Problema riscontrato
Problemi relativi all'installazione
-
Viene visualizzata una pagina di errore nel browser con il messaggio "Impossibile visualizzare questa pagina", "Impossibile trovare il server" o "Errore DNS".
-
Durante il tentativo di connessione all'applicazione viene visualizzata una pagina di errore nel browser con il messaggio "Impossibile trovare la pagina" o "Errore HTTP 404 - Impossibile trovare il file o la directory".
-
Dopo avere installato un'applicazione basata su token Windows NT, durante il tentativo di connessione non viene richiesto di scegliere un'area di autenticazione host né di immettere le credenziali di accesso.
Problemi relativi alla registrazione
-
Si desidera abilitare la registrazione nel server federativo di account.
-
Si desidera abilitare la registrazione per il pacchetto di autenticazione dell'agente Web ADFS nel server Web abilitato per ADFS.
-
Si desidera abilitare la registrazione per l'Estensione agente basato su token Windows ADFS nel server Web abilitato per ADFS.
-
Si desidera abilitare la registrazione per il servizio Autenticazione agente Web ADFS nel server Web abilitato per ADFS.
-
Si desidera identificare la directory in cui si trovano i registri.
Problemi relativi ad AD LDS
-
Dopo la creazione dei propri account utente in Active Directory Lightweight Directory Services (AD LDS) e la configurazione dei criteri di attendibilità con le informazioni relative all'archivio di AD LDS, il servizio federativo non è in grado di convalidare gli utenti nell'archivio di AD LDS.
-
È stato abilitato un archivio account di AD LDS, ma il servizio federativo non è in grado di recuperare alcuna attestazione.
Problemi relativi alla configurazione
Problemi relativi all'installazione
Viene visualizzata una pagina di errore nel browser con il messaggio "Impossibile visualizzare questa pagina", "Impossibile trovare il server" o "Errore DNS".
Per risolvere il problema, provare a eseguire le operazioni seguenti:
-
Verificare che tutti i server federativi dispongano di un certificato di autenticazione server emesso per il sito Web predefinito.
-
Verificare che tutti i server Web abilitati per ADFS dispongano di un certificato di autenticazione server emesso per il sito Web in cui risiede l'applicazione.
-
Se viene utilizzato un Proxy servizio federativo di un partner account esterno, verificare che sia stato utilizzato il nome host corretto del servizio federativo durante l'installazione.
-
Se si utilizza un'applicazione basata su token Windows NT, verificare che l'URL (Uniform Resource Locator) del servizio federativo specificato in <nome computer>\URL servizio federativo nello snap-in Gestione Internet Information Services (IIS) sia configurato correttamente.
Durante il tentativo di connessione all'applicazione viene visualizzata una pagina di errore nel browser con il messaggio "Impossibile trovare la pagina" o "Errore HTTP 404 - Impossibile trovare il file o la directory".
Per risolvere i problemi di configurazione, provare ad eseguire le verifiche seguenti:
-
Verificare che l'applicazione Web sia configurata correttamente in Internet Information Services (IIS).
-
Verificare che il nome dell'URL dell'applicazione Web sia specificato correttamente nello snap-in Active Directory Federation Services.
-
Verificare che Microsoft ASP.NET sia installato nel server Web abilitato per ADFS e nel servizio federativo.
-
Se viene visualizzato l'errore 404 dopo aver specificato le proprie credenziali durante un tentativo di connessione a un'applicazione basata su token Windows NT che utilizza ASP, verificare che il gestore ASPClassic in IIS sia abilitato e configurato per la gestione di pagine *.asp. Verificare inoltre che sia stata installata la funzionalità ASP per IIS.
Dopo avere installato un'applicazione basata su token Windows NT, durante il tentativo di connessione non viene richiesto di scegliere un'area di autenticazione host né di immettere le credenziali di accesso.
Verificare che la directory virtuale dell'applicazione basata su token Windows NT sia configurata per l'utilizzo dell'estensione ISAPI (Internet Server Application Programming Interface) Ifsext.dll.
Problemi relativi alla registrazione
Si desidera abilitare la registrazione nel server federativo di account.
Il server federativo di account utilizza un pacchetto di autenticazione per il mapping di certificati client. Per abilitare la registrazione per il pacchetto di autenticazione del server federativo di account, eseguire le operazioni seguenti nell'ordine indicato:
-
Se non è già installato, installare il componente Servizio federativo di Active Directory Federation Services (ADFS).
-
Impostare la chiave del Registro di sistema seguente: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Si desidera abilitare la registrazione per il pacchetto di autenticazione dell'agente Web ADFS nel server Web abilitato per ADFS.
