S jakými potížemi jste se setkali?
Problémy při instalaci
-
Zobrazí se chybová stránka webového prohlížeče se zprávou: Tuto stránku nelze zobrazit, Nelze najít server nebo Došlo k chybě serveru DNS.
-
Při pokusu o připojení k aplikaci se zobrazí chybová stránka webového prohlížeče se zprávou: Stránku nelze najít nebo Chyba protokolu HTTP 404 – soubor nebo adresář nebyl nalezen.
-
Po nastavení aplikace pracující s tokeny systému Windows NT se pokusíte k této aplikaci připojit, nezobrazí se však výzva k zadání hostitelské sféry a přihlašovacích pověření.
Problémy s přihlášením
-
Povolení protokolování na federačním serveru poskytujícím účty.
-
Povolení protokolování na webovém serveru s povolenou službou AD FS pro ověřovací balíček webového agenta služby AD FS.
-
Povolení protokolování na webovém serveru s povolenou službou AD FS pro rozšíření agenta pracujícího s tokeny systému Windows služby AD FS.
-
Povolení protokolování na webovém serveru s povolenou službou AD FS pro službu ověřování webového agenta služby AD FS.
-
Umístění protokolů.
Problémy se službou AD LDS
-
Po vytvoření uživatelských účtů ve službě AD LDS (Active Directory Lightweight Directory Services) a konfiguraci zásad důvěryhodnosti na základě informací o úložišti služby AD LDS, nemůže služba Federation Service ověřit uživatele v úložišti služby AD LDS.
-
Úložiště účtů služby AD LDS je povoleno, ale služba Federation Service nemůže vyhledat žádné deklarace.
Problémy konfigurace
Problémy při instalaci
Zobrazí se chybová stránka webového prohlížeče se zprávou: Tuto stránku nelze zobrazit, Nelze najít server nebo Došlo k chybě serveru DNS.
Tento problém může mít několik příčin:
-
Ověřte, že všechny federační servery mají ověřovací certifikát serverů vydaný výchozímu webu.
-
Ověřte, že všechny webové servery s povolenou službou AD FS mají ověřovací certifikát serverů vydaný webu, na kterém je aplikace umístěna.
-
Pokud se používá služba FSP (Federation Service Proxy) externího partnera poskytujícího účty, ověřte, zda byl při instalaci použit správný název hostitele služby Federation Service.
-
Jestliže používáte aplikaci pracující s tokeny systému Windows NT, ověřte, zda je správně nakonfigurována adresa URL (Uniform Resource Locator) služby Federation Service v modulu snap-in Správce Internetové informační služby (IIS) (<název počítače>\Adresa URL služby Federation Services).
Při pokusu o připojení k aplikaci se zobrazí chybová stránka webového prohlížeče se zprávou: Stránku nelze najít nebo Chyba protokolu HTTP 404 – soubor nebo adresář nebyl nalezen.
Tento problém může být způsoben následujícími potížemi s konfigurací:
-
Ověřte, zda je správně nakonfigurována webová aplikace v Internetové informační službě (IIS).
-
Ověřte, zda je zadán správný název adresy URL webové aplikace v modulu snap-in Služba AD FS (Active Directory Federation Services).
-
Ověřte, zda je na webovém serveru s povolenou službou AD FS a ve službě Federation Service nainstalována technologie Microsoft ASP.NET.
-
Pokud se připojujete k aplikaci pracující s tokeny systému Windows NT, která používá technologii ASP a po poskytnutí pověření se zobrazí chybová zpráva 404, ověřte, zda je v Internetové informační službě povolen popisovač ASPClassic a zda je nakonfigurováno zpracování stránek ASP. Také ověřte, zda je funkce technologie ASP nainstalována v Internetové informační službě.
Po nastavení aplikace pracující s tokeny systému Windows NT se pokusíte k této aplikaci připojit, nezobrazí se však výzva k zadání hostitelské sféry a přihlašovacích pověření.
Ověřte, zda je virtuální adresář aplikace pracující s tokeny systému Windows NT nastaven pro použití rozšíření ISAPI (Internet Server Application Programming Interface) knihovny Ifsext.dll.
Problémy s přihlášením
Povolení protokolování na federačním serveru poskytujícím účty
Federační server poskytující účty používá ověřovací balíček k mapování certifikátů klientů. Chcete-li povolit protokolování u ověřovacího balíčku federačního serveru poskytujícího účty, proveďte následující úkoly v uvedeném pořadí:
-
Nainstalujte komponentu AD FS (Active Directory Federation Services) služby Federation Service, pokud již není nainstalována.
-
Nastavte tento klíč registru: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Povolení protokolování na webovém serveru s povolenou službou AD FS pro ověřovací balíček webového agenta služby AD FS
Ověřovací balíček webového agenta služby AD FS používají aplikace pracující s tokeny systému Windows NT ke generování tokenů, pokud není k dispozici funkce S4U (Service-for-User). Také se používá, pokud token obsahuje identifikátory zabezpečení (SID), například ve scénářích, kde se využívají skupiny prostředků nebo možnost Vztahy důvěryhodnosti systému Windows .
