Outlookにログインできなくなるという結構重たい障害で、解決に頭を悩ませた話をご紹介します。まさか、GPOや先進認証が絡んでくるんですね。
お問い合わせ内容
今日から突然Outlookクライアントが使えなくなった。
起動しようとするとアカウントとパスワードを求められ、パスワードを入力して進めようとしてもその画面のままフリーズ。私もフリーズですわ。
申し訳ありません。
(同じ問い合わせが多数、なんだろう・・・)
問い合わせの詳細
Outlookクライアントがある日突然つかえなくなったという問い合わせが、複数のユーザからありました。
通常は求められないパスワード入力が発生
会社ではセットアップの時に1回Outlookのパスワードを入力すれば、後はOutlook起動時にパスワード入力は不要にしています。
にもかかわらず、急にOutlook起動時にパスワードが求められるようになりました。さらに正しいパスワードを入力しても、パスワード入力画面がフリーズするだけという状態になります。
Outlookのアカウント再セットアップしてもNG
Outlookアカウントを再セットアップしても、アカウントセットアップ時のパスワード入力の際に画面がフリーズします。
本当にユーザ本人もフリーズする状態です。
いつも何気なく使えているメールが急に使えなくなる、こんなの重要な商談前だったりしたら目も当てられませんね…。
Outlook on the Webは問題なし
Outlookクライアントは上記症状で使えませんが、Web版のOutlookであれば普通にアカウント/パスワードを入力して使える状態でした。
唯一の回避策がこれのため、不具合の連絡をもらったユーザにはWeb版を暫定的に使ってもらうように案内しました。
結論:特定GPO + WAMによる先進認証で発生
障害の原因となったGPO
この障害が発生する少し前に、会社で以下のGPOを全パソコンに適用していました。
キー :HKEY_CURRENT_USER\Software\Microsoft\
Office\16.0\Common\Identity
名前 : NoDomainUser
種類 : REG_DWORD
値 : 1
このGPOは、Microsoft Officeソフト起動時に無関係のドメインユーザーで自動サインインしないようにするものです。利便性向上のために追加したものですがこれが影響したようです。
ただし、これだけが原因ではありませんでした。
WAM(Web Account Manager)も関連
WAMとは、先進認証を行うための新しい認証フレームワークのようです。Microsoft Documentを検索しても良くわからないので、以下のサイトが参考になると思います。
特定GPO + WAMによる先進認証で障害発生
今回の障害は、WAMを使った先進認証を行うパソコン、要はWndowsOS/Office365のバージョンが新しいパソコンで、特定GPOを適用することで発生することが分かりました。
医療の世界では相互作用による影響はよく聞きますが、Microsoft製品でもこのようなことがあるようです。
今回の障害発生の流れ
原因となったGPOが配信されているパソコンが、ある日、利用者のWindows OSバージョン(SACバージョン)が上がりました。
これにより、WAMによる先進認証が使えるようになりました。
⇒ 見事、障害条件が成立、残念です。
解決策は3つ(GPO、WAM、諦めて待つ)
解決策は3つでした。
1.原因となったGPOの適用を戻す
2.WAMによる先進認証をやめる
3.この障害が解消されるまで対応は諦めて待つ
結局、1のGPO適用を戻すことで対応しました。
まとめ
1.今まで問題なかったGPOがWindowsのOSバージョンアップで時間差で障害となることがある。
2.それなりの労力はかかるが、事前の検証で防げる。
※今回のような障害は事前に検証していれば防げますが、労力がかかるためなかなかそうもいきません。システム関係者だけ先行バージョンアップして生贄にして影響を確認するという方法をとることが多いと思います。余談ですが、影響が出たユーザは全員システム関係者でした。
コメント