Jaki problem należy rozwiązać?
Problemy z instalacją
-
W przeglądarce sieci Web jest wyświetlana strona błędu z komunikatem „Nie można wyświetlić strony”, „Nie można znaleźć serwera” lub „Błąd DNS”.
-
Przy próbie nawiązania połączenia z aplikacją jest wyświetlana strona błędu przeglądarki sieci Web zawierająca komunikat „Nie znaleziono strony” albo „Błąd HTTP 404 - nie można odnaleźć pliku lub katalogu”.
-
Przy próbie nawiązania połączenia ze skonfigurowaną aplikacją używającą tokenu systemu Windows NT nie jest wyświetlany monit o wybranie obszaru hosta i poświadczeń logowania.
Problemy z rejestrowaniem
-
Chcę włączyć rejestrowanie na serwerze federacyjnym kont.
-
Chcę włączyć rejestrowanie na serwerze sieci Web z włączonym programem AD FS dla pakietu uwierzytelniania agenta sieci Web programu AD FS.
-
Chcę włączyć rejestrowanie na serwerze sieci Web z włączonym programem AD FS dla rozszerzenia agenta używającego tokenów systemu Windows w programie AD FS.
-
Chcę włączyć rejestrowanie na serwerze sieci Web z włączonym programem AD FS dla usługi uwierzytelniania agenta sieci Web programu AD FS.
-
Chcę dowiedzieć się, gdzie są zlokalizowane dzienniki.
Problemy z usługami LDS w usłudze AD
-
Po utworzeniu kont użytkowników w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) oraz skonfigurowaniu zasad zaufania z użyciem informacji o magazynie usług LDS w usłudze AD usługa federacyjna nie może sprawdzać poprawności danych użytkowników w magazynie usług LDS w usłudze AD.
-
Magazyn kont usług LDS w usłudze AD został włączony, ale usługa federacyjna nie może pobrać żadnego oświadczenia.
Problemy z konfiguracją
Problemy z instalacją
W przeglądarce sieci Web jest wyświetlana strona błędu z komunikatem „Nie można wyświetlić strony”, „Nie można znaleźć serwera” lub „Błąd DNS”.
Ten problem może mieć kilka przyczyn:
-
Sprawdź, czy wszystkie serwery federacyjne mają certyfikat uwierzytelniania serwera wystawiony dla domyślnej witryny sieci Web.
-
Sprawdź, czy wszystkie serwery sieci Web z włączonym programem AD FS mają certyfikat uwierzytelniania serwera wystawiony dla witryny sieci Web, w której znajduje się dana aplikacja.
-
W przypadku stosowania serwera proxy usługi federacyjnej zewnętrznego partnera kont sprawdź, czy w trakcie instalacji została użyta prawidłowa nazwa hosta usługi federacyjnej.
-
Jeśli jest stosowana aplikacja używająca tokenu systemu Windows NT, sprawdź, czy adres URL (Uniform Resource Locator) usługi federacyjnej został skonfigurowany prawidłowo w przystawce Menedżer usług Internet Information Services (IIS) (w obszarze <nazwa komputera>\Adres URL usług federacyjnych).
Przy próbie nawiązania połączenia z aplikacją jest wyświetlana strona błędu przeglądarki sieci Web zawierająca komunikat „Nie znaleziono strony” albo „Błąd HTTP 404 - nie można odnaleźć pliku lub katalogu”.
Przyczyną tego problemu mogą być następujące nieprawidłowości w konfiguracji:
-
Sprawdź, czy aplikacja sieci Web została prawidłowo skonfigurowana w usługach Internet Information Services (IIS).
-
Sprawdź, czy adres URL aplikacji sieci Web jest prawidłowy w przystawce programu Active Directory Federation Services.
-
Sprawdź, czy na serwerze sieci Web z włączonym programem AD FS oraz w usłudze federacyjnej jest zainstalowana platforma Microsoft ASP.NET.
