Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomaga rozwiązać problemy z konfiguracją zaufania serwera proxy w usłudze federacyjnej Active Directory (AD FS). Użyj tego artykułu, jeśli występują problemy z ustawieniami zaufania aplikacji internetowej proxy (WAP).
Sprawdź odchylenie czasowe
Sprawdź czas na wszystkich serwerach usług AD FS i serwerach proxy, aby upewnić się, że nie ma niesymetryczności czasu. Jeśli występuje niesymetryczność, zsynchronizuj wszystkie zegary systemowe z niezawodnym źródłem czasu organizacji.
Sprawdź, czy są zainstalowane wymagane aktualizacje
Jeśli usługi AD FS są zainstalowane w systemie Windows Server 2012 R2, upewnij się, że są zainstalowane następujące aktualizacje:
- Windows RT 8.1, Windows 8.1 i Windows Server 2012 R2 update: kwiecień 2014
- Pakiet zbiorczy aktualizacji z listopada 2014 r. dla systemów Windows RT 8.1, Windows 8.1 i Windows Server 2012 R2
- Pakiet zbiorczy aktualizacji z grudnia 2014 r. dla systemów Windows RT 8.1, Windows 8.1 i Windows Server 2012 R2
- Błędy przekroczenia limitu czasu po początkowym wdrożeniu usługi rejestracji urządzeń w systemie Windows Server 2012 R2
Sprawdzanie ustawień certyfikatu TLS/SSL
Na podstawowym serwerze usług AD FS pobierz odcisk palca certyfikatu Transport Layer Security/Secure Sockets Layer (TLS/SSL), uruchamiając następujące polecenie cmdlet w programie PowerShell:
- Uruchom program
Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint
. - Uruchom
netsh http show sslcert
na pierwszym wewnętrznym serwerze usług AD FS. - Z powyższych danych wyjściowych:
- Upewnij się, że nazwa hosta jest zgodna z nazwą usługi federacyjnej usług AD FS.
- Sprawdź odcisk palca względem certhash, aby upewnić się, że są one zgodne.
- Upewnij się, że nazwa magazynu listy zaufania certyfikatów (CTL) to
AdfsTrustedDevices
. - Możesz także zobaczyć powiązanie portów IP dla
0.0.0.0:443
.
Powtórz kroki 2 i 3 dla wszystkich serwerów usług AD FS i WAP.
W razie potrzeby zaktualizuj ustawienia certyfikatu TLS/SSL
Użyj programu Microsoft Entra Connect, aby zaktualizować certyfikat TLS/SSL na serwerach usług AD FS i WAP, których dotyczy problem. Postępuj zgodnie z instrukcjami w temacie Aktualizowanie certyfikatu TLS/SSL dla farmy usług federacyjnych Active Directory.
Sprawdź zaufany magazyn certyfikatów głównych
Uruchom następujące polecenie programu PowerShell na wszystkich serwerach AD FS i WAP, aby upewnić się, że w magazynie głównych zaufanych certyfikatów nie ma żadnych certyfikatów innych niż te z podpisem własnym.
- Uruchom program
Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt"
. - Jeśli istnieją, przenieś je do magazynu pośredniego.
Aktualizowanie ustawień certyfikatu TLS/SSL
Użyj programu Microsoft Entra Connect, aby zaktualizować certyfikat TLS/SSL na serwerach usług AD FS i WAP, których dotyczy problem. Postępuj zgodnie z instrukcjami w temacie Aktualizowanie certyfikatu TLS/SSL dla farmy usług federacyjnych Active Directory.
Sprawdź błędy replikacji usług AD FS
Sprawdź błędy replikacji usługi AD FS:
- Otwórz konsolę Microsoft Management Console usług AD FS na serwerach pomocniczych i sprawdź, kiedy ostatnio się synchronizowały.
- Rozwiąż wszelkie problemy z synchronizacją.
Nazwa główna usługi
Aby uzyskać właściwą komunikację WAP i AD FS, upewnij się, że prawidłowa nazwa główna usługi (SPN) jest skonfigurowana na koncie usługi AD FS. Uruchom setspn -f -q host/ <federation service name>
, uruchom setspn -f -q http/ <federation service name>
i usuń wszelkie problemy.
- Host powinien zostać rozpoznany jako konto usługi AD FS.
- Wywołanie HTTP powinno zostać rozpoznane na jednym z serwerów usług AD FS. Jeśli wyszukiwanie nazwy SPN zostanie przypisane do niepowiązanego konta komputera, uwierzytelnianie między serwerami zakończy się niepowodzeniem.
Resetowanie zaufania WAP
Jeśli wszystkie inne metody zawiodą, zresetuj zaufanie WAP używając polecenia cmdlet programu PowerShell Install-WebApplicationProxy
.
Przykład: Jeśli odcisk palca certyfikatu TLS/SSL to xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
, a nazwa usługi federacyjnej to fs.contoso.com
, uruchom polecenie Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
.