A confiança do proxy entre o WAP e o servidor do AD FS está interrompida

2025-04-18
Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Este artigo ajuda a resolver problemas com a configuração de confiança de proxy com o AD FS (Serviço de Federação do Active Directory). Use este artigo se você estiver vendo problemas com a configuração de confiança do WAP (Proxy de Aplicativo Web).

Verificar se há distorção de tempo

Verifique a hora em todos os servidores proxy e do AD FS para verificar se não há distorção de tempo. Se houver uma distorção, sincronize todos os relógios do sistema com a fonte de tempo confiável da sua organização.

Verifique se as atualizações necessárias estão instaladas

Se o AD FS estiver instalado no Windows Server 2012 R2, verifique se as seguintes atualizações estão instaladas:

Verificar as configurações do certificado TLS/SSL

No servidor primário do AD FS, obtenha a impressão digital do certificado TLS/SSL (Transport Layer Security/Secure Sockets Layer) executando o seguinte cmdlet no PowerShell:

Execute Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint.
Execute netsh http show sslcert no primeiro servidor interno do AD FS.
Da saída anterior:
- Verifique se o nome do host corresponde ao nome do serviço de federação do AD FS.
- Verifique a impressão digital com o certhash para garantir que correspondam.
- Verifique se o nome do repositório da CTL (Lista de Confiança do Certificado) é AdfsTrustedDevices.
- Você também pode ver uma associação de porta IP para 0.0.0.0:443.

Repita as etapas 2 e 3 para todos os servidores AD FS e WAP.

Atualizar as configurações de certificado TLS/SSL, se necessário

Use o Microsoft Entra Connect para atualizar o certificado TLS/SSL nos servidores AD FS e WAP afetados. Siga as instruções em Atualizar o certificado TLS/SSL para um farm dos Serviços de Federação do Active Directory.

Verificar o repositório de certificados raiz confiável

Execute o seguinte comando do PowerShell em todos os servidores AD FS e WAP para garantir que não haja certificados não autoassinados no repositório de certificados raiz confiável:

Execute Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt".
Se houver, mova-os para o repositório intermediário.

Atualizar as configurações do certificado TLS/SSL

Verificar se há erros de replicação do AD FS

Verifique se há erros de replicação do AD FS:

Abra o Console de Gerenciamento da Microsoft do AD FS nos servidores secundários e examine a última vez que eles sincronizaram.
Corrija os problemas de sincronização.

Nome da entidade de serviço

Para comunicação adequada do WAP e do AD FS, verifique se o SPN (nome da entidade de serviço) correto está configurado na conta de serviço do AD FS. Execute setspn -f -q host/ <federation service name>, execute setspn -f -q http/ <federation service name> e corrija quaisquer problemas.

O host deve ser resolvido para a conta de serviço do AD FS.
A chamada HTTP deve ser resolvida para um dos servidores AD FS. Se a pesquisa de SPN resultar em uma conta de computador que não esteja relacionada, a autenticação entre os servidores falhará.

Redefinir confiança WAP

Se tudo falhar, redefina a confiança do WAP usando o cmdlet Install-WebApplicationProxy do PowerShell.

Exemplo: Se a impressão digital do certificado TLS/SSL for xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx e o nome do serviço de federação for fs.contoso.com, execute o comando Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx".

Solução de problemas do AD FS