Qual é o seu problema?
Problemas na instalação
-
É exibida uma página de erro no navegador da Web com a mensagem “Esta página não pode ser exibida”, “Servidor não encontrado” ou “Erro de DNS”.
-
Ao tentar conectar ao aplicativo, recebo uma página de erro no navegador da Web com a mensagem “Página não encontrada” ou “Erro de HTTP 404 – Arquivo ou diretório não encontrado”.
-
Depois de configurar um aplicativo baseado no token do Windows NT, tento me conectar a ele, mas não recebo a solicitação para escolher um realm de host e credenciais de logon.
Problemas de logon
-
Quero habilitar logs no servidor de federação da conta.
-
Quero habilitar logs no servidor Web habilitado para AD FS para o Pacote de Autenticação Agente Web do AD FS.
-
Quero habilitar logs no servidor Web habilitado para AD FS para a Extensão do Agente Baseado em Token do Windows do AD FS.
-
Quero habilitar logs no servidor Web habilitado para AD FS para o Serviço de Autenticação Agente Web do AD FS.
-
Quero saber onde os logs estão localizados.
Problemas do AD LDS
-
Depois que as minhas contas de usuário são criadas no Active Directory Lightweight Directory Services (AD LDS) e a diretiva de confiança é configurada com informações sobre o armazenamento do AD LDS, o Serviço de Federação não consegue validar usuários no armazenamento do AD LDS.
-
Habilitei um armazenamento de conta do AD LDS, mas o Serviço de Federação não consegue recuperar as declarações.
Problemas na configuração
Problemas na instalação
É exibida uma página de erro no navegador da Web com a mensagem “Esta página não pode ser exibida”, “Servidor não encontrado” ou “Erro de DNS”.
Este problema pode ter algumas causas:
-
Verifique se todos os servidores de federação possuem um certificado de autenticação do servidor emitido para o site da Web padrão.
-
Verifique se todos os servidores Web habilitados para AD FS possuem um certificado de autenticação do servidor emitido para o site da Web onde o aplicativo está localizado.
-
Se houver um Proxy de Serviço de Federação de um parceiro de conta externo envolvido, verifique se o nome de host correto do Serviço de Federação foi usado durante a instalação.
-
Se você estiver usando um aplicativo baseado em token do Windows NT, verifique se a URL do Serviço de Federação no snap-in Gerenciador do IIS (em <nome do computador>\URL dos Serviços de Federação) está configurada corretamente.
Ao tentar conectar ao aplicativo, recebo uma página de erro no navegador da Web com a mensagem “Página não encontrada” ou “Erro de HTTP 404 – Arquivo ou diretório não encontrado”.
Isto pode ser causado pelos seguintes problemas de configuração:
-
Verifique se o aplicativo da Web está configurado corretamente no IIS (Serviços de Informações da Internet).
-
Verifique se a URL do aplicativo da Web está nomeada corretamente no snap-in dos Serviços de Federação do Active Directory.
-
Verifique se o Microsoft ASP.NET está instalado no servidor Web habilitado para AD FS e no Serviço de Federação.
-
Se você estiver se conectando a um aplicativo baseado em token do Windows NT que use ASP e receber o erro 404 após fornecer suas credenciais, verifique se o manipulador ASPClassic no IIS está habilitado e configurado para manipular páginas *.asp. Verifique também se o recurso ASP está instalado para o IIS.
Depois de configurar um aplicativo baseado no token do Windows NT, tento me conectar a ele, mas não recebo a solicitação para escolher um realm de host e credenciais de logon.
Verifique se o diretório virtual do aplicativo baseado no token do Windows NT está configurado para usar a extensão ISAPI Ifsext.dll.
Problemas de logon
Quero habilitar logs no servidor de federação da conta.
O servidor de federação da conta usa um pacote de autenticação para mapear certificados de cliente. Para habilitar o log para o pacote de autenticação do servidor de federação da conta, realize as seguintes tarefas em ordem:
-
Caso ainda não esteja instalado, instale o componente Serviço de Federação dos Serviços de Federação do Active Directory (AD FS).
-
Defina a seguinte chave do Registro: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Quero habilitar logs no servidor Web habilitado para AD FS para o Pacote de Autenticação Agente Web do AD FS.
O pacote de autenticação do Agente Web do AD FS é usado por aplicativos baseados no token do Windows NT para gerar tokens quando o S4U (Service-for-User) não está disponível. Ele também é usado quando o token contém identificadores de segurança (SIDs), como em cenários que usam grupos de recursos ou a opção Confiança do Windows.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Quero habilitar logs no servidor Web habilitado para AD FS para a Extensão do Agente Baseado em Token do Windows do AD FS.
