La confianza de proxy entre WAP y el servidor de AD FS está interrumpida

2025-05-02
Se aplica a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Este artículo ayuda a resolver problemas con la configuración de confianza de proxy con Active Directory Federation Service (AD FS). Utilice este artículo si observa problemas con la configuración de confianza de Proxy de Aplicación Web (WAP).

Comprobar desajustes de tiempo

Compruebe la hora en todos los servidores proxy y AD FS para asegurarse de que no hay asimetría de tiempo. Si hay un sesgo, sincronice todos los relojes del sistema con el origen de hora confiable de la organización.

Comprobación de que las actualizaciones necesarias están instaladas

Si AD FS está instalado en Windows Server 2012 R2, asegúrese de que se instalan las siguientes actualizaciones:

Comprobación de la configuración del certificado TLS/SSL

En el servidor de AD FS principal, ejecute el siguiente cmdlet en PowerShell para obtener la huella digital del certificado de Seguridad de la capa de transporte / SSL/TLS:

Ejecute Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint.
Ejecute netsh http show sslcert en el primer servidor de AD FS interno.
A partir de la salida anterior:
- Asegúrese de que el nombre de host coincide con el nombre del servicio de federación de AD FS.
- Compruebe la huella digital en el certhash para asegurarse de que coinciden.
- Asegúrese de que el nombre del almacén de lista de certificados de confianza (CTL) es AdfsTrustedDevices.
- También puede ver un enlace de puerto IP para 0.0.0.0:443.

Repita los pasos 2 y 3 para todos los servidores de AD FS y WAP.

Actualice la configuración del certificado TLS/SSL si es necesario.

Use Microsoft Entra Connect para actualizar el certificado TLS/SSL en los servidores AD FS y WAP afectados. Siga las instrucciones de Actualización del certificado TLS/SSL para una granja de servicios de federación de Active Directory.

Compruebe el almacén de certificados raíz de confianza

Ejecute el siguiente comando de PowerShell en todos los servidores de AD FS y WAP para asegurarse de que no haya certificados autofirmados en el almacén de certificados raíz de confianza:

Ejecute Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt".
Si existen, muévalos al almacén intermedio.

Actualización de la configuración del certificado TLS/SSL

Verificar si hay errores de replicación de AD FS

Compruebe si hay errores de replicación de AD FS:

Abra la consola de administración de Microsoft AD FS en los servidores secundarios y mire la última vez que se sincronizaron.
Corrija los problemas de sincronización.

Nombre principal del servicio

Para una comunicación adecuada entre WAP y AD FS, asegúrese de que el nombre principal del servicio (SPN) correcto esté configurado en la cuenta de servicio de AD FS. Ejecute setspn -f -q host/ <federation service name>, ejecute setspn -f -q http/ <federation service name> y corrija los problemas.

El host debe resolverse en la cuenta de servicio de AD FS.
La llamada HTTP debe resolverse en uno de los servidores de AD FS. Si la búsqueda de SPN se resuelve en una cuenta de equipo no relacionada, se produce un error en la autenticación entre los servidores.

Restablecer la confianza de WAP

Si se produce un error en todo lo demás, restablezca la confianza de WAP mediante el Install-WebApplicationProxy cmdlet de PowerShell.

Ejemplo: si la huella digital del certificado TLS/SSL es xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx y el nombre del servicio de federación es fs.contoso.com, ejecute Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx".

solución de problemas de AD FS