Qual é o seu problema?

Problemas na instalação

Problemas de logon

Problemas do AD LDS

Problemas na configuração

Problemas na instalação

É exibida uma página de erro no navegador da Web com a mensagem “Esta página não pode ser exibida”, “Servidor não encontrado” ou “Erro de DNS”.

Este problema pode ter algumas causas:

  • Verifique se todos os servidores de federação possuem um certificado de autenticação do servidor emitido para o site da Web padrão.

  • Verifique se todos os servidores Web habilitados para AD FS possuem um certificado de autenticação do servidor emitido para o site da Web onde o aplicativo está localizado.

  • Se houver um Proxy de Serviço de Federação de um parceiro de conta externo envolvido, verifique se o nome de host correto do Serviço de Federação foi usado durante a instalação.

  • Se você estiver usando um aplicativo baseado em token do Windows NT, verifique se a URL do Serviço de Federação no snap-in Gerenciador do IIS (em <nome do computador>\URL dos Serviços de Federação) está configurada corretamente.

Ao tentar conectar ao aplicativo, recebo uma página de erro no navegador da Web com a mensagem “Página não encontrada” ou “Erro de HTTP 404 – Arquivo ou diretório não encontrado”.

Isto pode ser causado pelos seguintes problemas de configuração:

  • Verifique se o aplicativo da Web está configurado corretamente no IIS (Serviços de Informações da Internet).

  • Verifique se a URL do aplicativo da Web está nomeada corretamente no snap-in dos Serviços de Federação do Active Directory.

  • Verifique se o Microsoft ASP.NET está instalado no servidor Web habilitado para AD FS e no Serviço de Federação.

  • Se você estiver se conectando a um aplicativo baseado em token do Windows NT que use ASP e receber o erro 404 após fornecer suas credenciais, verifique se o manipulador ASPClassic no IIS está habilitado e configurado para manipular páginas *.asp. Verifique também se o recurso ASP está instalado para o IIS.

Depois de configurar um aplicativo baseado no token do Windows NT, tento me conectar a ele, mas não recebo a solicitação para escolher um realm de host e credenciais de logon.

Verifique se o diretório virtual do aplicativo baseado no token do Windows NT está configurado para usar a extensão ISAPI Ifsext.dll.

Problemas de logon

Quero habilitar logs no servidor de federação da conta.

O servidor de federação da conta usa um pacote de autenticação para mapear certificados de cliente. Para habilitar o log para o pacote de autenticação do servidor de federação da conta, realize as seguintes tarefas em ordem:

  1. Caso ainda não esteja instalado, instale o componente Serviço de Federação dos Serviços de Federação do Active Directory (AD FS).

  2. Defina a seguinte chave do Registro: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Quero habilitar logs no servidor Web habilitado para AD FS para o Pacote de Autenticação Agente Web do AD FS.

O pacote de autenticação do Agente Web do AD FS é usado por aplicativos baseados no token do Windows NT para gerar tokens quando o S4U (Service-for-User) não está disponível. Ele também é usado quando o token contém identificadores de segurança (SIDs), como em cenários que usam grupos de recursos ou a opção Confiança do Windows.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

Quero habilitar logs no servidor Web habilitado para AD FS para a Extensão do Agente Baseado em Token do Windows do AD FS.

A Extensão do Agente Baseado em Token do Windows do AD FS manipula os protocolos usados pelo AD FS para autenticar solicitações.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Quero habilitar logs no servidor Web habilitado para AD FS para o Serviço de Autenticação Agente Web do AD FS.

O Serviço de Autenticação do Agente da Web do AD FS valida cookies e tokens de entrada.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Quero saber onde os logs estão localizados.

Eles estão localizados em %systemroot%\SystemData\ADFS\logs.

Problemas do AD LDS

Depois que as minhas contas de usuário são criadas no Active Directory Lightweight Directory Services (AD LDS) e a diretiva de confiança é configurada com informações sobre o armazenamento do AD LDS, o Serviço de Federação não consegue validar usuários no armazenamento do AD LDS.

Solução: tenha cuidado ao criar contas de usuário com o snap-in Editar ADSI AD LDS. Sempre crie uma conta de usuário com senha. Se você criar uma conta de usuário sem uma senha, use o Editor ADSI para redefinir a senha da conta do usuário. E, o mais importante, verifique o valor da propriedade msDS-UserAccountDisabled da conta do usuário. Essa propriedade não deve ter o valor True. O valor deve ser False ou Não definido. Se o valor da propriedade msDS-UserAccountDisabled for True, significa que a conta do usuário está desabilitada e o Serviço de Federação não pode validar credenciais para esta conta de usuário do AD LDS.

Habilitei um armazenamento de conta do AD LDS, mas o Serviço de Federação não consegue recuperar as declarações.

Se o Serviço de Federação estiver sendo executado como sistema local, você deverá adicionar a conta do computador que está hospedando o Serviço de Federação ao grupo de leitores no armazenamento do AD LDS.

Se o Serviço de Federação estiver sendo executado como serviço de rede, você deverá adicionar a conta do domínio ao grupo de leitores no armazenamento do AD LDS.

Problemas na configuração

A seção a seguir aborda alguns dos problemas conhecidos da configuração do AD FS.

Estou recebendo um erro de servidor.

Erro: a solicitação de token para o aplicativo com URL https://... não pode ser atendida porque a URL não identifica nenhum aplicativo de confiança conhecido.

Solução: este erro é retornado pelo Serviço de Federação do recurso quando a URL do aplicativo não identifica um aplicativo conhecido. Verifique se o aplicativo foi adicionado à diretiva de confiança do Serviço de Federação.

Em um aplicativo de reconhecimento de declaração, verifique se a URL de retorno foi digitada corretamente no arquivo Web.config do aplicativo e se ela corresponde à URL do aplicativo especificada na diretiva de confiança do Serviço de Federação.

Para um aplicativo baseado em token do Windows NT, verifique se a URL de retorno foi digitada corretamente no snap-in Gerenciador do IIS (em <nome do site da Web>\Autenticação\Agente Baseado em Token do Windows do AD FS) e que corresponda à URL do aplicativo na diretiva de confiança do Serviço de Federação.

Estou recebendo um erro de validação.

Erro: falha ao validar MAC do viewstate. Se este aplicativo for hospedado por uma Web farm ou um cluster, verifique se a configuração de <machineKey> especifica a mesma chave de validação e o algoritmo de validação.

AutoGenerate não pode ser usada em um cluster. Ocorreu uma exceção não tratada durante a execução da atual solicitação da Web. Verifique o rastreamento de pilha para obter mais informações sobre o erro e onde ele originou no código.

Ou

Erro: uma exceção não tratada foi gerada durante a execução da solicitação atual da Web. As informações sobre a origem e a localização da exceção podem ser identificadas usando-se o rastreamento de pilha da exceção abaixo.

Solução: usando um editor de texto, adicione a seguinte configuração ao arquivo Web.config no computador que estiver hospedando o Serviço de Federação, o Proxy de Serviço de Federação ou o Agente da Web do AD FS que será colocado em farm:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Ou

Solução: adicione o seguinte elemento na seção <system.web> do arquivo Web.config nos computadores que estão hospedando o Serviço de Federação, o Proxy de Serviço de Federação ou o Agente Web do AD FS que está configurado na farm:

<pages enableViewStateMac="false"/>

Consulte também

Sumário