Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema werden Informationen zu häufig auftretenden Problemen beschrieben, die bei der Verwendung von Enterprise Single Sign-On (SSO) auftreten können.
Wenn Sie mit der Problembehandlung für Ihre SSO-Umgebung beginnen, kann es hilfreich sein, die Elemente in der folgenden Tabelle zu durchlaufen, um sicherzustellen, dass alle Komponenten erwartungsgemäß funktionieren:
| Frage | Kommentare |
|---|---|
| Gibt es etwas im Anwendungsereignisprotokoll aus dem SSO-System? | Die SSO-Meldungen im Ereignisprotokoll können Ihnen helfen, das Problem im SSO-System einzugrenzen. Die Quelle der Nachrichten aus dem SSO-System ist ENTSSO. Wichtig: Viele der SSO-Fehler und -Ereignisse werden als Warnungen im Ereignisprotokoll und nicht als Fehler angezeigt. Das SSO-System generiert eine Warnung, wenn sich das Problem auf einen einzelnen Client des SSO-Diensts auswirkt, während Fehler generiert werden, wenn sich das Problem auf das gesamte SSO-System (alle Clients) auswirkt. |
| Ist der SSO-Dienst ordnungsgemäß installiert? Beginnt es wie erwartet? Unter welchem Dienstkonto wird der SSO-Dienst ausgeführt? |
Stellen Sie sicher, dass der SSO-Dienst ordnungsgemäß installiert ist und dass das Dienstkonto Mitglied der SSO-Administratorgruppe ist. |
| Wo befindet sich die SSO-Datenbank? | Verwenden Sie die Befehlszeile ssoconfig -showdb. Weitere Informationen zu diesem Befehl finden Sie unter Anzeigen der SSO-Datenbankinformationen. |
| Welcher SSO-Server wird verwendet? | Verwenden Sie die Befehlszeile ssomanage -showserver. Weitere Informationen zu diesem Befehl finden Sie unter Festlegen des SSO-Servers. |
| Was ist das SSO-Administratorkonto? | Verwenden Sie die Befehlszeile "ssomanage –displaydb". Weitere Informationen zu diesem Befehl finden Sie unter Anzeigen der SSO-Datenbankinformationen. |
| Ist alles richtig aktiviert? | Verwenden Sie die Befehlszeile "ssomanage –displaydb". Weitere Informationen zu diesem Befehl finden Sie unter Anzeigen der SSO-Datenbankinformationen. |
| Sind die Partneranwendungen vorhanden? | Verwenden Sie die Befehlszeile "ssomanage –listapps all". Weitere Informationen zu diesem Befehl finden Sie unter "Auflisten von Partneranwendungen". |
| Sieht die spezifische Partneranwendung richtig aus? Welche Konten verwenden diese Partneranwendung? |
Verwenden Sie die Befehlszeile ssomanage –displayapp<Anwendungsname>. Weitere Informationen zu diesem Befehl finden Sie unter "Auflisten der Eigenschaften einer Partneranwendung". |
| Gibt es Zuordnungen für diese Partneranwendung? | Verwenden Sie die Befehlszeile ssomanage –listmappings<Anwendungsnamen>. Weitere Informationen zu diesem Befehl finden Sie unter "So listen Sie Benutzerzuordnungen auf". |
| Welche Konten sind Mitglieder der SSO-Gruppen? | Überprüfen Sie die Gruppenmitgliedschaft für alle SSO-Gruppen und Konten. |
| Wird die COM+-Anwendung für den SSO-Server erwartungsgemäß ausgeführt? | Überprüfen Sie den COM+-Anwendungs-SSO-Server. Anmerkung: Sie können auch das Ereignisprotokoll auf detaillierte Informationen überprüfen, z. B. Ereignis- und Warnmeldungen. |
Bekannte Probleme
ENTSSO-Dienst kann nicht gestartet werden
Das Problem
Der ENTSSO-Dienst kann nicht gestartet werden.
Ursache
Wenn der ENTSSO-Dienst nicht unter einem gültigen SSO-Administratorkonto ausgeführt wird, kann er nicht gestartet werden.
Beschluss
Geben Sie ein gültiges SSO-Administratorkonto für den ENTSSO-Dienst an, und starten Sie den Dienst aus dem SCM-Snap-In (Services Control Manager) neu.
BizTalk-Dienste, die vom Enterprise Single Sign-On Service (ENTSSO) abhängig sind, können nach einem Neustart nicht gestartet werden.
