Устранение неполадок в службах федерации Active Directory

Установите вид неполадки

Проблемы, связанные с установкой

Проблемы, связанные с ведением журнала

Проблемы, связанные со службами Active Directory облегченного доступа к каталогам

Проблемы, связанные с настройкой

Проблемы, связанные с установкой

Веб-браузер открывает страницу ошибки с сообщением «Не удается отобразить эту страницу», «Не удается найти сервер» или «Ошибка DNS».

Эта проблема может быть вызвана несколькими причинами.

  • Убедитесь, что для всех серверов федерации имеются сертификаты проверки подлинности серверов, выпущенные для веб-сайта, используемого по умолчанию.

  • Убедитесь, что для всех веб-серверов с поддержкой служб федерации Active Directory имеются сертификаты проверки подлинности серверов, выпущенные для веб-сайта, на котором находится приложение.

  • Если используется прокси-агент службы федерации внешнего партнера по учетным записям, убедитесь, что во время установки использовалось правильное имя узла службы федерации.

  • Если применяется приложение, использующее токены Windows NT, убедитесь в правильности настройки URL-адреса службы федерации в диспетчере служб IIS (в папке <имя_компьютера>\URL-адрес служб федерации).

При попытке подключиться к приложению веб-браузер открывает страницу ошибки с сообщением «Не удается найти страницу» или «Ошибка HTTP 404 - файл или каталог не найден».

Эта неполадка может быть вызвана описанными ниже проблемами в настройке.

  • Убедитесь, что веб-приложение правильно настроено в службах IIS.

  • Убедитесь, что URL-адрес веб-приложения имеет правильное имя в оснастке «Службы федерации Active Directory».

  • Убедитесь, что пакет Microsoft ASP.NET установлен на веб-сервере с поддержкой служб федерации Active Directory и в службе федерации.

  • Если при подключении к приложению, использующему токены Windows NT и поставщик услуг ASP, выводится сообщение об ошибке 404 после предоставления учетных данных, убедитесь, что обработчик ASPClassic включен и настроен для обработки ASP-страниц. Проверьте также, чтобы функция поставщика услуг ASP была установлена для служб IIS.

После установки приложения, использующего токены Windows NT, при попытке подключиться к нему не выводится приглашение для выбора области узла и учетных данных для входа

Убедитесь, что в настройках виртуального каталога приложения, использующего токены Windows NT, предусмотрено применение расширения Ifsext.dll интерфейса приложений ISAPI.

Проблемы, связанные с ведением журнала

Требуется включить ведение журнала на сервере федерации учетных записей

На сервере федерации учетных записей используется пакет проверки подлинности для сопоставления сертификатов клиентов. Чтобы включить ведение журнала для пакета проверки подлинности на сервере федерации учетных записей, выполните перечисленные ниже действия в указанном порядке.

  1. Установите компонент «Служба федерации» служб федерации Active Directory, если он еще не установлен.

  2. Задайте значение для следующего раздела реестра: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Требуется включить ведение журнала на веб-сервере с поддержкой служб федерации Active Directory для пакета проверки подлинности веб-агента служб федерации Active Directory

Пакет проверки подлинности веб-агента служб федерации Active Directory применяется приложением, использующим токены Windows NT, для создания токенов, когда режим S4U недоступен. Он также применяется, когда токен содержит идентификаторы безопасности (ИД безопасности), например в сценариях, использующих группы ресурсов или режим Доверие Windows.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

Требуется включить ведение журнала на веб-сервере с поддержкой служб федерации Active Directory для расширения агента служб федерации Active Directory, использующего токены Windows

Расширение агента служб федерации Active Directory, использующего токены Windows, обрабатывает протоколы, применяемые службами федерации Active Directory для проверки подлинности запросов.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Требуется включить ведение журнала на веб-сервере с поддержкой служб федерации Active Directory для службы проверки подлинности веб-агента служб федерации Active Directory

Служба проверки подлинности веб-агента служб федерации Active Directory осуществляет проверку подлинности входящих токенов и файлов «cookie».

