします。

2. ダウンロードした [IdentityAuthTracing_Diagnostic_global.diagcab] をダブルクリックで起動します。

3. [Office のサインインと認証の診断] 画面が表示されましたら、[次へ] をクリックします。

4. [Office のサインインと認証の診断] 画面が [はじめに] の説明が表示されている画面に切り替わりましたら、[次へ] ボタンをクリックします。

5. Fiddler の証明書をインストールするためのダイアログ ボックスが表示されますので、[はい] をクリックします。

※ 証明書のインストール画面がダイアログ ボックスの裏に起動する場合がございます。証明書のインストール画面が表示されない場合は、[問題の検出をしています] 画面のウィンドウを移動し、ウィンドウ裏に証明書インストールの画面が起動していないかご確認ください。

 

6. [次へをクリックすると、ログの記録が開始されます。] とダイアログ ボックスに表示されるので [次へ] をクリックします。

※ ウィザードにより、開いているすべての Office アプリケーションおよび実行中のプロセスが閉じます。いずれかが開いている場合は警告が表示され、作業を保存して閉じる時間が提供されます。何も開いていなければ、割り当てられた時間が終了するとプロセスも終了します。

 

 7. [ログ記録は行われています] の画面が表示されましたら、事象の再現手順の操作を開始します。

 

--------------------------------------

事象再現

--------------------------------------

例えば Office 365 ポータル(https://portal.office.com)にアクセスし、事象が発生する操作を行います。

 

--------------------------------------

情報採取

--------------------------------------

1. 事象の再現手順の操作が完了いたしましたら、[ここでキャプチャーを終了します] をクリックします。

2. 事前準備にてインストールした Fiddler の証明書の削除を実行するセキュリティ警告が表示されますので、[はい] をクリックします。

3. トレース ファイルを保護するためのパスワードが求められますので、任意のパスワードを入力し、[わかりました] のボタンをクリックします。

4. [インストールされている OffCAT のままにしますか。] の画面が表示されましたら、任意の選択肢をクリックします。

5. [トラブルシューティング ツールを終了する] をクリックし、診断ツールを終了します。

 

上記の手順にて、以下のファイルパスにトレース ファイルが格納されたフォルダーが出力されます。

 

<出力されるファイルパス>

C:\Users\<PC のユーザー名>\AppData\Local\ElevatedDiagnostics

 

※ 上記ファイルパスには隠しフォルダーが含まれます。

隠しフォルダーの表示方法が不明な場合は、以下の手順で対象のフォルダーが表示可能かご確認ください。

 

1. [Windows キー] + [R] のショートカットキーで [ファイル名を指定して実行] の画面を起動します。

2. [名前] の入力欄に上記パスを入力し、[OK] をクリックします。

 

上記のパスに生成されたフォルダーの中から、フォルダー名が "Fiddler.zip" ならびに、"IssueSteps.zip" が末尾に記載された 2 つの Zip フォルダーを、当窓口までご提供ください。

また、ご提供いただいたファイルの確認を行うために、お客様にて入力いただきましたパスワードが必要になりますので、併せてお知らせください。

 

お、弊社ツールによる情報採取が難しい場合は、3rd Party 製ツールである Fiddler を使用する方法もございますので、参考として情報採取手順を紹介いたします。

※Internet Explorer / Chrome にて動作確認ください。Edge / Firefox をお使いの場合は、ご相談ください。

※Fiddler で HTTP トレースを採取する場合、情報採取プラン(a. PSR)も一緒に採取ください。

 

▼Fiddler を使用する方法

--------------------------------------

事前準備

--------------------------------------

1. 以下の Web サイトより、Fiddler for .NET4 をダウンロードします。

https://www.telerik.com/download/fiddler

 

2. Fiddler4Setup.exe をダブルクリックし、インストールします。

3. インストール完了後、[スタート] - [すべてのプログラム] - [Fiddler4] を選択し、Fiddler4 ツールを起動します。

4. [Tools] - [Fiddler Options] を選択し、[HTTPS] タブに移動します。

5. [Capture HTTPS CONNECTs] および [Decrypt HTTPS traffic] のチェック ボックスをオンにします。

6. WARNING が表示されましたら、 [YES] をクリックします。更に、セキュリティ警告が表示されましたら、 [はい] をクリックします。

これにより、個人ストア、および信頼されたルート証明機関ストアに発行者が "DO_NOT_TRUST_FiddlerRoot" である証明書が追加されます。

 