Das Problem
BTSSvc$BizTalkServerApplication hat eine Abhängigkeit vom Enterprise Single Sign-On Service (ENTSSO) und kann beim Hochfahren nach einem Neustart ein Timeout haben.
Ursache
Der Enterprise Single Sign-On Service kann etwa 3 Minuten dauern, bis er gestartet wird.
Beschluss
Konfigurieren Sie den Dienst "BizTalk Service BizTalk Group: BizTalkServerApplication" mit der Starttyp-Option "Automatisch (Verzögerter Start)". Dadurch wird der Start des Diensts initiiert, nachdem alle automatischen Dienste ihre Startroutinen abgeschlossen haben.
Zugriff auf eine Partneranwendung nicht möglich
Das Problem
Der Enterprise Single Sign-On-Dienst deaktiviert eine Partneranwendung, wenn das diesem zugeordnete Anwendungsadministratorkonto ungültig ist.
Ursache
Das SSO-Anwendungsadministratorkonto ist ungültig.
Beschluss
Stellen Sie sicher, dass das SSO-Anwendungsadministratorkonto gültig ist, bevor Sie eine Partneranwendung erstellen. Anschließend müssen Sie die Affiliate-Anwendung aktivieren, um die Anwendung nutzen zu können.
RPC-Fehler beim Herstellen einer Verbindung mit einem Client-Computer
Das Problem
Wenn ein Benutzer einen Befehl wie ssomanage -displayapp<applicationname> ausführt, bei dem der Computer versucht, eine Verbindung mit einem Remote-SSO-Server herzustellen, um die Informationen abzurufen, erhält er den folgenden Fehler: FEHLER: 0x800706BA: Der RPC-Server ist nicht verfügbar.
Ursache
Dieser Fehler tritt auf, wenn der Benutzer die falschen Serverinformationen angibt oder wenn der SSO-Dienst auf dem Remoteserver nicht verfügbar ist.
Beschluss
Führen Sie die Schritte unter Festlegen des SSO-Servers aus, um sicherzustellen, dass Sie mit dem richtigen SSO-Server verbunden sind.
Stellen Sie sicher, dass der SSO-Dienst aktiviert und auf dem SSO-Server ausgeführt wird, mit dem Sie eine Verbindung herstellen.
Der geheime Masterschlüssel fehlt oder ist beschädigt.
Das Problem
Der geheime Masterschlüssel fehlt oder ist beschädigt. Normalerweise wird sie während der Konfiguration generiert. Wenn der geheime Schlüssel fehlt, wird eine der folgenden Meldungen im Ereignisprotokoll angezeigt, während der Enterprise Single Sign-On-Dienst gestartet wird.
MessageId=10520
Schweregrad=Warnung
SSO_WARN_KEINE_GEHEIMNISSE
MessageId=10565
Schweregrad=Fehler
SSO_ERROR_SECRET_VALIDATE_FAILED
MessageId=10521
Schweregrad=Fehler
SSO_FEHLER_GEHEIMNISSE_NICHT_GELADEN
Ursache
Dieses Problem kann auftreten, wenn ein geheimer Schlüssel generiert wird, während der SSO (Enterprise Single Sign-On Service) unter einem Dienstkonto ausgeführt wurde und das Dienstkonto geändert wurde. Der geheime Schlüssel wird in der Registrierung in verschlüsselter Form gespeichert und wird mithilfe eines Schlüssels basierend auf der Identität des Dienstkontos verschlüsselt (unter dem ENTSSO ausgeführt wird).
Beschluss
Ändern Sie das Dienstkonto, unter dem ENTSSO ausgeführt wird, zurück zum ursprünglichen Dienstkonto, das beim Erstellen des Master-Schlüssels verwendet wurde.
So ändern Sie das ENTSSO-Dienstkonto:
Sichern Sie das Mastergeheimnis. Weitere Informationen finden Sie unter How to Back Up the Master Secret.
Beenden Sie Enterprise Single Sign-On Services.
Ändern Sie das Dienstkonto.
Starten Sie SSO neu, und ignorieren Sie alle Ereignisprotokollfehler bezüglich eines beschädigten geheimen Schlüssels.
Stellen Sie den geheimen Hauptschlüssel wieder her. Weitere Informationen finden Sie unter "Wiederherstellen des geheimen Masterschlüssels".