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Требуется узнать, где расположены журналы.

Они расположены в каталоге %systemroot%\SystemData\ADFS\logs.

Проблемы, связанные со службами Active Directory облегченного доступа к каталогам

После создания учетных записей пользователей в службах Active Directory облегченного доступа к каталогам и настройки политики доверия в соответствии с информацией о хранилище служб Active Directory облегченного доступа к каталогам службе федерации не удается проверить пользователей в хранилище служб Active Directory облегченного доступа к каталогам

Решение. Будьте внимательны при создании учетных записей пользователей с помощью оснастки «Редактор ADSI для служб Active Directory облегченного доступа к каталогам». Всегда создавайте с паролем учетную запись пользователя. Если учетная запись пользователя создана без пароля, для восстановления пароля учетной записи используйте редактор ADSI. Еще более важно проверить значение свойства msDS-UserAccountDisabled учетной записи пользователя. Это свойство не должно иметь значения True. Значением должно быть False или Not set. Если значение свойства msDS-UserAccountDisabled - True, это означает, что учетная запись пользователя отключена, и служба федерации не может проверить правильность сведений о подлинности этой учетной записи пользователя служб Active Directory облегченного доступа к каталогам.

Хранилище учетных записей служб Active Directory облегченного доступа к каталогам включено, но службе федерации не удается извлечь утверждения

Если служба федерации работает как локальная система, к группе «Читатели» в хранилище служб Active Directory облегченного доступа к каталогам следует добавить учетную запись компьютера, на котором работает служба федерации.

Если служба федерации выполняется как сетевая служба, к группе «Читатели» в хранилище служб Active Directory облегченного доступа к каталогам следует добавить учетную запись домена.

Проблемы, связанные с настройкой

В рассматриваемом далее разделе освещаются некоторые из известных проблем, связанных с настройкой служб федерации Active Directory.

Выводится сообщение об ошибке сервера

Ошибка. Запрос токеном приложения с URL-адресом https://... не может быть выполнен, поскольку этот URL-адрес не определяет ни одно из известных доверяющих приложений.

Решение. Эта ошибка возвращается службой федерации ресурсов, если URL-адрес приложения не определяет ни одно из известных приложений. Убедитесь, что приложение было добавлено к политике доверия службы федерации.

Для приложения, поддерживающего утверждения, убедитесь, что в файле Web.config приложения правильно задан URL-адрес возврата и что он совпадает с URL-адресом приложения, указанным в политике доверия службы федерации.

Для приложения, использующего токены Windows NT, убедитесь в правильности ввода URL-адреса возврата в оснастке «Диспетчер служб IIS» (в папке <имя_веб-сайта>\Authentication\агент служб федерации Active Directory, использующий токены Windows) и в том, что он совпадает с URL-адресом приложения, указанным в политике доверия службы федерации.

Выводится сообщение об ошибке проверки

Ошибка. Не удается проверить отображение уровня управления доступом к среде передаче. Если это приложение управляется веб-фермой или кластером, убедитесь, что настройкой параметра <machineKey> задается такое же значение validationKey и такой же алгоритм проверки.

Режим AutoGenerate не может использоваться в кластере. Во время выполнения текущего веб-запроса произошло необрабатываемое исключение. Для получения дополнительных сведений об ошибке просмотрите трассировку стека и найдите источник ошибки в программном коде.

Или

Ошибка. Во время выполнения текущего веб-запроса произошло необрабатываемое исключение. Информация об источнике и местоположении исключения может быть получена с помощью трассировки стека, показанной ниже.

Решение. С помощью текстового редактора добавьте следующий параметр к файлу Web.config на компьютере, на котором работают служба федерации, прокси-агент службы федерации или веб-агент служб федерации Active Directory, добавляемые к ферме:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Или

Решение. Добавьте следующий элемент в раздел <system.web> файла Web.config на компьютерах, на которых работают служба федерации, прокси-агент службы федерации или веб-агент служб федерации Active Directory, объединенные в ферме:

<pages enableViewStateMac="false"/>

См. также