Que problema está a ter?

Problemas de configuração

Problemas de registo

Problemas do AD LDS

Problemas de configuração

Problemas de configuração

É apresentada uma página de erro do browser com a mensagem “Não é possível apresentar esta página”, “Não é possível encontrar servidores" ou "Erro de DNS”.

Existem algumas coisas que podem provocar este problema:

  • Verifique se todos os servidores de federação têm um certificado de autenticação de servidor emitido para o Web site predefinido.

  • Verifique se todos os servidores Web preparados para AD FS têm um certificado de autenticação de servidor emitido para o Web site onde a aplicação reside.

  • Se existir um Proxy de Serviço de Federação do parceiro de conta externa envolvida, verifique se o nome de anfitrião do Serviço de Federação correcto foi utilizado durante a instalação.

  • Se estiver a utilizar uma aplicação baseada em tokens do Windows NT, verifique se o URL (Uniform Resource Locator) do Serviço de Federação no snap-in Gestor de IIS (Internet Information Services) (no URL <nome de computador>\Serviços de Federação) está configurado correctamente.

Ao tentar ligar à aplicação, é apresentada uma página de erro do browser com a mensagem “Não é possível localizar esta página” ou “Erro de HTTP 404 – Ficheiro ou directório não encontrado”.

Este problema pode ter sido provocado pelos seguintes problemas de configuração:

  • Verifique se a aplicação Web está correctamente configurada nos Serviços de Informação Internet (IIS).

  • Verifique se o URL da aplicação Web tem o nome correcto no snap-in Serviços de Federação do Active Directory.

  • Verifique se o Microsoft ASP.NET está instalado no servidor Web preparado para AD FS e no Serviço de Federação.

  • Se estiver a ligar a uma aplicação aplicação baseada em tokens do Windows NT que utiliza o ASP e for apresentado o erro 404 depois de fornecer as credenciais, verifique se o processador ASPClassic no IIS está activado e configurado para processar páginas *.asp. Verifique também se a funcionalidade ASP está instalada para o IIS.

Depois de configurar uma aplicação baseada em tokens do Windows NT, tento ligar à mesma mas não é solicitado que escolha um realm de anfitrião e credenciais de início de sessão.

Verifique se o directório virtual da aplicação baseada em tokens do Windows NT está configurada para utilizar a extensão ISAPI (Internet Server Application Programming Interface) Ifsext.dll.

Problemas de registo

Pretendo activar o registo no servidor de federação de contas.

O servidor de federação da conta utiliza um pacote de autenticação para mapear certificados de cliente. Para activar o registo para o pacote de autenticação do servidor de federação da conta, execute as seguintes tarefas por ordem:

  1. Se ainda não estiver instalado, instale o componente Serviço de Federação do AD FS (Active Directory Federation Services).

  2. Defina a seguinte chave de registo: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Pretendo activar o registo no servidor Web preparado para AD FS para o Pacote de Autenticação do Agente Web AD FS.

O pacote de autenticação do Agente Web AD FS é utilizado por aplicações baseadas em tokens do Windows NT para gerar tokens quando o S4U (Service-for-User) não está disponível. Também é utilizado quando o token contém SIDs (Security Identifiers), tal como nos cenários que utilizam grupos de recursos ou a opção Fidedignidade do Windows.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

Pretendo activar o registo no servidor Web preparado para AD FS para a Extensão do Agente Baseado em Tokens do Windows do AD FS.

A Extensão do Agente Baseado em Tokens do Windows do AD FS processa os protocolos utilizados pelo AD FS para autenticar pedidos.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Pretendo activar o registo no servidor Web preparado para AD FS para o Serviço de Autenticação do Agente Web AD FS.

O Serviço de Autenticação do Agente Web AD FS valida os tokens e cookies a receber.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Pretendo conhecer a localização dos registos.

Estão localizados em %systemroot%\SystemData\ADFS\logs.

Problemas do AD LDS

Depois de criar as minhas contas de utilizador no AD LDS (Active Directory Lightweight Directory ) e de a política de fidedignidade ser configurada com informações sobre o arquivo do AD LDS, o Serviço de Federação não consegue validar utilizadores no arquivo do AD LDS.

Solução: Tenha cuidado ao criar contas de utilizador com o snap-in Editor de ADSI do AD LDS. Crie sempre uma conta de utilizador com uma palavra-passe. Se criar uma conta de utilizador sem uma palavra-passe, utilize o Editor de ADSI para repor a palavra-passe para a conta de utilizador. Mais importante, verifique o valor da propriedade msDS-UserAccountDisabled da conta de utilizador. Esta propriedade não deve ter o valor Verdadeiro. O valor deve ser Falso ou Não definido. Se o valor da propriedade msDS-UserAccountDisabled for Verdadeiro, significa que a conta de utilizador está desactivada e que o Serviço de Federação não consegue validade credenciais para esta conta de utilizador do AD LDS.

Activei um arquivo de contas do AD LDS, mas o Serviço de Federação não consegue obter quaisquer afirmações.

Se o Serviço de Federação estiver em execução como Sistema Local, tem de adicionar a conta de computador que aloja o Serviço de Federação para o grupo Leitores no arquivo do AD LDS.

Se o Serviço de Federação estiver em execução como Serviço de Rede, tem de adicionar a conta de domínio ao grupo Leitores no arquivo do AD LDS.

Problemas de configuração

A seguinte secção aborda alguns dos problemas conhecidos com a configuração do AD FS.

É apresentado um erro no servidor.

Erro: O pedido de token para a aplicação com o URL https://... não pode ser satisfeito porque o URL (Uniform Resource Locator) não identifica qualquer aplicação fidedigna conhecida

Solução: Este erro é devolvido pelo Serviço de Federação do recurso quando o URL da aplicação não identifica qualquer aplicação conhecida. Certifique-se de que a aplicação foi adicionada à política de fidedignidade para o Serviço de Federação.

Para uma aplicação com suporte para afirmações, verifique se o URL de retorno está escrito correctamente no ficheiro Web.config da aplicação e se corresponde ao URL da aplicação especificado na política de fidedignidade do Serviço de Federação.

Para uma aplicação baseada em tokens do Windows NT, verifique se o URL de retorno está escrito correctamente no snap-in Gestor de IIS (Internet Information Services) (em <Nome do Web site>\Autenticação\Agente baseado em Tokens do Windows do AD FS) e se corresponde ao URL da aplicação na política de fidedignidade do Serviço de Federação.

É apresentado um erro de validação.

Erro: A validação viewstate MAC (Media Access Control) falhou. Se esta aplicação for hospedada por uma Web farm ou cluster, certifique-se de que a configuração <machineKey> especifica a mesma chave de validação e algoritmo de validação.

AutoGenerate não pode ser utilizado num cluster. Ocorreu uma excepção não processada durante a execução do pedido Web actual. Reveja o rastreio da pilha para obter mais informações sobre o erro e onde foi originado no código.

Ou

Erro: Foi gerada uma excepção não processada durante a execução do pedido Web actual. As informações relativas à origem e localização da excepção podem ser identificadas utilizando o rastreio da pilha da excepção abaixo.

Solução: Utilizando um editor de texto, adicione a seguinte definição ao ficheiro Web.config no computador que aloja o Serviço de Federação, Proxy de Serviço de Federação ou Agente Web AD FS que vai ser colocado no farm:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Ou

Solução: Adicione o seguinte elemento na secção <system.web> do ficheiro Web.config nos computadores que alojam o Serviço de Federação, Proxy de Serviço de Federação ou Agente Web AD FS configurados no farm:

<pages enableViewStateMac="false"/>

Consulte Também


Sumário