AD FS 2.0 事例紹介 「ADMIN0017: 構成サービスへの接続中に例外が発生しました。」

皆様、こんにちは。Windows プラットフォーム サポート担当の田中です。

クラウド システムの台頭と共に、認証機能の連携のために利用いただくことが多くなりました、「AD FS 2.0 サーバー」につきまして、よくお問い合わせいただきます事例をご紹介いたします。
以下ご紹介いたします問題は、AD FS の機能以外にも問題を引き起こすため、ご利用の環境が同様の問題が発生し得る状況でないか、ご確認いただけましたら幸いです。

1) 問題の概要
ある日を境に、AD FS サーバーの認証でエラーが発生するようになった。
AD FS Proxy サーバー経由でのみ問題が発生する場合や、AD FS サーバーに直接認証する場合にも問題が発生する場合がある。
AD FS 2.0 管理コンソール起動時に、「AD FS 構成データベースへのアクセス中にエラーが発生しました。エラー メッセージ: 使用可能な Winsock リソースが不足しているため、ソケット接続を開始できません。」というエラーメッセージが表示されたり、AD FS 2.0/Admin エラーの詳細部分に "ADMIN0017: 構成サービスへの接続中に例外が発生しました。構成サービスの URL 'net.tcp://localhost:1500/policy' が間違っているか、または AD FS 2.0 Windows サービスが実行されていません。" と記録される。

2) 一時的な対処策
技術情報 2553549 に記載の問題が発生している可能性があります。
Windows Server 2008、Windows Server 2008 R2 の OS では、起動後 497 日を経過すると TIME_WAIT 状態の TCP ポートがクローズされずに残存し続ける問題があります。
結果、利用できる TCP ポートがなくなり、本問題が発生し得ます。

該当のエラーが表示・記録されるサーバーを再起動することで、一旦問題を回避できます。
ただし、再起動をしてから 497 日が改めて経過すると、同様の問題が発生し得ます。

3) 恒久対処策
技術情報 2553549 にて公開しております修正プログラムを適用し、再起動いただくことで本問題は発生しなくなります。
なお、Windows Server 2008 R2 に対しては、技術情報 2688338、技術情報 2790655、技術情報 2845690、技術情報 2868623 に同修正が含まれています。

4) 補足
再起動後、どれだけの日数連続稼働しているか、については、イベント ビューアーからシステム ログを開き、EventLog ID: 6013 のログの内容から確認すること可能です。

5) 参考資料
タイトル: Windows Vista、Windows 7、Windows Server 2008 および Windows Server 2008 R2 で、システム起動から 497 日経過すると、TIME_WAIT 状態であるすべての TCP/IP ポートが閉じられない
URL: https://support.microsoft.com/kb/2553549/ja

タイトル: [MS12-032] TCP/IP の脆弱性により、特権が昇格される (2012 年 5 月 8 日)
URL: https://support.microsoft.com/kb/2688338

タイトル: [MS13-018] TCP/IP の脆弱性により、サービス拒否が起こる (2013 年 2 月 12 日)
URL: https://support.microsoft.com/kb/2790655

タイトル: [MS13-049] カーネルモード ドライバーの脆弱性により、サービス拒否が起こる (2013 年 6 月 11 日)
URL: https://support.microsoft.com/kb/2845690

タイトル: [MS13-065] ICMPv6 の脆弱性により、サービス拒否が起こる (2013 年 8 月 13 日)
URL: https://support.microsoft.com/kb/2868623

「コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。」