-
Jeśli błąd 404 pojawia się po przekazaniu poświadczeń przy nawiązywaniu połączenia z aplikacją używającą tokenu systemu Windows NT, sprawdź, czy program obsługi ASPClassic w Internetowych usługach informacyjnych (IIS) jest włączony i skonfigurowany do obsługi stron *.asp. Sprawdź też, czy w usługach IIS zainstalowano funkcję ASP.
Przy próbie nawiązania połączenia ze skonfigurowaną aplikacją używającą tokenu systemu Windows NT nie jest wyświetlany monit o wybranie obszaru hosta i poświadczeń logowania.
Sprawdź, czy w katalogu wirtualnym aplikacji używającej tokenu systemu Windows NT skonfigurowano użycie biblioteki Ifsext.dll rozszerzenia ISAPI (Internet Server Application Programming Interface).
Problemy z rejestrowaniem
Chcę włączyć rejestrowanie na serwerze federacyjnym kont.
Do mapowania certyfikatów klienta na serwerze federacyjnym kont jest używany pakiet uwierzytelniania. Aby włączyć rejestrowanie dla pakietu uwierzytelniania serwera federacyjnego kont, wykonaj kolejno następujące czynności:
-
Zainstaluj składnik usługi federacyjnej programu Active Directory Federation Services (AD FS), jeśli nie został jeszcze zainstalowany.
-
Ustaw następujący klucz rejestru: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
„DebugLevel”=dword:ffffffff
Chcę włączyć rejestrowanie na serwerze sieci Web z włączonym programem AD FS dla pakietu uwierzytelniania agenta sieci Web programu AD FS.
Pakiet uwierzytelniania agenta sieci Web programu AD FS jest stosowany w aplikacjach używających tokenów systemu Windows NT do generowania tokenów w przypadku niedostępności usługi S4U (Service-for-User). Jest on również używany w sytuacji, gdy token zawiera identyfikatory zabezpieczeń (SID), takie jak w przypadku scenariuszy używających grup zasobów lub opcji Zaufanie systemu Windows.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
„DebugLevel”=dword:ffffffff
Chcę włączyć rejestrowanie na serwerze sieci Web z włączonym programem AD FS dla rozszerzenia agenta używającego tokenów systemu Windows w programie AD FS.
Rozszerzenie agenta używającego tokenów systemu Windows w programie AD FS służy do obsługi protokołów używanych w programie AD FS do uwierzytelniania żądań.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]
„DebugPrintLevel”=dword:ffffffff
Chcę włączyć rejestrowanie na serwerze sieci Web z włączonym programem AD FS dla usługi uwierzytelniania agenta sieci Web programu AD FS.
Usługa uwierzytelniania agenta sieci Web programu AD FS weryfikuje poprawność przychodzących tokenów i plików cookie.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]
„DebugPrintLevel”=dword:ffffffff
Chcę dowiedzieć się, gdzie są zlokalizowane dzienniki.
Dzienniki znajdują się folderze %systemroot%\SystemData\ADFS\logs.
Problemy z usługami LDS w usłudze AD
Po utworzeniu kont użytkowników w usługach LDS w usłudze Active Directory (AD LDS, Active Directory Lightweight Directory Services) oraz skonfigurowaniu zasad zaufania z użyciem informacji o magazynie usług LDS w usłudze AD usługa federacyjna nie może sprawdzać poprawności danych użytkowników w magazynie usług LDS w usłudze AD.
Rozwiązanie: Podczas tworzenia kont użytkowników przy użyciu przystawki Edytor ADSI usług LDS w usłudze AD należy zachować ostrożność. Zawsze należy tworzyć konta użytkowników z hasłem. Jeśli tworzysz konto użytkownika bez hasła, użyj przystawki Edytor ADSI ADAM do ponownego ustawienia hasła do konta. Co najważniejsze, sprawdź wartość właściwości msDS-UserAccountDisabled konta użytkownika. Nie powinna ona mieć wartości True (Prawda). Wartość właściwości powinna wynosić False (Fałsz) lub Not set (Nieustawiona). Jeśli właściwość msDS-UserAccountDisabled ma wartość True (Prawda), konto użytkownika jest wyłączone i usługa federacyjna nie może wykonać sprawdzenia poświadczeń dla tego konta użytkownika usług LDS w usłudze AD.
