Partilhar via


A confiança de proxy entre WAP e o servidor AD FS foi quebrada

Este artigo ajuda a resolver problemas com a configuração de confiança de proxy com o Serviço de Federação do Active Directory (AD FS). Use este artigo se você estiver vendo problemas com sua configuração de confiança do Proxy de Aplicativo Web (WAP).

Verifique se há qualquer desvio de tempo

Verifique o tempo em todos os servidores AD FS e proxy para se certificar de que não há distorção de tempo. Se houver uma distorção, sincronize todos os relógios do sistema com a fonte de tempo confiável da sua organização.

Verifique se as atualizações necessárias estão instaladas

Se o AD FS estiver instalado no Windows Server 2012 R2, verifique se as seguintes atualizações estão instaladas:

Verifique as configurações do certificado TLS/SSL

No servidor AD FS primário, obtenha a impressão digital do certificado TLS/SSL (Transport Layer Security/Secure Sockets Layer) executando o seguinte cmdlet no PowerShell:

  1. Execute Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint.
  2. Execute netsh http show sslcert no primeiro servidor AD FS interno.
  3. Da saída anterior:
    • Verifique se o nome do host corresponde ao nome do serviço de federação do AD FS.
    • Verifique a impressão digital contra o certhash para se certificar de que correspondem.
    • Verifique se o nome do repositório CTL (Lista de Certificados Confiáveis) está AdfsTrustedDevices.
    • Você também pode ver uma associação de porta IP para 0.0.0.0:443.

Repita as etapas 2 e 3 para todos os servidores AD FS e WAP.

Atualize as configurações do certificado TLS/SSL, se necessário

Use o Microsoft Entra Connect para atualizar o certificado TLS/SSL nos servidores AD FS e WAP afetados. Siga as instruções em Atualizar o certificado TLS/SSL para um farm do Serviços de Federação do Active Directory.

Verifique o repositório de certificados raiz fiável

Execute o seguinte comando do PowerShell em todos os servidores AD FS e WAP para garantir que não haja certificados não autoassinados no armazenamento de certificados raiz confiável:

  1. Execute Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt".
  2. Se existirem, mova-os para o repositório intermediário.

Atualizar configurações de certificado TLS/SSL

Use o Microsoft Entra Connect para atualizar o certificado TLS/SSL nos servidores AD FS e WAP afetados. Siga as instruções em Atualizar o certificado TLS/SSL para um farm do Serviços de Federação do Active Directory.

Verifique se há erros de replicação do AD FS

Verifique se há erros de replicação do AD FS:

  1. Abra o Console de Gerenciamento Microsoft do AD FS nos servidores secundários e veja a última vez que eles foram sincronizados.
  2. Corrija quaisquer problemas de sincronização.

Nome principal do serviço

Para uma comunicação WAP e AD FS adequada, verifique se o SPN (nome da entidade de serviço) correto está configurado na conta de serviço do AD FS. Execute setspn -f -q host/ <federation service name>, execute setspn -f -q http/ <federation service name>e corrija quaisquer problemas.

  • O host deve resolver para a conta de serviço do AD FS.
  • A chamada HTTP deve ser direcionada para um dos servidores AD FS. Se a resolução SPN corresponder a uma conta de computador não relacionada, a autenticação entre os servidores falhará.

Redefinir a confiança no WAP

Se tudo falhar, redefina a confiança WAP usando o cmdlet Install-WebApplicationProxy PowerShell.

Exemplo: Se a impressão digital do certificado TLS/SSL estiver xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx e o nome do serviço de federação for fs.contoso.com, execute Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx".