Que problema está a ter?
Problemas de configuração
-
É apresentada uma página de erro do browser com a mensagem “Não é possível apresentar esta página”, “Não é possível encontrar servidores" ou "Erro de DNS”.
-
Ao tentar ligar à aplicação, é apresentada uma página de erro do browser com a mensagem “Não é possível localizar esta página” ou “Erro de HTTP 404 – Ficheiro ou directório não encontrado”.
-
Depois de configurar uma aplicação baseada em tokens do Windows NT, tento ligar à mesma mas não é solicitado que escolha um realm de anfitrião e credenciais de início de sessão.
Problemas de registo
-
Pretendo activar o registo no servidor de federação de contas.
-
Pretendo activar o registo no servidor Web com capacidade para AD FS para o Pacote de Autenticação do Agente Web AD FS.
-
Pretendo activar o registo no servidor Web com capacidade para AD FS para a Extensão do Agente Baseado em Tokens do Windows do AD FS.
-
Pretendo activar o registo no servidor Web com capacidade para AD FS para o Serviço de Autenticação do Agente Web AD FS.
-
Pretendo conhecer a localização dos registos.
Problemas do AD LDS
-
Depois de criar as minhas contas de utilizador no AD LDS (Active Directory Lightweight Directory ) e de a política de fidedignidade ser configurada com informações sobre o arquivo do AD LDS, o Serviço de Federação não consegue validar utilizadores no arquivo do AD LDS.
-
Activei um arquivo de contas do AD LDS, mas o Serviço de Federação não consegue obter quaisquer afirmações.
Problemas de configuração
Problemas de configuração
É apresentada uma página de erro do browser com a mensagem “Não é possível apresentar esta página”, “Não é possível encontrar servidores" ou "Erro de DNS”.
Existem algumas coisas que podem provocar este problema:
-
Verifique se todos os servidores de federação têm um certificado de autenticação de servidor emitido para o Web site predefinido.
-
Verifique se todos os servidores Web preparados para AD FS têm um certificado de autenticação de servidor emitido para o Web site onde a aplicação reside.
-
Se existir um Proxy de Serviço de Federação do parceiro de conta externa envolvida, verifique se o nome de anfitrião do Serviço de Federação correcto foi utilizado durante a instalação.
-
Se estiver a utilizar uma aplicação baseada em tokens do Windows NT, verifique se o URL (Uniform Resource Locator) do Serviço de Federação no snap-in Gestor de IIS (Internet Information Services) (no URL <nome de computador>\Serviços de Federação) está configurado correctamente.
Ao tentar ligar à aplicação, é apresentada uma página de erro do browser com a mensagem “Não é possível localizar esta página” ou “Erro de HTTP 404 – Ficheiro ou directório não encontrado”.
Este problema pode ter sido provocado pelos seguintes problemas de configuração:
-
Verifique se a aplicação Web está correctamente configurada nos Serviços de Informação Internet (IIS).
-
Verifique se o URL da aplicação Web tem o nome correcto no snap-in Serviços de Federação do Active Directory.
-
Verifique se o Microsoft ASP.NET está instalado no servidor Web preparado para AD FS e no Serviço de Federação.
-
Se estiver a ligar a uma aplicação aplicação baseada em tokens do Windows NT que utiliza o ASP e for apresentado o erro 404 depois de fornecer as credenciais, verifique se o processador ASPClassic no IIS está activado e configurado para processar páginas *.asp. Verifique também se a funcionalidade ASP está instalada para o IIS.
Depois de configurar uma aplicação baseada em tokens do Windows NT, tento ligar à mesma mas não é solicitado que escolha um realm de anfitrião e credenciais de início de sessão.
Verifique se o directório virtual da aplicação baseada em tokens do Windows NT está configurada para utilizar a extensão ISAPI (Internet Server Application Programming Interface) Ifsext.dll.
Problemas de registo
Pretendo activar o registo no servidor de federação de contas.
O servidor de federação da conta utiliza um pacote de autenticação para mapear certificados de cliente. Para activar o registo para o pacote de autenticação do servidor de federação da conta, execute as seguintes tarefas por ordem:
-
Se ainda não estiver instalado, instale o componente Serviço de Federação do AD FS (Active Directory Federation Services).
-
Defina a seguinte chave de registo: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Pretendo activar o registo no servidor Web preparado para AD FS para o Pacote de Autenticação do Agente Web AD FS.
O pacote de autenticação do Agente Web AD FS é utilizado por aplicações baseadas em tokens do Windows NT para gerar tokens quando o S4U (Service-for-User) não está disponível. Também é utilizado quando o token contém SIDs (Security Identifiers), tal como nos cenários que utilizam grupos de recursos ou a opção Fidedignidade do Windows.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Pretendo activar o registo no servidor Web preparado para AD FS para a Extensão do Agente Baseado em Tokens do Windows do AD FS.