Il pacchetto di autenticazione dell'agente Web ADFS viene utilizzato dalle applicazioni basate su token Windows NT per generare i token quando Service-for-User (S4U) non è disponibile e inoltre quando il token contiene ID di sicurezza (SID), ad esempio negli scenari in cui vengono utilizzati gruppi di risorse o l'opzione Trust Windows.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Si desidera abilitare la registrazione per l'Estensione agente basato su token Windows ADFS nel server Web abilitato per ADFS.
L'Estensione agente basato su token Windows ADFS gestisce i protocolli utilizzati da ADFS per l'autenticazione delle richieste.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]
"DebugPrintLevel"=dword:ffffffff
Si desidera abilitare la registrazione per il servizio Autenticazione agente Web ADFS nel server Web abilitato per ADFS.
Il servizio Autenticazione agente Web ADFS convalida i token e i cookie in ingresso.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]
"DebugPrintLevel"=dword:ffffffff
Si desidera identificare la directory in cui si trovano i registri.
I registri si trovano nella directory %systemroot%\SystemData\ADFS\logs.
Problemi relativi ad AD LDS
Dopo la creazione dei propri account utente in Active Directory Lightweight Directory Services (AD LDS) e la configurazione dei criteri di attendibilità con le informazioni relative all'archivio di AD LDS, il servizio federativo non è in grado di convalidare gli utenti nell'archivio di AD LDS.
Soluzione: Prestare attenzione quando si creano account utente tramite lo snap-in Modifica ADSI per AD LDS. È consigliabile creare sempre un account utente con una password. Se si crea un account utente senza password, utilizzare Modifica ADSI per reimpostare la password dell'account utente. È fondamentale verificare inoltre il valore della proprietà msDS-UserAccountDisabled relativa all'account utente. Il valore di tale proprietà non deve essere Vero, ma Falso o Non impostato. Se il valore della proprietà msDS-UserAccountDisabled è Vero, l'account utente è disabilitato e il servizio federativo non è in grado di convalidare credenziali relative a tale account utente di AD LDS.
È stato abilitato un archivio account di AD LDS, ma il servizio federativo non è in grado di recuperare alcuna attestazione.
Se il servizio federativo viene eseguito con l'account di sistema locale, è necessario aggiungere l'account computer del computer che ospita il servizio federativo al gruppo Lettori nell'archivio di AD LDS.
Se il servizio federativo viene eseguito con l'account Servizio di rete, è necessario aggiungere l'account di dominio al gruppo Lettori nell'archivio di AD LDS.
Problemi relativi alla configurazione
Nella sezione seguente vengono descritti alcuni problemi noti relativi alla configurazione di ADFS.
Viene visualizzato un errore del server.
Errore: Impossibile soddisfare la richiesta di token ricevuta per l'applicazione con URL https://... poiché l'URL non identifica nessuna applicazione trusting conosciuta.
Soluzione: Questo errore viene restituito dal servizio federativo della risorsa quando l'URL dell'applicazione non identifica alcuna applicazione nota. Verificare che l'applicazione sia stata aggiunta ai criteri di attendibilità per il servizio federativo.
Per un'applicazione in grado di riconoscere attestazioni, verificare che l'URL restituito sia digitato correttamente nel file Web.config dell'applicazione e che corrisponda all'URL dell'applicazione specificato nei criteri di attendibilità del servizio federativo.
Per un'applicazione basata su token Windows NT, verificare che l'URL restituito sia digitato correttamente in <nome sito Web>\Autenticazione\Agente basato su token Windows ADFS nello snap-in Gestione Internet Information Services (IIS) e che corrisponda all'URL dell'applicazione specificato nei criteri di attendibilità del servizio federativo.
Viene visualizzato un errore di convalida.
Errore: Errore di convalida MAC ViewState. Se l'applicazione è ospitata in una Web farm oppure in un cluster, verificare che nella configurazione <machineKey> siano specificati lo stesso elemento validationKey e lo stesso algoritmo di convalida.
Impossibile utilizzare AutoGenerate in un cluster. Eccezione non gestita durante l'esecuzione della richiesta Web corrente. Per ulteriori informazioni sull'errore e sul punto di origine nel codice, vedere l'analisi dello stack.
Oppure
Errore: Durante l'esecuzione della richiesta Web corrente è stata generata un'eccezione non gestita. Per informazioni sull'origine e la posizione dell'eccezione, vedere l'analisi dello stack dell'eccezione riportata di seguito.
Soluzione: Tramite un editor di testo aggiungere le impostazioni seguenti al file Web.config nel computer che ospita il servizio federativo, il proxy servizio federativo o l'agente Web ADFS che verrà installato nella farm:
<system.web>
<machineKey>
<machineKey validationKey="specify key for the appropriate algorithm"
decryptionKey="specify key"
validation="SHA1|MD5|3DES"/>
Oppure
Soluzione: Aggiungere l'elemento seguente nella sezione <system.web> del file Web.config nei computer che ospitano il servizio federativo, il proxy servizio federativo o l'agente Web ADFS installati nella farm:
<pages enableViewStateMac="false"/>