¿De qué problema se trata?

Problemas de instalación

Problemas de registro

Problemas de AD LDS

Problemas de configuración

Problemas de instalación

Recibo una página de error del explorador web con el mensaje “No se puede mostrar la página” “No se puede encontrar el servidor” o “Error de DNS”.

Existen varias causas posibles para este problema:

  • Compruebe que todos los servidores de federación tengan un certificado de autenticación de servidor emitido para el sitio web predeterminado.

  • Compruebe que todos los servidores web habilitados para AD FS tengan un certificado de autenticación del servidor emitido para el sitio web predeterminado.

  • Si hay un proxy de Servicio de federación de asociado de cuenta externa involucrado, compruebe que se utilizó el nombre de host del Servicio de federación correcto durante la instalación.

  • Si está usando una aplicación basada en autorización token de Windows NT, compruebe que el Localizador uniforme de recursos o dirección URL del Servicio de federación en el complemento Administrador de Internet Information Services (IIS) (bajo <nombreDelEquipo>\Federation Services URL) esté configurado correctamente.

Cuando intento conectarme a la aplicación, obtengo una página de error del explorador web con el mensaje “No se puede mostrar la página” o “Error de HTTP 404: no se encontró el archivo o directorio”.

Esto puede deberse a los siguientes problemas de configuración:

  • Compruebe que la aplicación web está correctamente configurada en Internet Information Services (IIS).

  • Compruebe que la dirección URL de la aplicación web tiene el nombre correcto en el complemento Servicios de federación de Active Directory.

  • Compruebe que Microsoft ASP.NET está instalado en el servidor web habilitados para AD FS y en el Servicio de federación.

  • Si se está conectando a una aplicación basada en autorización token de Windows NT se usa ASP y recibe el error 404 después de suministrar las credenciales, compruebe que el identificador ASPClassic en IIS esté habilitado y configurado para identificar páginas *.asp. Compruebe también que la característica ASP está instalada para IIS.

Después de configurar una aplicación basada en autorización token de Windows NT, intento conectarme a ella pero no se me solicita que elija un territorio de host y credenciales de inicio de sesión.

Compruebe que el directorio virtual de la aplicación basada en autorización token de Windows NT está configurado para utilizar la extensión ISAPI (Interfaz de programación de aplicaciones de servidor Internet) Ifsext.dll.

Problemas de registro

Quiero habilitar el registro en el servidor de federación de cuentas.

El servidor de federación de la cuenta utiliza un paquete de autenticación para asignar certificados de cliente. Para habilitar el registro del paquete de autenticación del servidor de federación de la cuenta, realice las siguientes tareas en orden:

  1. Si aún no está instalado, instale el componente Servicio de federación de Servicios de federación de Active Directory (AD FS).

  2. Establezca la siguiente clave del Registro: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Quiero habilitar el registro en el servidor web habilitado para AD FS para el Paquete de autenticación del agente web de AD FS.

El paquete de autenticación del agente web de AD FS se usa en las aplicaciones basadas en autorización token de Windows NT para generar tokens cuando Service-for-User (S4U) no está disponible. También se usa cuando el token contiene identificadores de seguridad (SID), como en los escenarios que usan grupos de recursos o la opción Confianza de Windows.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

Quiero habilitar el registro en el servidor web habilitado para AD FS para la Extensión del agente basado en tokens de Windows de AD FS.

La Extensión del agente basado en tokens de Windows de AD FS se ocupa de los protocolos usados por AD FS para autenticar solicitudes.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Quiero habilitar el registro en el servidor web habilitado para AD FS para el Servicio de autenticación del agente web de AD FS.

El Servicio de autenticación del agente web de AD FS valida las cookies y los tokens entrantes.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Quiero saber dónde se encuentran los registros.

Se encuentran en %systemroot%\SystemData\ADFS\logs.

Problemas de AD LDS

Una vez creadas las cuentas de usuario en los Servicios de directorio ligero de Active Directory (AD LDS) y configurada la directiva de confianza con información acerca del almacén de AD LDS, el Servicio de federación no puede validar usuarios en el almacén de AD LDS.

Solución: tenga cuidado al crear cuentas de usuario con el complemento Editor ADSI de AD LDS. Cree siempre una cuenta de usuario con una contraseña. Si crea una cuenta de usuario sin contraseña, utilice el Editor ADSI para restablecer la contraseña para la cuenta de usuario. Es crucial que compruebe el valor de la propiedad msDS-UserAccountDisabled de la cuenta de usuario. Esta propiedad no debería tener el valor Verdadero. El valor debería ser Falso o No establecido. Si el valor de la propiedad msDS-UserAccountDisabled es Verdadero, significa que la cuenta de usuario está deshabilitada y que el Servicio de federación no puede validar las credenciales para esta cuenta de usuario de AD LDS.

He habilitado un almacén de cuentas de AD LDS pero el Servicio de federación no puede recuperar las notificaciones.

Si el Servicio de federación se ejecuta como Sistema local, debe agregar la cuenta del equipo que hospeda el Servicio de federación al grupo de lectores del almacén de AD LDS.

Si el Servicio de federación se está ejecutando como Servicio de red, debe agregar la cuenta de dominio al grupo de lectores del almacén de AD LDS.

Problemas de configuración

En la siguiente sección se tratan algunos de los problemas conocidos con la configuración de AD FS.

Estoy recibiendo un error del servidor.

Error: No se puede cumplir la solicitud de token para la aplicación con la dirección URL https://... porque la dirección URL no identifica ninguna aplicación conocida que confíe.

Solución: este error lo devuelve el Servicio de federación de recursos cuando la dirección URL de la aplicación no identifica a ninguna aplicación conocida. Asegúrese de que se ha agregado la aplicación a la directiva de confianza para el Servicio de federación.

En el caso de una aplicación para notificaciones, compruebe que la dirección URL de retorno está escrita correctamente en el archivo Web.config de la aplicación y que coincide con la dirección URL de la aplicación especificada en la directiva de confianza del Servicio de federación.

En el caso de una aplicación basada en autorización token de Windows NT, compruebe que la dirección URL de retorno está escrita correctamente en el complemento Administrador de Internet Information Services (IIS) (bajo <nombreDelSitioWeb>\Authentication\AD FS Windows Token-Based Agent) y que coincide con la dirección URL de la aplicación en la directiva de confianza del Servicio de federación.

Estoy recibiendo un error de comprobación.

Error: Error de la comprobación del estado de vista de Media Access Control (MAC). Si un clúster o una batería de servidores web hospedan esta aplicación, asegúrese de que la configuración <machineKey> especifica la misma validationKey y el mismo algoritmo de validación.

AutoGenerate no se puede utilizar en un clúster. Excepción no controlada al ejecutar la solicitud web actual. Revise el seguimiento de la pila para obtener más información acerca del error y dónde se originó en el código.

O bien

Error: Se ha generado una excepción no controlada durante la ejecución de la solicitud web actual. La información sobre el origen y la ubicación de la excepción pueden identificarse utilizando la excepción del seguimiento de la pila siguiente.

Solución: mediante un editor de texto, agregue la siguiente configuración al archivo Web.config del equipo que hospeda el Servicio de federación, el proxy de Servicio de federación o el agente web de AD FS que se agrupará en un conjunto:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

O bien

Solución: agregue el siguiente elemento en la sección <system.web> del archivo Web.config de los equipos que hospedan el Servicio de federación, el proxy de Servicio de federación o el agente web de AD FS que se configura en el conjunto:

<pages enableViewStateMac="false"/>

Vea también


Tabla de contenido