Wat is er aan de hand?

Installatieproblemen

Problemen met logboekregistratie

Problemen met AD LDS

Configuratieproblemen

Installatieproblemen

In een webbrowser verschijnt een foutpagina met het bericht 'De pagina kan niet worden weergegeven', 'Kan de server niet vinden' of 'DNS-fout'.

Dit probleem kan diverse oorzaken hebben:

  • Controleer of alle federatieservers een certificaat voor serververificatie hebben uitgegeven aan de standaardwebsite.

  • Controleer of alle AD FS-webservers een certificaat voor serververificatie hebben uitgegeven aan de website waarop de toepassing zich bevindt.

  • Controleer of de juiste hostnaam van de Federation-services tijdens de installatie is gebruikt als de Federation-serviceproxy van een externe accountpartner erbij is betrokken.

  • Als u een op tokens gebaseerde Windows NT-toepassing gebruikt, controleert u of de URL (Uniform Resource Locator) van de Federation-service in de module IIS-beheer (Internet Information Services) (onder <computernaam>\URL van Federation-service) juist is geconfigureerd.

Wanneer ik verbinding met de toepassing probeer te maken, wordt in een webbrowser een foutpagina weergegeven met het bericht 'De pagina kan niet worden weergegeven' of 'HTTP-fout 404 - Bestand of map niet gevonden'.

Dit probleem kan worden veroorzaakt door de volgende configuratieproblemen:

  • Controleer of de webtoepassing juist is geconfigureerd in IIS (Internet Information Services).

  • Controleer of aan de URL van de webtoepassing de juiste naam is toegewezen in de AD FS-module (Active Directory Federation Services).

  • Controleer of Microsoft ASP.NET is geïnstalleerd op de AD FS-webserver en in de Federation-service.

  • Als u verbinding maakt met een op tokens gebaseerde Windows NT-toepassing die gebruik maakt van ASP en u de 404-fout ontvangt nadat u uw referenties hebt opgegeven, controleert u of de handler ASPClassic in IIS is ingeschakeld en is geconfigureerd voor de verwerking van ASP-pagina's. Controleer ook of de ASP-functie is geïnstalleerd voor IIS.

Nadat de op tokens gebaseerde Windows NT-toepassing is ingesteld, probeer ik hiermee verbinding te maken, maar er wordt niet gevraagd om een hostrealm te kiezen en referentiegegevens op te geven.

Controleer of de virtuele map van de op tokens gebaseerde Windows NT-toepassing zo is ingesteld dat de ISAPI-extensie (Internet Server Application Programming Interface) lfsext.dll wordt gebruikt.

Problemen met logboekregistratie

Ik wil logboekregistratie inschakelen op de federatieserver van de accountpartner.

De Federation-server van de accountpartner gebruikt een verificatiepakket voor het toewijzen van clientcertificaten. Voer de volgende taken op volgorde uit als u het logboek van het verificatiepakket voor de Federation-server van de accountpartner wilt inschakelen:

  1. Installeer het onderdeel Federation-service van AD FS (Active Directory Federation Services) als u dit nog niet hebt gedaan.

  2. Stel de volgende registersleutel in: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Ik wil logboekregistratie inschakelen op de AD FS-webserver voor het verificatiepakket van de webagent voor AD FS.

Het verificatiepakket van de webagent voor AD FS wordt door op tokens gebaseerde Windows NT-toepassingen gebruikt om tokens te genereren wanneer Service-for-User (S4U) niet beschikbaar is. Het wordt ook gebruikt als het token beveiligings-id's (SID's) bevat, zoals in scenario's waarin brongroepen of de optie Windows-vertrouwensrelatie worden gebruikt.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

Ik wil logboekregistratie inschakelen op de AD FS-webserver voor de AD FS-agentextensie voor op tokens gebaseerde Windows-toepassingen.

De AD FS-agentextensie voor op tokens gebaseerde Windows-toepassingen verwerkt de protocollen die door AD FS worden gebruikt voor de verificatie van aanvragen.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Ik wil logboekregistratie inschakelen op de AD FS-webserver voor de verificatieservice van de webagent voor AD FS.

Met de verificatieservice van de webagent voor AD FS worden inkomende tokens en cookies gevalideerd.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Ik wil weten waar de logboeken zich bevinden.