A Extensão do Agente Baseado em Tokens do Windows do AD FS processa os protocolos utilizados pelo AD FS para autenticar pedidos.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]
"DebugPrintLevel"=dword:ffffffff
Pretendo activar o registo no servidor Web preparado para AD FS para o Serviço de Autenticação do Agente Web AD FS.
O Serviço de Autenticação do Agente Web AD FS valida os tokens e cookies a receber.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]
"DebugPrintLevel"=dword:ffffffff
Pretendo conhecer a localização dos registos.
Estão localizados em %systemroot%\SystemData\ADFS\logs.
Problemas do AD LDS
Depois de criar as minhas contas de utilizador no AD LDS (Active Directory Lightweight Directory ) e de a política de fidedignidade ser configurada com informações sobre o arquivo do AD LDS, o Serviço de Federação não consegue validar utilizadores no arquivo do AD LDS.
Solução: Tenha cuidado ao criar contas de utilizador com o snap-in Editor de ADSI do AD LDS. Crie sempre uma conta de utilizador com uma palavra-passe. Se criar uma conta de utilizador sem uma palavra-passe, utilize o Editor de ADSI para repor a palavra-passe para a conta de utilizador. Mais importante, verifique o valor da propriedade msDS-UserAccountDisabled da conta de utilizador. Esta propriedade não deve ter o valor Verdadeiro. O valor deve ser Falso ou Não definido. Se o valor da propriedade msDS-UserAccountDisabled for Verdadeiro, significa que a conta de utilizador está desactivada e que o Serviço de Federação não consegue validade credenciais para esta conta de utilizador do AD LDS.
Activei um arquivo de contas do AD LDS, mas o Serviço de Federação não consegue obter quaisquer afirmações.
Se o Serviço de Federação estiver em execução como Sistema Local, tem de adicionar a conta de computador que aloja o Serviço de Federação para o grupo Leitores no arquivo do AD LDS.
Se o Serviço de Federação estiver em execução como Serviço de Rede, tem de adicionar a conta de domínio ao grupo Leitores no arquivo do AD LDS.
Problemas de configuração
A seguinte secção aborda alguns dos problemas conhecidos com a configuração do AD FS.
É apresentado um erro no servidor.
Erro: O pedido de token para a aplicação com o URL https://... não pode ser satisfeito porque o URL (Uniform Resource Locator) não identifica qualquer aplicação fidedigna conhecida
Solução: Este erro é devolvido pelo Serviço de Federação do recurso quando o URL da aplicação não identifica qualquer aplicação conhecida. Certifique-se de que a aplicação foi adicionada à política de fidedignidade para o Serviço de Federação.
Para uma aplicação com suporte para afirmações, verifique se o URL de retorno está escrito correctamente no ficheiro Web.config da aplicação e se corresponde ao URL da aplicação especificado na política de fidedignidade do Serviço de Federação.
Para uma aplicação baseada em tokens do Windows NT, verifique se o URL de retorno está escrito correctamente no snap-in Gestor de IIS (Internet Information Services) (em <Nome do Web site>\Autenticação\Agente baseado em Tokens do Windows do AD FS) e se corresponde ao URL da aplicação na política de fidedignidade do Serviço de Federação.
É apresentado um erro de validação.
Erro: A validação viewstate MAC (Media Access Control) falhou. Se esta aplicação for hospedada por uma Web farm ou cluster, certifique-se de que a configuração <machineKey> especifica a mesma chave de validação e algoritmo de validação.
AutoGenerate não pode ser utilizado num cluster. Ocorreu uma excepção não processada durante a execução do pedido Web actual. Reveja o rastreio da pilha para obter mais informações sobre o erro e onde foi originado no código.
Ou
Erro: Foi gerada uma excepção não processada durante a execução do pedido Web actual. As informações relativas à origem e localização da excepção podem ser identificadas utilizando o rastreio da pilha da excepção abaixo.
Solução: Utilizando um editor de texto, adicione a seguinte definição ao ficheiro Web.config no computador que aloja o Serviço de Federação, Proxy de Serviço de Federação ou Agente Web AD FS que vai ser colocado no farm:
<system.web>
<machineKey>
<machineKey validationKey="specify key for the appropriate algorithm"
decryptionKey="specify key"
validation="SHA1|MD5|3DES"/>
Ou
Solução: Adicione o seguinte elemento na secção <system.web> do ficheiro Web.config nos computadores que alojam o Serviço de Federação, Proxy de Serviço de Federação ou Agente Web AD FS configurados no farm:
<pages enableViewStateMac="false"/>