Freigeben über


Die Proxyvertrauensstellung zwischen WAP und dem AD FS-Server ist unterbrochen.

Dieser Artikel hilft, Probleme mit der Proxyvertrauenskonfiguration mit Active Directory-Verbunddienst (AD FS) zu beheben. Verwenden Sie diesen Artikel, wenn Probleme mit der Vertrauenskonfiguration des Webanwendungsproxys (WAP) auftreten.

Überprüfen Sie, ob eine zeitliche Abweichung vorliegt

Überprüfen Sie die Zeit auf allen AD FS- und Proxyservern, um sicherzustellen, dass keine Zeit schief ist. Wenn es eine Abweichung gibt, synchronisieren Sie alle Systemuhren mit der zuverlässigen Zeitquelle Ihrer Organisation.

Überprüfen, ob erforderliche Updates installiert sind

Wenn AD FS unter Windows Server 2012 R2 installiert ist, stellen Sie sicher, dass die folgenden Updates installiert sind:

Überprüfen der TLS/SSL-Zertifikateinstellungen

Rufen Sie auf dem primären AD FS-Server den Fingerabdruck des TLS/SSL-Zertifikats (Transport Layer Security/Secure Sockets Layer) ab, indem Sie das folgende Cmdlet in PowerShell ausführen:

  1. Führen Sie Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint aus.
  2. Führen Sie netsh http show sslcert auf dem ersten internen AD FS-Server aus.
  3. Aus der vorherigen Ausgabe:
    • Stellen Sie sicher, dass der Hostname dem AD FS-Verbunddienstnamen entspricht.
    • Überprüfen Sie den Fingerabdruck gegen den Certhash, um sicherzustellen, dass sie übereinstimmen.
    • Stellen Sie sicher, dass der Name des Zertifikatvertrauenslistenspeichers (Certificate Trust List, CTL) lautet AdfsTrustedDevices.
    • Möglicherweise wird auch eine IP-Portbindung für 0.0.0.0:443 angezeigt.

Wiederholen Sie die Schritte 2 und 3 für alle AD FS- und WAP-Server.

Aktualisieren von TLS/SSL-Zertifikateinstellungen bei Bedarf

Verwenden Sie Microsoft Entra Connect, um das TLS/SSL-Zertifikat auf den betroffenen AD FS- und WAP-Servern zu aktualisieren. Befolgen Sie die Anweisungen unter Aktualisieren des TLS/SSL-Zertifikats für eine Active Directory-Verbunddienstefarm.

Überprüfen des vertrauenswürdigen Stammzertifikatspeichers

Führen Sie den folgenden PowerShell-Befehl auf allen AD FS- und WAP-Servern aus, um sicherzustellen, dass im vertrauenswürdigen Stammzertifikatspeicher keine nicht selbstsignierten Zertifikate vorhanden sind:

  1. Führen Sie Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt" aus.
  2. Wenn sie vorhanden sind, verschieben Sie sie in den Zwischenspeicher.

Aktualisieren der TLS/SSL-Zertifikateinstellungen

Verwenden Sie Microsoft Entra Connect, um das TLS/SSL-Zertifikat auf den betroffenen AD FS- und WAP-Servern zu aktualisieren. Befolgen Sie die Anweisungen unter Aktualisieren des TLS/SSL-Zertifikats für eine Active Directory-Verbunddienstefarm.

Prüfen Sie, ob bei der Replikation von AD FS Fehler aufgetreten sind

Überprüfen Sie nach AD FS-Replikationsfehlern:

  1. Öffnen Sie die AD FS Microsoft Management Console auf den sekundären Servern und prüfen Sie, wann sie zuletzt synchronisiert wurden.
  2. Beheben Sie alle Synchronisierungsprobleme.

Dienstprinzipalname

Stellen Sie für die ordnungsgemäße WAP- und AD FS-Kommunikation sicher, dass der richtige Dienstprinzipalname (SPN) für das AD FS-Dienstkonto konfiguriert ist. Führen Sie setspn -f -q host/ <federation service name> aus, führen Sie setspn -f -q http/ <federation service name> aus, und beheben Sie etwaige Probleme.

  • Der Host sollte in das AD FS-Dienstkonto aufgelöst werden.
  • Der HTTP-Aufruf sollte zu einem der AD FS-Server führen. Wenn die SPN-Suche in ein nicht verknüpftes Computerkonto aufgelöst wird, schlägt die Authentifizierung zwischen den Servern fehl.

WAP-Vertrauensstellung zurücksetzen

Wenn alles andere fehlschlägt, setzen Sie die WAP-Vertrauensstellung mithilfe des Install-WebApplicationProxy PowerShell-Cmdlets zurück.

Beispiel: Wenn der Fingerabdruck des TLS/SSL-Zertifikats xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx ist und der Name des Verbunddiensts fs.contoso.com lautet, führen Sie Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" aus.