Deze bevinden zich in %systemroot%\SystemData\ADFS\logs.

Problemen met AD LDS

Nadat mijn gebruikersaccounts zijn gemaakt in AD LDS (Active Directory Lightweight Directory Services) en het vertrouwensbeleid is geconfigureerd met gegevens van het AD LDS-archief, kan de Federation-service geen gebruikers valideren in het AD LDS-archief.

Oplossing: Wees voorzichtig wanneer u gebruikersaccounts maakt met de AD LDS-module ADSI bewerken. Maak altijd gebruikersaccounts met een wachtwoord. Gebruik ADSI bewerken om het wachtwoord voor het gebruikersaccount opnieuw in te stellen als u een gebruikersaccount zonder wachtwoord maakt. Controleer vooral de waarde van de eigenschap msDS-UserAccountDisabled van het gebruikersaccount. Deze eigenschap mag niet zijn ingesteld op Waar. De waarde moet zijn ingesteld op Niet waar of Niet ingesteld. Als de eigenschap msDS-UserAccountDisabled is ingesteld op Waar, betekent dit dat het gebruikersaccount is uitgeschakeld en de Federation-service referenties voor dit AD LDS-gebruikersaccount niet kan valideren.

Ik heb een AD LDS-accountarchief ingeschakeld, maar de Federation-service kan geen claims ophalen.

Als de Federation-service wordt uitgevoerd als lokaal systeem, moet u het computeraccount van de computer met de Federation-service toevoegen aan de groep Lezers in het AD LDS-archief.

Als de Federation-service wordt uitgevoerd als netwerkservice, moet u het domeinaccount toevoegen aan de groep Lezers in het AD LDS-archief.

Configuratieproblemen

In het volgende gedeelte komen enkele bekende problemen met het configureren van AD FS aan de orde.

Ik ontvang een serverfout.

Fout: de tokenaanvraag voor de toepassing met de URL https://... kan niet worden verwerkt omdat geen bekende vertrouwende toepassing door de URL (Uniform Resource Locator) wordt geïdentificeerd

Oplossing: deze fout wordt geretourneerd door de Federation-service van de bronpartner wanneer geen bekende toepassing door URL van de toepassing wordt geïdentificeerd. Controleer of de toepassing is toegevoegd aan het vertrouwensbeleid van de Federation-service.

Controleer voor een claimbewuste toepassing of de retour-URL juist is getypt in het bestand Web.config van de toepassing en of deze URL overeenkomt met de URL van de toepassing die is opgegeven in het vertrouwensbeleid van de Federation-service.

Voor een op tokens gebaseerde Windows NT-toepassing controleert u of de retour-URL juist is getypt in de module IIS-beheer (Internet Information Services) (onder <Websitenaam>\Authentication\AD FS Windows Token-Based Agent en of deze overeenkomt met de toepassings-URL in het vertrouwensbeleid van de Federation-service.

Ik ontvang een validatiefout.

Fout: validatie van MAC (Media Access Control) van weergavestatus is mislukt. Controleer of de <machineKey>-configuratie dezelfde validationKey en hetzelfde validatiealgoritme bevat als deze toepassing wordt gehost door een webfarm of -cluster.

Automatisch genereren kan niet worden gebruikt in een cluster. Er is een onverwerkte uitzondering opgetreden tijdens de uitvoering van de huidige webaanvraag. Controleer de stacktrace voor meer informatie over de fout en de plaats waar deze in de code is opgetreden.

Of

Fout: er is een onverwerkte uitzondering gegenereerd tijdens de uitvoering van de huidige webaanvraag. Zie onderstaande stacktrace voor meer informatie over de oorsprong en locatie van de uitzondering.

Oplossing: gebruik een teksteditor, voeg de volgende instelling toe aan het web.config-bestand op de computer met de Federation-service, Federation-serverproxy of webagent voor AD FS die worden ingesteld in de farm:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Of

Oplossing: voeg het volgende element in het gedeelte <system.web> van het bestand Web.config toe op de computers met de Federation-service, Federation-serviceproxy of webagent voor AD FS die zijn ingesteld in de farm:

<pages enableViewStateMac="false"/>

Zie ook


Inhoudsopgave