Udostępnij za pośrednictwem


Zaufanie serwera proxy między serwerem WAP a serwerem usług AD FS jest przerwane

Ten artykuł pomaga rozwiązać problemy z konfiguracją zaufania serwera proxy w usłudze federacyjnej Active Directory (AD FS). Użyj tego artykułu, jeśli występują problemy z ustawieniami zaufania aplikacji internetowej proxy (WAP).

Sprawdź odchylenie czasowe

Sprawdź czas na wszystkich serwerach usług AD FS i serwerach proxy, aby upewnić się, że nie ma niesymetryczności czasu. Jeśli występuje niesymetryczność, zsynchronizuj wszystkie zegary systemowe z niezawodnym źródłem czasu organizacji.

Sprawdź, czy są zainstalowane wymagane aktualizacje

Jeśli usługi AD FS są zainstalowane w systemie Windows Server 2012 R2, upewnij się, że są zainstalowane następujące aktualizacje:

Sprawdzanie ustawień certyfikatu TLS/SSL

Na podstawowym serwerze usług AD FS pobierz odcisk palca certyfikatu Transport Layer Security/Secure Sockets Layer (TLS/SSL), uruchamiając następujące polecenie cmdlet w programie PowerShell:

  1. Uruchom program Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint.
  2. Uruchom netsh http show sslcert na pierwszym wewnętrznym serwerze usług AD FS.
  3. Z powyższych danych wyjściowych:
    • Upewnij się, że nazwa hosta jest zgodna z nazwą usługi federacyjnej usług AD FS.
    • Sprawdź odcisk palca względem certhash, aby upewnić się, że są one zgodne.
    • Upewnij się, że nazwa magazynu listy zaufania certyfikatów (CTL) to AdfsTrustedDevices.
    • Możesz także zobaczyć powiązanie portów IP dla 0.0.0.0:443.

Powtórz kroki 2 i 3 dla wszystkich serwerów usług AD FS i WAP.

W razie potrzeby zaktualizuj ustawienia certyfikatu TLS/SSL

Użyj programu Microsoft Entra Connect, aby zaktualizować certyfikat TLS/SSL na serwerach usług AD FS i WAP, których dotyczy problem. Postępuj zgodnie z instrukcjami w temacie Aktualizowanie certyfikatu TLS/SSL dla farmy usług federacyjnych Active Directory.

Sprawdź zaufany magazyn certyfikatów głównych

Uruchom następujące polecenie programu PowerShell na wszystkich serwerach AD FS i WAP, aby upewnić się, że w magazynie głównych zaufanych certyfikatów nie ma żadnych certyfikatów innych niż te z podpisem własnym.

  1. Uruchom program Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt".
  2. Jeśli istnieją, przenieś je do magazynu pośredniego.

Aktualizowanie ustawień certyfikatu TLS/SSL

Użyj programu Microsoft Entra Connect, aby zaktualizować certyfikat TLS/SSL na serwerach usług AD FS i WAP, których dotyczy problem. Postępuj zgodnie z instrukcjami w temacie Aktualizowanie certyfikatu TLS/SSL dla farmy usług federacyjnych Active Directory.

Sprawdź błędy replikacji usług AD FS

Sprawdź błędy replikacji usługi AD FS:

  1. Otwórz konsolę Microsoft Management Console usług AD FS na serwerach pomocniczych i sprawdź, kiedy ostatnio się synchronizowały.
  2. Rozwiąż wszelkie problemy z synchronizacją.

Nazwa główna usługi

Aby uzyskać właściwą komunikację WAP i AD FS, upewnij się, że prawidłowa nazwa główna usługi (SPN) jest skonfigurowana na koncie usługi AD FS. Uruchom setspn -f -q host/ <federation service name>, uruchom setspn -f -q http/ <federation service name> i usuń wszelkie problemy.

  • Host powinien zostać rozpoznany jako konto usługi AD FS.
  • Wywołanie HTTP powinno zostać rozpoznane na jednym z serwerów usług AD FS. Jeśli wyszukiwanie nazwy SPN zostanie przypisane do niepowiązanego konta komputera, uwierzytelnianie między serwerami zakończy się niepowodzeniem.

Resetowanie zaufania WAP

Jeśli wszystkie inne metody zawiodą, zresetuj zaufanie WAP używając polecenia cmdlet programu PowerShell Install-WebApplicationProxy.

Przykład: Jeśli odcisk palca certyfikatu TLS/SSL to xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx , a nazwa usługi federacyjnej to fs.contoso.com, uruchom polecenie Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx".