(この記事は 2018 年 8 月 6 日 に Exchange ブログ JAPAN に投稿された記事
情報採取プラン(c. HTTP トレース) の再投稿です。)
こんにちは。いつも Office 365 を利用いただきまして、ありがとうございます。
今回は、Office 365 に関する問題をトラブルシューティングする際に必要となる情報採取プランの中で
「c. HTTP トレース」の採取手順をご案内します。
この記事は、Office 365 サポートにお問い合わせいただく際に事前に確認いただく内容 の一部です。
Office 365 サポートにお問い合わせいただいていることを前提に、情報採取ツールの使用方法をご案内いたします。
※3rd Party 製ツールである Fiddler を使用して情報採取を行います。
※Internet Explorer / Chrome にて動作確認ください。Edge
/ Firefox
をお使いの場合は、ご相談ください。
※HTTP トレースを採取する場合、情報採取プラン(a. PSR)も一緒に採取ください。
▼Fiddler を使用する方法
--------------------------------------
事前準備
--------------------------------------
1. 以下の Web サイトより、Fiddler for .NET4
をダウンロードします。
https://www.telerik.com/download/fiddler
2. Fiddler4Setup.exe をダブルクリックし、インストールします。
3. インストール完了後、[スタート] - [すべてのプログラム] - [Fiddler4]
を選択し、Fiddler4 ツールを起動します。
4. [Tools] - [Fiddler Options] を選択し、[HTTPS]
タブに移動します。
5. [Capture HTTPS CONNECTs] および [Decrypt HTTPS traffic]
のチェック ボックスをオンにします。
6. WARNING が表示されましたら、 [YES]
をクリックします。更に、セキュリティ警告が表示されましたら、 [はい]
をクリックします。
これにより、個人ストア、および信頼されたルート証明機関ストアに発行者が "DO_NOT_TRUST_FiddlerRoot"
である証明書が追加されます。
7. [Ignore server certificate errors] にチェックを入れます。
8. [OK] をクリックし、Fiddler Options
を閉じます。
9. ブラウザーを全て終了します。他にも Fiddler 以外のウィンドウが開いている場合はすべて終了してください。
10. 左側の画面で Ctrl+A を押下し、すべてを選択した状態で Del
キーを押下し、現在記録されている情報を削除します。
11. [File] - [Capture Traffic] のチェックをオンにして、Fiddler
トレースの取得を開始します。
--------------------------------------
事象再現
--------------------------------------
例えば Office
365 ポータル(https://portal.office.com)にアクセスし、事象が発生する操作を行います。
--------------------------------------
情報採取
--------------------------------------
1. 再現手順が完了しましたら、[File] - [Save] - [All Sessions] を選択し、Password
Protected SAZ(*.saz) 形式でログを保存します。
2. パスワードの設定が求められますので、入力します。
3. 保存されたファイルを提供ください。
4. パスワードは、別途お問い合わせの担当者にご連絡ください。絶対にファイルと一緒にパスワードを保管したりメールに添付したりしないでください。
--------------------------------------
事後作業
--------------------------------------
下記の手順にて Fiddler
をアンインストールすることができます。不要な場合は、アンインストールを実施ください。
1. コントロール パネルから [プログラムと機能]
を選択します。
2. Fiddler4 をダブル クリックし、"Uninstall"
ボタンをクリックします。
3. C:\Program Files 配下にある Fiddler4
フォルダを削除します。
4. [スタート] - [ファイル名を指定して実行]
より certmgr.msc と入力し、Enter
キーを押下します。
5. 証明書管理スナップインの左ペインから、[個人] - [証明書]
を展開し、右ペインから発行者が "DO_NOT_TRUST_FiddlerRoot"
となっている全ての証明書に関して、証明書を右クリックし、"削除"
を選択し、証明書を削除します。
6. 証明書管理スナップインの左ペインから、[信頼されたルート証明機関] - [証明書]
を展開し、右ペインから発行者が DO_NOT_TRUST_FiddlerRoot"
となっている全ての証明書に関して、証明書を右クリックし、"削除"
を選択し、証明書を削除します。
★★★Federated ユーザーでの Fiddler ログ採取について★★★
AD FS での拡張保護機能が有効の状態で Fiddler を起動しますと、Fiddler が介入攻撃者として認識され、正常に情報採取できない事象が報告されています。
この場合、ログ採取を実施いただく際のみ当該機能を無効化していただき、作業後に元に戻す運用をご検討ください。
AD FS サーバーでの操作手順は、下記の通りです。
--------------------------------------
AD FS 3.0 の拡張保護機能無効化
--------------------------------------
まずは、以下をプライマリ AD FS サーバーのみで行います。
1. 管理者権限で PowerShell を開き、以下を実行します。
Get-AdfsProperties | select ExtendedProtectionTokenCheck
2. 現在の ExtendedProtectionTokenCheck の値 (既定は Allow) を確認します。
3. 続けて以下のコマンドを実行します。
Set-AdfsProperties -ExtendedProtectionTokenCheck None
元に戻す場合は以下を実行します。
Set-AdfsProperties -ExtendedProtectionTokenCheck <2. で確認した元の値>
続いて、以下を全 AD FS サーバーで行います。
1. [サービス] コンソールから以下のサービスを再起動します。
Active Directory Federation Services
--------------------------------------
AD FS 2.0 の拡張保護機能無効化
--------------------------------------
以下を全 AD FS サーバーで行います。
1. AD FS サーバーにて IIS マネージャーを起動します。
2. [Default Web Site] - [adfs] - [ls] を展開します。
3. 中央のペインより [認証] を開きます。
4. [Windows 認証] を選択し、右側のペインより [詳細設定] を選択します。
5. "拡張保護" をオフにします。
※AD FS 2.0 の場合は、サービスの再起動は不要です。
- 参考情報
AD FS 2.0: Continuously Prompted for Credentials While Using Fiddler Web Debugger
https://social.technet.microsoft.com/wiki/contents/articles/1426.ad-fs-2-0-continuously-prompted-for-credentials-while-using-fiddler-web-debugger.aspx
Extended Protection for Authentication Overview
https://msdn.microsoft.com/library/dd767318(v=vs.90).aspx
弊社ツール(MSDT)および Fiddler
どちらの方法でも情報採取が難しい環境の場合、ブラウザーの標準機能である
F12 トレースを使用する方法もございますので、こちらも参考として情報採取手順を紹介いたします。
使用されているブラウザーごとに手順を記載しましたので、参照ください。
・Internet Explorer
・Edge
・Chrome
・Firefox
- 参考情報
再現手順の取得と Office 365 サポートへ取得したファイルを送信する手順
https://answers.microsoft.com/wiki/e2fea319-2875-471c-9f68-48617361dd6f
