ADFS 문제 해결

이 문제가 발생할 수 있는 몇 가지 원인은 다음과 같습니다.

• 모든 페더레이션 서버에 대해 기본 웹 사이트에 서버 인증 인증서가 발급되었는지 확인합니다.
  
  
• 모든 ADFS 사용 웹 서버에 대해 응용 프로그램이 있는 웹 사이트로 서버 인증 인증서가 발급되었는지 확인합니다.
  
  
• 외부 계정 파트너 페더레이션 서비스 프록시가 포함된 경우 설치하는 동안 올바른 페더레이션 서비스 호스트 이름이 사용되었는지 확인합니다.
  
  
• Windows NT 토큰 기반 응용 프로그램을 사용할 경우 IIS(인터넷 정보 서비스) 관리자 스냅인의 <컴퓨터 이름>\페더레이션 서비스 URL에 있는 페더레이션 서비스 URL(Uniform Resource Locator)이 올바르게 구성되어 있는지 확인합니다.
  
  

이 문제는 다음과 같은 구성 문제로 인해 발생했을 수 있습니다.

• IIS(인터넷 정보 서비스)에 웹 응용 프로그램이 제대로 구성되어 있는지 확인합니다.
  
  
• ADFS(Active Directory Federation Services) 스냅인에 웹 응용 프로그램 URL이 제대로 명명되었는지 확인합니다.
  
  
• Microsoft ASP.NET이 ADFS 사용 웹 서버와 페더레이션 서비스에 설치되어 있는지 확인합니다.
  
  
• ASP를 사용하는 Windows NT 토큰 기반 응용 프로그램에 연결하는 중에 자격 증명을 제공한 후에 404 오류가 발생하면 IIS의 ASPClassic 처리기가 사용되도록 설정되어 있는지와 *.asp 페이지를 처리하도록 구성되어 있는지 확인합니다. 또한 IIS에 대해 ASP 기능이 설치되어 있는지도 확인합니다.
  
  

Windows NT 토큰 기반 응용 프로그램의 가상 디렉터리가 Ifsext.dll ISAPI(인터넷 서버 응용 프로그래밍 인터페이스) 확장을 사용하도록 설정되어 있는지 확인합니다.

계정 페더레이션 서버는 클라이언트 인증서 매핑에 인증 패키지를 사용합니다. 계정 페더레이션 서버 인증 패키지에 대해 로깅을 사용하려면 다음 작업을 차례대로 수행합니다.

1. ADFS(Active Directory Federation Services)의 페더레이션 서비스 구성 요소를 아직 설치하지 않은 경우 설치합니다.
   
   
2. 다음 레지스트리 키를 설정합니다. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
   
   "DebugLevel"=dword:ffffffff
   
   

S4U(Service-for-User)를 사용할 수 없는 경우 ADFS 웹 에이전트 인증 패키지가 Windows NT 토큰 기반 응용 프로그램에서 토큰을 생성하는 데 사용됩니다. 이 패키지는 리소스 그룹이나 Windows 트러스트 옵션을 사용하는 시나리오와 같이 토큰에 SID(보안 식별자)가 포함된 경우에도 사용됩니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

ADFS Windows 토큰 기반 에이전트 확장은 ADFS에서 요청을 인증하는 데 사용하는 프로토콜을 처리합니다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

ADFS 웹 에이전트 인증 서비스는 들어오는 토큰과 쿠키의 유효성을 검사합니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

이러한 로그는 %systemroot%\SystemData\ADFS\logs에 있습니다.

해결 방법: AD LDS ADSI 편집 스냅인을 사용하여 사용자 계정을 만들 때는 주의하십시오. 항상 암호와 함께 사용자 계정을 만들어야 합니다. 암호 없이 사용자 계정을 만든 경우 ADSI 편집을 사용하여 사용자 계정에 대한 암호를 다시 설정합니다. 사용자 계정의 msDS-UserAccountDisabled 속성 값을 확인하는 것이 가장 중요합니다. 이 속성 값은 True가 아니어야 합니다. 이 값은 False 또는 Not set여야 합니다. msDS-UserAccountDisabled 속성 값이 True이면 사용자 계정을 사용할 수 없게 되고 페더레이션 서비스가 AD LDS 사용자 계정의 자격 증명에 대한 유효성을 검사할 수 없습니다.

페더레이션 서비스가 로컬 시스템으로 실행 중인 경우 AD LDS 저장소의 판독기 그룹에 페더레이션 서비스를 호스팅하는 컴퓨터의 컴퓨터 계정을 추가해야 합니다.

페더레이션 서비스가 네트워크 서비스로 실행 중인 경우 AD LDS 저장소의 판독기 그룹에 도메인 계정을 추가해야 합니다.

오류: 해당 URL(Uniform Resource Locator)이 알려진 트러스팅 응용 프로그램을 식별하지 않으므로 URL https://...를 사용하는 응용 프로그램에 대한 토큰 요청을 수행할 수 없습니다.

해결 방법: 이 오류는 응용 프로그램 URL이 알려진 응용 프로그램을 식별하지 못할 때 리소스 페더레이션 서비스에 의해 반환됩니다. 페더레이션 서비스에 대한 트러스트 정책에 응용 프로그램이 추가되었는지 확인합니다.

클레임 인식 응용 프로그램의 경우 반환 URL이 응용 프로그램의 Web.config 파일에 올바르게 입력되어 있고 페더레이션 서비스에 대한 트러스트 정책에 지정된 응용 프로그램 URL과 일치하는지 확인합니다.

Windows NT 토큰 기반 응용 프로그램의 경우 IIS(인터넷 정보 서비스) 관리자 스냅인의 <웹 사이트 이름>\인증\ADFS Windows 토큰 기반 에이전트에서 반환 URL을 올바르게 입력했는지와 이 URL이 페더레이션 서비스의 트러스트 정책에 있는 응용 프로그램 URL과 일치하는지 확인합니다.

오류: viewstate MAC(미디어 액세스 제어) 유효성 검사가 실패했습니다. 이 응용 프로그램이 웹 팜이나 클러스터에 의해 호스트되는 경우 <machineKey> 구성에 동일한 validationKey와 유효성 검사 알고리즘이 지정되었는지 확인합니다.

AutoGenerate를 클러스터에서 사용할 수 없습니다. 현재 웹 요청을 실행하는 동안 처리되지 않은 예외가 발생했습니다. 오류 및 코드에서 오류가 발생한 위치에 대한 자세한 내용은 스택 추적을 검토하십시오.

또는

오류: 현재 웹 요청을 실행하는 동안 처리되지 않은 예외가 생성되었습니다. 아래 예외 스택 추적을 사용하여 예외의 출처 및 위치에 대한 정보를 확인할 수 있습니다.

해결 방법: 텍스트 편집기를 사용하여 페더레이션 서비스, 페더레이션 서비스 프록시 또는 팜에 포함될 ADFS 웹 에이전트를 호스팅하는 컴퓨터에 있는 Web.config 파일에 다음 설정을 추가합니다.

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

또는

해결 방법: 페더레이션 서비스, 페더레이션 서비스 프록시 또는 팜에 설치된 ADFS 웹 에이전트를 호스팅하는 컴퓨터에 있는 Web.config 파일의 <system.web> 섹션에 다음 요소를 추가합니다.

<pages enableViewStateMac="false"/>