インターネットとSaaSへのセキュアなアクセス(ZIA)
Kerberos認証のZIAエラーコード
Kerberos認証に失敗すると、Zscalerサービスはエラーコードを含むページを表示します。次のテーブルに、Kerberos認証エラーコードに関する情報を示します。Kerberosのトラブルシューティング方法については、[Kerberosのトラブルシューティングを参照してください。
| エラーコード | 説明 | 発生時期 | やるべきこと |
|---|---|---|---|
|
391000 |
ページを読み込むことができません。 |
汎用的なエラーコードです。 |
Zscalerサポートに連絡してください。 |
|
441000, 461000 |
ユーザーが見つかりません。 |
ユーザーが削除されたか、登録済みドメインで見つかりません。 |
ユーザーを追加します。 |
|
451000 |
ドメインが存在しません。 |
レルムはZscalerサービス上で登録されたドメインではありません。 |
Zscalerサポートに連絡して、レルムを登録ドメインとして追加してください。 |
|
471000 |
プロキシ許可ヘッダーに、エンコードされたKerberosチケットが含まれていません。ほとんどの場合、これはNTLMが使用されたことを意味します。 |
トラフィックはZIA Public Service EdgeのIPアドレスに送信されました。Kerberos PACファイルの代わりに、デフォルトのZscaler PACファイルが使用されました。 症状:klistには、ZIA Public Service EdgeとKDCのどちらのチケットも表示されません。 |
PACファイルを変更します。KerberosのPACファイルを使用してください。 |
|
471000 |
ユーザーのコンピューターにGPOの更新がない、GPOの更新がドメインコントローラーにない、またはユーザーがドメインにログインしていない場合です。 症状:ユーザーのコンピューターからのトラフィックキャプチャでは、Zscalerチケットのクエリがドメインコントローラーに表示されません。 |
レジストリ設定を確認し、ユーザーのコンピューターにZscaler Kerberosの設定があることを確認します。コンピュータ上にない場合は、ドメインコントローラにGPO設定があることを確認します。 ユーザーがドメインにログインしていることを確認します。 |
|
|
471000 |
AES暗号化は、ドメイン コントローラーのレルム信頼で有効になっていません。 症状:klistには、ZIA Public Service EdgeとKDCのどちらのチケットも表示されません。 トラフィックキャプチャでは、ドメインコントローラーがETYPE_NOSUPPエラーを返していることが確認できます。 |
レルムの信頼関係を修正し、AES暗号化オプションを選択します。 |
|
|
471000 |
ドメインコントローラーにレルム信頼関係が設定されていないか、レルム信頼が不正なパスワードで設定されています。 症状:klistには、Zscaler KDC またはZIA Public Service Edgeのチケットが表示されません。 トラフィックキャプチャでは、ドメインコントローラーがPRINCIPAL_UNKNOWNエラーを返していることがわかります。 |
レルム信頼設定を確認します。realm名が大文字であること、Zscalerのクラウド名が正しいことを確認します。クラウド名を確認する方法については、[ZIAのクラウド名とはを参照してください。 両方が正しい場合は、組織のレルムとZscalerレルムのパスワードが一致しない可能性があります。ZIA管理ポータルにログインし、信頼パスワードを再生成してコピーします。ドメイン コントローラーで、「Windows Server 2012およびGPOプッシュ用Kerberos信頼関係設定ガイド」の説明に従って、信頼構成を削除して新しいものを作成します。ZIA管理ポータルからコピーした、新しく生成されたパスワードを使用していることを確認してください。 |
|
|
471000 |
ユーザーのコンピューターがドメインコントローラーに接続できません。 症状:klist purgeを実行してチケットを消去し、ブラウザーを更新してから、klistを再度実行すると、ドメインコントローラーのものを含む、Kerberosチケットが表示されません。 |
コンピューターがドメインコントローラーに連絡できることを確認します。 ユーザーがDirectAccessを使用している場合、netsh name show effectivepolicyを実行し、DirectAccessクライアントがワークステーションをイントラネット内と見なすか、外部と見なすかを確認することができます。 |
|
|
48100 |
Kerberos資格情報のエンコーディングが無効です。 |
ヘッダーが破損している可能性があります。ヘッダを破損している可能性のある中間プロキシやL7デバイスが存在しないことを確認してください。 |
Zscalerサポートに連絡してください。 |
|
491000, 501000 (発生件数 1件) |
Kerberosトークンまたはユーザー名が無効です。 |
コンピューターの時刻が正しくありません。 |
Kerberosは、クロックが同期していることに非常に敏感です。コンピュータの時刻が正しく、NTP サーバと同期していることを確認します。 |
|
491000, 501000 (発生件数 2件) |
その他の問題。 |
Zscalerサポートに連絡してください。 |
|
|
510000 |
ユーザー名が長すぎます。 |
ユーザーのログイン名が最大許容文字数を超えています。 |
Zscalerサポートに連絡してください。 |