Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья помогает устранить проблемы с конфигурацией доверительных отношений прокси-сервера со службой федерации Active Directory (AD FS). Используйте эту статью, если вы видите проблемы с конфигурацией доверия прокси веб-приложения (WAP).
Проверьте наличие временного искажения
Проверьте время на всех серверах AD FS и прокси-серверах, чтобы убедиться, что нет расхождения во времени. Если возникла ошибка, синхронизируйте все системные часы с надежным источником времени вашей организации.
Убедитесь, что установлены необходимые обновления
Если AD FS установлен в Windows Server 2012 R2, убедитесь, что установлены следующие обновления:
- обновления Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2: апрель 2014 г.
- накопительный пакет обновления ноября 2014 г. для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
- накопительный пакет обновления декабря 2014 г. для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
- Тайм-ауты после первоначального развертывания службы регистрации устройств в Windows Server 2012 R2
Проверка параметров TLS/SSL-сертификата
На основном сервере AD FS получите отпечаток сертификата tls/SSL, выполнив следующий командлет в PowerShell:
- Выполните
Get-AdfsCertificate -CertificateType Service-Communications | select Thumbprint. - Запустите
netsh http show sslcertна первом внутреннем сервере AD FS. - Из предыдущих выходных данных:
- Убедитесь, что имя узла соответствует имени службы федерации AD FS.
- Проверьте отпечаток сертификата и certhash, чтобы убедиться, что они соответствуют.
- Убедитесь, что название хранилища списка доверия сертификатов (CTL) установлено как
AdfsTrustedDevices. - Вы также можете увидеть привязку IP-порта для
0.0.0.0:443.
Повторите шаги 2 и 3 для всех серверов AD FS и WAP.
При необходимости обновите параметры СЕРТИФИКАТА TLS/SSL
Используйте Microsoft Entra Connect, чтобы обновить TLS/SSL-сертификат на затронутых серверах AD FS и WAP. Следуйте инструкциям в пункте , чтобы обновить TLS/SSL-сертификат для фермы сервисов федерации Active Directory.
Проверка доверенного корневого хранилища сертификатов
Выполните следующую команду PowerShell на всех серверах AD FS и WAP, чтобы убедиться, что в хранилище доверенных корневых сертификатов нет сертификатов, которые не являются самозаверенными.
- Выполните
Get-ChildItem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt". - Если они существуют, переместите их в промежуточное хранилище.
Обновление параметров TLS/SSL-сертификата
Используйте Microsoft Entra Connect, чтобы обновить TLS/SSL-сертификат на затронутых серверах AD FS и WAP. Следуйте инструкциям в пункте , чтобы обновить TLS/SSL-сертификат для фермы сервисов федерации Active Directory.
Проверьте наличие ошибок репликации AD FS
Проверьте наличие ошибок репликации AD FS:
- Откройте консоль управления Microsoft AD FS на дополнительных серверах и посмотрите на последний раз, когда они синхронизированы.
- Устранение проблем с синхронизацией.
Имя основной службы
Для корректной связи WAP и AD FS убедитесь, что имя принципала службы (SPN) правильно настроено в учетной записи службы AD FS. Запустите setspn -f -q host/ <federation service name>, запустите setspn -f -q http/ <federation service name>и исправьте все проблемы.
- Хост должен сопоставляться с учетной записью службы AD FS.
- Вызов HTTP должен приводить к одному из серверов AD FS. Если поиск SPN разрешается в несвязанную учетную запись компьютера, проверка подлинности между серверами завершается ошибкой.
Сбросить доверие WAP
Если все остальное завершится ошибкой, восстановите доверие WAP с помощью командлета PowerShell Install-WebApplicationProxy.
Пример: Если отпечаток сертификата TLS/SSL xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx, а имя службы федерации fs.contoso.com, выполните Install-WebApplicationProxy -FederationServiceName fs.contoso.com -CertificateThumbprint "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx".