Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft, Probleme mit der Proxyvertrauenskonfiguration mit Active Directory-Verbunddienst (AD FS) zu beheben. Verwenden Sie diesen Artikel, wenn Probleme mit der Vertrauenskonfiguration des Webanwendungsproxys (WAP) auftreten.
Überprüfen Sie, ob eine zeitliche Abweichung vorliegt
Überprüfen Sie die Zeit auf allen AD FS- und Proxyservern, um sicherzustellen, dass keine Zeit schief ist. Wenn es eine Abweichung gibt, synchronisieren Sie alle Systemuhren mit der zuverlässigen Zeitquelle Ihrer Organisation.
Überprüfen, ob erforderliche Updates installiert sind
Wenn AD FS unter Windows Server 2012 R2 installiert ist, stellen Sie sicher, dass die folgenden Updates installiert sind:
- Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 Update: April 2014
- Updaterollup vom November 2014 für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2
- Updaterollup vom Dezember 2014 für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2
- Fehler wegen Zeitüberschreitung nach der ersten Bereitstellung des Geräteregistrierungsdiensts in Windows Server 2012 R2
Überprüfen der TLS/SSL-Zertifikateinstellungen
Rufen Sie auf dem primären AD FS-Server den Fingerabdruck des TLS/SSL-Zertifikats (Transport Layer Security/Secure Sockets Layer) ab, indem Sie das folgende Cmdlet in PowerShell ausführen:
- Führen Sie
Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint
aus. - Führen Sie
netsh http show sslcert
auf dem ersten internen AD FS-Server aus. - Aus der vorherigen Ausgabe:
- Stellen Sie sicher, dass der Hostname dem AD FS-Verbunddienstnamen entspricht.
- Überprüfen Sie den Fingerabdruck gegen den Certhash, um sicherzustellen, dass sie übereinstimmen.
- Stellen Sie sicher, dass der Name des Zertifikatvertrauenslistenspeichers (Certificate Trust List, CTL) lautet
AdfsTrustedDevices
. - Möglicherweise wird auch eine IP-Portbindung für
0.0.0.0:443
angezeigt.
Wiederholen Sie die Schritte 2 und 3 für alle AD FS- und WAP-Server.
Aktualisieren von TLS/SSL-Zertifikateinstellungen bei Bedarf
Verwenden Sie Microsoft Entra Connect, um das TLS/SSL-Zertifikat auf den betroffenen AD FS- und WAP-Servern zu aktualisieren. Befolgen Sie die Anweisungen unter Aktualisieren des TLS/SSL-Zertifikats für eine Active Directory-Verbunddienstefarm.
Überprüfen des vertrauenswürdigen Stammzertifikatspeichers
Führen Sie den folgenden PowerShell-Befehl auf allen AD FS- und WAP-Servern aus, um sicherzustellen, dass im vertrauenswürdigen Stammzertifikatspeicher keine nicht selbstsignierten Zertifikate vorhanden sind:
- Führen Sie
Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt"
aus. - Wenn sie vorhanden sind, verschieben Sie sie in den Zwischenspeicher.
Aktualisieren der TLS/SSL-Zertifikateinstellungen
Verwenden Sie Microsoft Entra Connect, um das TLS/SSL-Zertifikat auf den betroffenen AD FS- und WAP-Servern zu aktualisieren. Befolgen Sie die Anweisungen unter Aktualisieren des TLS/SSL-Zertifikats für eine Active Directory-Verbunddienstefarm.
Prüfen Sie, ob bei der Replikation von AD FS Fehler aufgetreten sind
Überprüfen Sie nach AD FS-Replikationsfehlern:
- Öffnen Sie die AD FS Microsoft Management Console auf den sekundären Servern und prüfen Sie, wann sie zuletzt synchronisiert wurden.
- Beheben Sie alle Synchronisierungsprobleme.
Dienstprinzipalname
Stellen Sie für die ordnungsgemäße WAP- und AD FS-Kommunikation sicher, dass der richtige Dienstprinzipalname (SPN) für das AD FS-Dienstkonto konfiguriert ist. Führen Sie setspn -f -q host/ <federation service name>
aus, führen Sie setspn -f -q http/ <federation service name>
aus, und beheben Sie etwaige Probleme.
- Der Host sollte in das AD FS-Dienstkonto aufgelöst werden.
- Der HTTP-Aufruf sollte zu einem der AD FS-Server führen. Wenn die SPN-Suche in ein nicht verknüpftes Computerkonto aufgelöst wird, schlägt die Authentifizierung zwischen den Servern fehl.
WAP-Vertrauensstellung zurücksetzen
Wenn alles andere fehlschlägt, setzen Sie die WAP-Vertrauensstellung mithilfe des Install-WebApplicationProxy
PowerShell-Cmdlets zurück.
Beispiel: Wenn der Fingerabdruck des TLS/SSL-Zertifikats xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ist und der Name des Verbunddiensts fs.contoso.com
lautet, führen Sie Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
aus.