A Extensão do Agente Baseado em Token do Windows do AD FS manipula os protocolos usados pelo AD FS para autenticar solicitações.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]
"DebugPrintLevel"=dword:ffffffff
Quero habilitar logs no servidor Web habilitado para AD FS para o Serviço de Autenticação Agente Web do AD FS.
O Serviço de Autenticação do Agente da Web do AD FS valida cookies e tokens de entrada.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]
"DebugPrintLevel"=dword:ffffffff
Quero saber onde os logs estão localizados.
Eles estão localizados em %systemroot%\SystemData\ADFS\logs.
Problemas do AD LDS
Depois que as minhas contas de usuário são criadas no Active Directory Lightweight Directory Services (AD LDS) e a diretiva de confiança é configurada com informações sobre o armazenamento do AD LDS, o Serviço de Federação não consegue validar usuários no armazenamento do AD LDS.
Solução: tenha cuidado ao criar contas de usuário com o snap-in Editar ADSI AD LDS. Sempre crie uma conta de usuário com senha. Se você criar uma conta de usuário sem uma senha, use o Editor ADSI para redefinir a senha da conta do usuário. E, o mais importante, verifique o valor da propriedade msDS-UserAccountDisabled da conta do usuário. Essa propriedade não deve ter o valor True. O valor deve ser False ou Não definido. Se o valor da propriedade msDS-UserAccountDisabled for True, significa que a conta do usuário está desabilitada e o Serviço de Federação não pode validar credenciais para esta conta de usuário do AD LDS.
Habilitei um armazenamento de conta do AD LDS, mas o Serviço de Federação não consegue recuperar as declarações.
Se o Serviço de Federação estiver sendo executado como sistema local, você deverá adicionar a conta do computador que está hospedando o Serviço de Federação ao grupo de leitores no armazenamento do AD LDS.
Se o Serviço de Federação estiver sendo executado como serviço de rede, você deverá adicionar a conta do domínio ao grupo de leitores no armazenamento do AD LDS.
Problemas na configuração
A seção a seguir aborda alguns dos problemas conhecidos da configuração do AD FS.
Estou recebendo um erro de servidor.
Erro: a solicitação de token para o aplicativo com URL https://... não pode ser atendida porque a URL não identifica nenhum aplicativo de confiança conhecido.
Solução: este erro é retornado pelo Serviço de Federação do recurso quando a URL do aplicativo não identifica um aplicativo conhecido. Verifique se o aplicativo foi adicionado à diretiva de confiança do Serviço de Federação.
Em um aplicativo de reconhecimento de declaração, verifique se a URL de retorno foi digitada corretamente no arquivo Web.config do aplicativo e se ela corresponde à URL do aplicativo especificada na diretiva de confiança do Serviço de Federação.
Para um aplicativo baseado em token do Windows NT, verifique se a URL de retorno foi digitada corretamente no snap-in Gerenciador do IIS (em <nome do site da Web>\Autenticação\Agente Baseado em Token do Windows do AD FS) e que corresponda à URL do aplicativo na diretiva de confiança do Serviço de Federação.
Estou recebendo um erro de validação.
Erro: falha ao validar MAC do viewstate. Se este aplicativo for hospedado por uma Web farm ou um cluster, verifique se a configuração de <machineKey> especifica a mesma chave de validação e o algoritmo de validação.
AutoGenerate não pode ser usada em um cluster. Ocorreu uma exceção não tratada durante a execução da atual solicitação da Web. Verifique o rastreamento de pilha para obter mais informações sobre o erro e onde ele originou no código.
Ou
Erro: uma exceção não tratada foi gerada durante a execução da solicitação atual da Web. As informações sobre a origem e a localização da exceção podem ser identificadas usando-se o rastreamento de pilha da exceção abaixo.
Solução: usando um editor de texto, adicione a seguinte configuração ao arquivo Web.config no computador que estiver hospedando o Serviço de Federação, o Proxy de Serviço de Federação ou o Agente da Web do AD FS que será colocado em farm:
<system.web>
<machineKey>
<machineKey validationKey="specify key for the appropriate algorithm"
decryptionKey="specify key"
validation="SHA1|MD5|3DES"/>
Ou
Solução: adicione o seguinte elemento na seção <system.web> do arquivo Web.config nos computadores que estão hospedando o Serviço de Federação, o Proxy de Serviço de Federação ou o Agente Web do AD FS que está configurado na farm:
<pages enableViewStateMac="false"/>