Sorununuz nedir?

Kurulum sorunları

Günlüğe kaydetme sorunları

AD LDS sorunları

Yapılandırma sorunları

Kurulum sorunları

"Bu sayfa görüntülenemiyor" "Sunucu bulunamadı" ya da "DNS Hatası" iletisi bulunan bir Web tarayıcısı hata sayfasıyla karşılaşıyorum.

Bu soruna yol açabilecek birkaç durum vardır:

  • Tüm federasyon sunucularının, varsayılan Web sitesine verilmiş bir sunucu kimlik doğrulama sertifikasına sahip olduğunu doğrulayın.

  • Tüm AD FS barındıran Web sunucularının, uygulamanın bulunduğu Web sitesine verilmiş bir sunucu kimlik doğrulama sertifikasına sahip olduğunu doğrulayın.

  • Dış hesap ortağı Federasyon Hizmeti Proxy'si kullanılıyorsa, kurulum sırasında doğru Federasyon Hizmetleri ana bilgisayar adının kullanıldığından emin olun.

  • Windows NT belirteci tabanlı bir uygulama kullanıyorsanız, Internet Information Services (IIS) Yöneticisi ek bileşenindeki Federasyon Hizmeti Tekdüzen Kaynak Belirleyicisinin (URL) (<bilgisayar adı>\Federasyon Hizmetleri URL'si altında) doğru yapılandırıldığını doğrulayın.

Uygulamaya bağlanmayı denediğimde, "Bu sayfa bulunamıyor" ya da "HTTP Hatası 404 – Dosya veya dizin bulunamadı" iletisini içeren bir Web tarayıcısı hata sayfasıyla karşılaşıyorum.

Bu sorunun nedeni, aşağıdaki yapılandırma sorunları olabilir:

  • Web uygulamasının Internet Information Services'de (IIS) düzgün yapılandırıldığını doğrulayın.

  • Web uygulaması URL'sinin Active Directory Federasyon Hizmetleri ek bileşeninde düzgün adlandırıldığını doğrulayın.

  • AD FS barındıran Web sunucusuna ve Federasyon Hizmeti'ne Microsoft ASP.NET yüklendiğini doğrulayın.

  • ASP kullanan Windows NT belirteci tabanlı bir uygulamaya bağlanıyorsanız ve kimlik bilgilerinizi verdikten sonra 404 hatasıyla karşılaşıyorsanız, IIS'deki ASPClassic işleyicisinin etkin olduğunu ve *.asp sayfalarını işleyecek şekilde yapılandırıldığını doğrulayın. Ayrıca IIS için ASP özelliğinin yüklü olduğunu da doğrulayın.

Windows NT belirteci tabanlı bir uygulamayı kurduktan sonra bağlanmayı deniyorum, ancak ana bilgisayar bölgesi ve oturum açma kimlik bilgileri seçmem istenmiyor.

Windows NT belirteci tabanlı uygulamanın sanal dizininin, Ifsext.dll Internet Sunucusu Uygulama Programlama Arabirimi (ISAPI) uzantısını kullanacak şekilde ayarlandığını doğrulayın.

Günlüğe kaydetme sorunları

Hesap federasyon sunucusunda günlüğe kaydetmeyi etkinleştirmek istiyorum.

Hesap federasyon sunucusu, istemci sertifikalarını eşlemek için bir kimlik doğrulaması paketi kullanır. Hesap federasyon sunucusu kimlik doğrulaması paketi için günlüğe kaydetme işlemini etkinleştirmek üzere aşağıdaki görevleri sırayla gerçekleştirin:

  1. Önceden yüklenmediyse, Active Directory Federasyon Hizmetleri'nin (AD FS) Federasyon Hizmeti bileşenini yükleyin.

  2. Aşağıdaki kayıt defteri anahtarını ayarlayın: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

AD FS Web Aracısı Kimlik Doğrulama Paketi için AD FS barındıran Web sunucusunda günlüğe kaydetmeyi etkinleştirmek istiyorum.

Service-for-User (S4U) kullanılamadığında, belirteç oluşturmak için Windows NT belirteci tabanlı uygulamalar tarafından AD FS Web Aracısı kimlik doğrulama paketi kullanılır. Ayrıca, kaynak gruplarını veya Windows Güveni seçeneğini kullanan senaryolarda olduğu gibi, belirteç güvenlik tanımlayıcıları (SID) içerdiğinde de kullanılır.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

AD FS Windows Belirteci Tabanlı Aracı Uzantısı için AD FS barındıran Web sunucusunda günlüğe kaydetmeyi etkinleştirmek istiyorum.

AD FS Windows Belirteci Tabanlı Aracı Uzantısı, isteklerin kimliğini doğrulamak için AD FS tarafından kullanılan protokolleri işler.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

AD FS Web Aracısı Kimlik Doğrulama Hizmeti için AD FS barındıran Web sunucusunda günlüğe kaydetmeyi etkinleştirmek istiyorum.