7. [Ignore server certificate errors] にチェックを入れます。

8. [OK] をクリックし、Fiddler Options を閉じます。

9. ブラウザーを全て終了します。他にも Fiddler 以外のウィンドウが開いている場合はすべて終了してください。

10. 左側の画面で Ctrl+A を押下し、すべてを選択した状態で Del キーを押下し、現在記録されている情報を削除します。

11. [File] - [Capture Traffic] のチェックをオンにして、Fiddler トレースの取得を開始します。

 

--------------------------------------

事象再現

--------------------------------------

例えば Office 365 ポータル(https://portal.office.com)にアクセスし、事象が発生する操作を行います。

 

--------------------------------------

情報採取

--------------------------------------

1. 再現手順が完了しましたら、[File] - [Save] - [All Sessions] を選択し、Password Protected SAZ(*.saz) 形式でログを保存します。

2. パスワードの設定が求められますので、入力します。

3. 保存されたファイルを提供ください。

 4. パスワードは、別途お問い合わせの担当者にご連絡ください。絶対にファイルと一緒にパスワードを保管したりメールに添付したりしないでください。

 

--------------------------------------

事後作業

--------------------------------------

下記の手順にて Fiddler をアンインストールすることができます。不要な場合は、アンインストールを実施ください。

 

1. コントロール パネルから [プログラムと機能] を選択します。

2. Fiddler4 をダブル クリックし、"Uninstall" ボタンをクリックします。

3. C:\Program Files 配下にある Fiddler4 フォルダを削除します。

4. [スタート] - [ファイル名を指定して実行] より certmgr.msc と入力し、Enter キーを押下します。

5. 証明書管理スナップインの左ペインから、[個人] - [証明書] を展開し、右ペインから発行者が "DO_NOT_TRUST_FiddlerRoot" となっている全ての証明書に関して、証明書を右クリックし、"削除" を選択し、証明書を削除します。

6. 証明書管理スナップインの左ペインから、[信頼されたルート証明機関] - [証明書] を展開し、右ペインから発行者が DO_NOT_TRUST_FiddlerRoot" となっている全ての証明書に関して、証明書を右クリックし、"削除" を選択し、証明書を削除します。

 

★★★Federated ユーザーでの Fiddler ログ採取について★★★

AD FS での拡張保護機能が有効の状態で Fiddler を起動しますと、Fiddler が介入攻撃者として認識され、正常に情報採取できない事象が報告されています。

この場合、ログ採取を実施いただく際のみ当該機能を無効化していただき、作業後に元に戻す運用をご検討ください。

 

AD FS サーバーでの操作手順は、下記の通りです。

 

--------------------------------------

AD FS 3.0 の拡張保護機能無効化

--------------------------------------

まずは、以下をプライマリ AD FS サーバーのみで行います。

1.  管理者権限で PowerShell を開き、以下を実行します。
Get-AdfsProperties | select ExtendedProtectionTokenCheck

2. 現在の ExtendedProtectionTokenCheck の値 (既定は Allow) を確認します。

3. 続けて以下のコマンドを実行します。
Set-AdfsProperties -ExtendedProtectionTokenCheck None

元に戻す場合は以下を実行します。
Set-AdfsProperties -ExtendedProtectionTokenCheck <2. で確認した元の値>

 

続いて、以下を全 AD FS サーバーで行います。

1. [サービス] コンソールから以下のサービスを再起動します。
Active Directory Federation Services

 

--------------------------------------

AD FS 2.0 の拡張保護機能無効化

--------------------------------------

以下を全 AD FS サーバーで行います。

1.  AD FS サーバーにて IIS マネージャーを起動します。

2. [Default Web Site] - [adfs] - [ls] を展開します。

3. 中央のペインより [認証] を開きます。

4. [Windows 認証] を選択し、右側のペインより [詳細設定] を選択します。

5. "拡張保護" をオフにします。

※AD FS 2.0 の場合は、サービスの再起動は不要です。

 

- 参考情報
AD FS 2.0: Continuously Prompted for Credentials While Using Fiddler Web Debugger
https://social.technet.microsoft.com/wiki/contents/articles/1426.ad-fs-2-0-continuously-prompted-for-credentials-while-using-fiddler-web-debugger.aspx

Extended Protection for Authentication Overview
https://msdn.microsoft.com/library/dd767318(v=vs.90).aspx


弊社ツール(MSDT)および
Fiddler どちらの方法でも情報採取が難しい環境の場合、ブラウザーの標準機能である F12 トレースを使用する方法もございますので、こちらも参考として情報採取手順を紹介いたします。

使用されているブラウザーごとに手順を記載しましたので、参照ください。

Internet Explorer
Edge
Chrome
Firefox

 

- 参考情報

再現手順の取得と Office 365 サポートへ取得したファイルを送信する手順

https://answers.microsoft.com/wiki/e2fea319-2875-471c-9f68-48617361dd6f

 


Skip to main content