Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo ajuda a resolver problemas com a configuração de confiança de proxy com o Serviço de Federação do Active Directory (AD FS). Use este artigo se você estiver vendo problemas com sua configuração de confiança do Proxy de Aplicativo Web (WAP).
Verifique se há qualquer desvio de tempo
Verifique o tempo em todos os servidores AD FS e proxy para se certificar de que não há distorção de tempo. Se houver uma distorção, sincronize todos os relógios do sistema com a fonte de tempo confiável da sua organização.
Verifique se as atualizações necessárias estão instaladas
Se o AD FS estiver instalado no Windows Server 2012 R2, verifique se as seguintes atualizações estão instaladas:
- atualização do Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2: abril de 2014
- pacote cumulativo de atualizações de novembro de 2014 para Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
- pacote cumulativo de atualizações de dezembro de 2014 para Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
- Falhas de timeout após a implantação inicial do serviço de Registro de Dispositivo no Windows Server 2012 R2
Verifique as configurações do certificado TLS/SSL
No servidor AD FS primário, obtenha a impressão digital do certificado TLS/SSL (Transport Layer Security/Secure Sockets Layer) executando o seguinte cmdlet no PowerShell:
- Execute
Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint
. - Execute
netsh http show sslcert
no primeiro servidor AD FS interno. - Da saída anterior:
- Verifique se o nome do host corresponde ao nome do serviço de federação do AD FS.
- Verifique a impressão digital contra o certhash para se certificar de que correspondem.
- Verifique se o nome do repositório CTL (Lista de Certificados Confiáveis) está
AdfsTrustedDevices
. - Você também pode ver uma associação de porta IP para
0.0.0.0:443
.
Repita as etapas 2 e 3 para todos os servidores AD FS e WAP.
Atualize as configurações do certificado TLS/SSL, se necessário
Use o Microsoft Entra Connect para atualizar o certificado TLS/SSL nos servidores AD FS e WAP afetados. Siga as instruções em Atualizar o certificado TLS/SSL para um farm do Serviços de Federação do Active Directory.
Verifique o repositório de certificados raiz fiável
Execute o seguinte comando do PowerShell em todos os servidores AD FS e WAP para garantir que não haja certificados não autoassinados no armazenamento de certificados raiz confiável:
- Execute
Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt"
. - Se existirem, mova-os para o repositório intermediário.
Atualizar configurações de certificado TLS/SSL
Use o Microsoft Entra Connect para atualizar o certificado TLS/SSL nos servidores AD FS e WAP afetados. Siga as instruções em Atualizar o certificado TLS/SSL para um farm do Serviços de Federação do Active Directory.
Verifique se há erros de replicação do AD FS
Verifique se há erros de replicação do AD FS:
- Abra o Console de Gerenciamento Microsoft do AD FS nos servidores secundários e veja a última vez que eles foram sincronizados.
- Corrija quaisquer problemas de sincronização.
Nome principal do serviço
Para uma comunicação WAP e AD FS adequada, verifique se o SPN (nome da entidade de serviço) correto está configurado na conta de serviço do AD FS. Execute setspn -f -q host/ <federation service name>
, execute setspn -f -q http/ <federation service name>
e corrija quaisquer problemas.
- O host deve resolver para a conta de serviço do AD FS.
- A chamada HTTP deve ser direcionada para um dos servidores AD FS. Se a resolução SPN corresponder a uma conta de computador não relacionada, a autenticação entre os servidores falhará.
Redefinir a confiança no WAP
Se tudo falhar, redefina a confiança WAP usando o cmdlet Install-WebApplicationProxy
PowerShell.
Exemplo: Se a impressão digital do certificado TLS/SSL estiver xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
e o nome do serviço de federação for fs.contoso.com
, execute Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
.