AD FS Web Aracısı Kimlik Doğrulama Hizmeti, gelen belirteçleri ve tanımlama bilgilerini doğrular.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Günlüklerin nerede bulunduğunu öğrenmek istiyorum.

Bunlar %systemroot%\SystemData\ADFS\logs konumundadır.

AD LDS sorunları

Active Directory Basit Dizin Hizmetleri'nde (AD LDS) kullanıcı hesaplarım oluşturulduktan ve güven ilkesi, AD LDS deposuyla ilgili bilgilerle yapılandırıldıktan sonra, Federasyon Hizmeti, AD LDS deposundaki kullanıcıları doğrulayamıyor.

Çözüm: AD LDS ADSI Düzenleyicisi ile kullanıcı hesapları oluştururken dikkatli olun. Mutlaka parolalı kullanıcı hesabı oluşturun. Parolasız kullanıcı hesabı oluşturursanız, kullanıcı hesabının parolasını sıfırlamak için ADSI Düzenleme ek bileşenini kullanın. En önemlisi, kullanıcı hesabının msDS-UserAccountDisabled özelliğinin değerini denetleyin. Bu özelliğin değeri Doğru olmamalıdır. Değer, Yanlış veya Ayarlı değil olmalıdır. msDS-UserAccountDisabled özelliği değerinin Doğru olması, kullanıcı hesabının devre dışı olduğu ve Federasyon Hizmeti'nin bu AD LDS kullanıcı hesabı için kimlik bilgilerini doğrulayamadığı anlamına gelir.

Bir AD LDS hesap deposunu etkinleştirdim, ancak Federasyon Hizmeti hiçbir talebi alamıyor.

Federasyon Hizmeti Yerel Sistem olarak çalışıyorsa, Federasyon Hizmeti'ni barındıran bilgisayarın makine hesabını, AD LDS deposundaki Readers grubuna eklemeniz gerekir.

Federasyon Hizmeti Ağ Hizmeti olarak çalışıyorsa, etki alanı hesabını AD LDS deposundaki Readers grubuna eklemeniz gerekir.

Yapılandırma sorunları

Aşağıdaki bölüm, AD FS yapılandırmasıyla ilgili bazı bilinen sorunları kapsar.

Sunucu hatasıyla karşılaşıyorum.

Hata: Tekdüzen Kaynak Konum Belirleyicisi (URL) bilinen herhangi bir güvenen uygulamayı tanımlamadığı için, https://... URL'sine sahip uygulama için belirteç isteği yerine getirilemiyor.

Çözüm: Bu hata, kaynak Federasyon Hizmeti tarafından, uygulama URL'si bilinen hiçbir uygulamayı tanımlamadığında döndürülür. Uygulamanın, Federasyon Hizmeti için güven ilkesine eklendiğinden emin olun.

Talep kullanan bir uygulamada, dönüş URL'sinin uygulamanın Web.config dosyasında doğru olarak yazıldığını ve Federasyon Hizmeti'nin güven ilkesinde belirtilen uygulama URL'si ile eşleştiğini doğrulayın.

Windows NT belirteci tabanlı bir uygulamada, dönüş URL'sinin Internet Information Services (IIS) Yöneticisi ek bileşeninde (<Web sitesi adı>\Authentication\AD FS Windows Belirteci Tabanlı Aracısı altında bulunur) doğru yazıldığını ve Federasyon Hizmeti'nin güven ilkesinde uygulama URL'siyle eşleştiğini doğrulayın.

Doğrulama hatasıyla karşılaşıyorum.

Hata: Görüntü durumu medya erişim denetimi (MAC) doğrulaması başarısız oldu. Bu uygulamayı bir Web grubu veya kümesi barındırıyorsa, <machineKey> yapılandırmasının aynı doğrulama anahtarını ve doğrulama algoritmasını belirttiğinden emin olun.

Kümede AutoGenerate kullanılamıyor. Geçerli Web isteğinin çalıştırılması sırasında işlenmemiş bir özel durum oluştu. Hata hakkında ve kodda bulunduğu yer konusunda daha fazla bilgi için yığın izlemeye göz atın.

Veya

Hata: Geçerli Web isteği çalıştırılırken işlenmeyen bir özel durum üretildi. Özel durumun kaynağı ve konumuna ilişkin bilgiler aşağıdaki özel durum yığını izlemesi kullanılarak belirlenebilir.

Çözüm: Bir metin düzenleyici kullanarak, aşağıdaki ayarı, Federasyon Hizmeti, Federasyon Hizmeti Proxy'si veya gruplandırılacak AD FS Web Aracısı'nı barındıran bilgisayardaki Web.config dosyasına ekleyin.

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Veya

Çözüm: Federasyon Hizmeti, Federasyon Hizmeti Proxy'si veya grupta kurulan AD FS Web Aracısı'nı barındıran bilgisayarlardaki Web.config dosyasının <system.web> bölümüne aşağıdaki öğeyi ekleyin:

<pages enableViewStateMac="false"/>

Ayrıca Bkz.

İçindekiler