Magazyn kont usług LDS w usłudze AD został włączony, ale usługa federacyjna nie może pobrać żadnego oświadczenia.
Jeśli usługa federacyjna działa na koncie System lokalny, dodaj konto komputera obsługującego usługę federacyjną do grupy Czytelnicy w magazynie usług LDS w usłudze AD.
Jeśli usługa federacyjna działa na koncie Usługa sieciowa, dodaj konto domeny do grupy Czytelnicy w magazynie usług LDS w usłudze AD.
Problemy z konfiguracją
W poniższej sekcji opisano znane problemy z konfiguracją programu AD FS.
Pojawia się komunikat o błędzie serwera.
Błąd: Nie można obsłużyć żądania tokenu dla aplikacji o adresie URL https://..., ponieważ ten adres URL nie określa żadnej znanej aplikacji z relacją zaufania.
Rozwiązanie: Ten błąd jest zwracany przez usługę federacyjną w sytuacji, gdy adres URL aplikacji nie identyfikuje żadnej znanej aplikacji. Upewnij się, że aplikacja została dodana do zasad zaufania usługi federacyjnej.
W przypadku aplikacji obsługującej oświadczenia sprawdź, czy zwrotny adres URL został prawidłowo wpisany w pliku Web.config aplikacji oraz czy jest zgodny z adresem URL aplikacji określonym w zasadach zaufania usługi federacyjnej.
W przypadku aplikacji używającej tokenu systemu Windows NT sprawdź, czy zwrotny adres URL został prawidłowo wpisany w przystawce Menedżer usług Internet Information Services (IIS) (w obszarze <nazwa witryny sieci Web>\Uwierzytelnianie\Agent używający tokenów systemu Windows w programie AD FS) oraz czy jest zgodny z adresem URL aplikacji określonym w zasadach zaufania usługi federacyjnej.
Pojawia się komunikat o błędzie sprawdzania poprawności.
Błąd: Sprawdzenie poprawności parametru MAC właściwości viewstate nie powiodło się. Jeśli aplikacja jest obsługiwana przez klaster lub farmę serwerów sieci Web, upewnij się, że konfiguracja elementu <machineKey> określa ten sam klucz validationKey i ten sam algorytm sprawdzania poprawności.
Opcja AutoGenerate nie może być używana w klastrze. Wystąpił nieobsługiwany wyjątek podczas wykonywania bieżącego żądania sieci Web. Wykonaj śledzenie stosu, aby uzyskać więcej informacji o błędzie i jego źródle w kodzie.
Lub
Błąd: Podczas wykonywania bieżącego żądania sieci Web został wygenerowany nieobsługiwany wyjątek. Informacje dotyczące pochodzenia i lokalizacji wyjątku można zidentyfikować przy użyciu poniższego śladu stosu wyjątku.
Rozwiązanie: Za pomocą edytora tekstu dodaj poniższe ustawienia do pliku Web.config na komputerze obsługującym usługę federacyjną, serwer proxy usługi federacyjnej lub agenta sieci Web programu AD FS, który zostanie umieszczony w farmie.
<system.web>
<machineKey>
<machineKey validationKey="specify key for the appropriate algorithm"
decryptionKey="specify key"
validation="SHA1|MD5|3DES"/>
Lub
Rozwiązanie: Dodaj poniższy element do sekcji <system.web> pliku Web.config na komputerach obsługujących usługę federacyjną, serwer proxy usługi federacyjnej lub agenta sieci Web programu AD FS, które są skonfigurowane w farmie.
<pages enableViewStateMac="false"/>