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Povolení protokolování na webovém serveru s povolenou službou AD FS pro rozšíření agenta pracujícího s tokeny systému Windows služby AD FS
Rozšíření agenta pracujícího s tokeny systému Windows služby AD FS zpracovává protokoly, které používá služba AD FS k ověřování požadavků.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]
"DebugPrintLevel"=dword:ffffffff
Povolení protokolování na webovém serveru s povolenou službou AD FS pro službu ověřování webového agenta služby AD FS
Služba ověřování webového agenta služby AD FS ověřuje příchozí tokeny a certifikáty.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]
"DebugPrintLevel"=dword:ffffffff
Umístění protokolů
Protokoly jsou umístěny ve složce %kořenová_složka_systému%\SystemData\ADFS\logs.
Problémy se službou AD LDS
Po vytvoření uživatelských účtů ve službě AD LDS (Active Directory Lightweight Directory Services) a konfiguraci zásad důvěryhodnosti na základě informací o úložišti služby AD LDS, nemůže služba Federation Service ověřit uživatele v úložišti služby AD LDS
Řešení: Při vytváření uživatelských účtů pomocí modulu snap-in Editor ADSI služby AD LDS buďte opatrní. Vždy vytvářejte uživatelské účty s heslem. Pokud vytvoříte uživatelský účet bez hesla, obnovte heslo tohoto uživatelského účtu pomocí Editoru ADSI. Především zkontrolujte u uživatelského účtu hodnotu vlastnosti msDS-UserAccountDisabled. Tato vlastnost nemá mít hodnotu True. Tato hodnota by měla být False nebo Není nastaveno. Pokud je hodnota vlastnosti msDS-UserAccountDisabled True, znamená to, že uživatelský účet je zakázán a služba Federation Service nemůže ověřit pověření pro tento uživatelský účet služby AD LDS.
Úložiště účtů služby AD LDS je povoleno, ale služba Federation Service nemůže vyhledat žádné deklarace.
Pokud je služba Federation Service spuštěna s účtem Local System, je nutné do skupiny Readers v úložišti služby AD LDS přidat účet počítače, který je hostitelem služby Federation Service.
Pokud je služba Federation Service spuštěna s účtem Network Service, je nutné do skupiny Readers v úložišti služby AD LDS přidat účet domény.
Problémy s konfigurací
V následující části jsou popsány některé známé problémy s konfigurací služby AD FS.
Zobrazuje se chyba serveru.
Chyba: Požadavek na token pro aplikaci s adresou URL https://... nelze splnit, protože adresa URL (Uniform Resource Locator) neoznačuje žádnou známou důvěryhodnou aplikaci.
Řešení: Tato chybová zpráva je vrácena službou Federation Service pro poskytování prostředků, pokud adresa URL aplikace neoznačuje žádnou známou aplikaci. Zajistěte, aby daná aplikace byla přidána do zásad důvěryhodnosti služby Federation Service.
V případě aplikace pracující s deklaracemi ověřte, zda je správně zadána adresa URL pro návrat v souboru Web.config aplikace a zda odpovídá adrese URL aplikace zadané v zásadách důvěryhodnosti služby Federation Service.
V případě aplikace pracující s tokeny systému Windows NT ověřte, zda je správně zadána adresa URL pro návrat v modulu snap-in Správce Internetové informační služby (IIS) (<název webu>\Ověřování\Agent služby AD FS pracující s tokeny systému Windows) a zda odpovídá adrese URL v zásadách důvěryhodnosti služby Federation Service.
Zobrazuje se chyba ověřování.
Chyba: Ověření kontroly MAC stavu zobrazení se nezdařilo. Pokud je hostitelem této aplikace webová farma nebo cluster, zajistěte, aby konfigurace položky <machineKey> určovala stejný klíč validationKey a ověřovací algoritmus.)
Funkci AutoGenerate nelze použít v clusteru. Při provádění aktuálního webového požadavku došlo k neošetřené výjimce. Prohlédněte trasování zásobníku, zda neobsahuje další informace o chybě a jejím místě vzniku v kódu.
Nebo
Chyba: Při provádění aktuálního webového požadavku byla vyvolána neošetřená výjimka. Informace týkající se původu a umístění výjimky lze zjistit pomocí níže uvedeného trasování zásobníku výjimek.
Řešení: Pomocí textového editoru přidejte následující nastavení do souboru Web.config v počítači, který je hostitelem služby Federation Service, služby FSP (Federation Service Proxy) nebo webového agenta služby AD FS, jež budou součástí farmy:
<system.web>
<machineKey>
<machineKey validationKey="specify key for the appropriate algorithm"
decryptionKey="specify key"
validation="SHA1|MD5|3DES"/>
nebo
Řešení: Přidejte následující prvek do oddílu <system.web> v souboru Web.config v počítačích, které jsou hostiteli služby Federation Service, služby FSP (Federation Service Proxy) nebo webového agenta služby AD FS, jež jsou nainstalovány ve farmě:
<pages enableViewStateMac="false"/>