Vad har du för problem?

Installationsproblem

Jag får upp en felsida med meddelandet Sidan kan inte visas, Servern hittades inte eller DNS-fel i webbläsaren.

Det finns några tänkbara orsaker till det här problemet:

  • Kontrollera att det har utfärdats certifikat för serverautentisering till standardwebbplatsen till alla federationsservrar.

  • Kontrollera att det har utfärdats certifikat för serverautentisering till webbplatsen där programmet finns till alla AD FS-aktiverade webbservrar.

  • Om en extern kontopartners federationstjänst har en proxy kontrollerar du att ett korrekt värddatornamn på federationstjänsten användes vid installationen.

  • Om du använder ett Windows NT-tokenbaserat program kontrollerar du att federationstjänstens URL (Uniform Resource Locator) i snapin-modulen IIS-hanteraren (Internet Information Services) (under <datornamn>\URL till federationstjänsten) är korrekt konfigurerad.

När jag försöker ansluta till programmet får jag upp en felsida med meddelandet "Det gick inte att hitta sidan eller HTTP-fel 404 – Filen eller katalogen kan inte hittas" i webbläsaren.

Problemet kan orsakas av följande konfigurationsproblem:

  • Kontrollera att webbprogrammet är korrekt konfigurerat i IIS (Internet Information Services).

  • Kontrollera att webbprogrammets URL är korrekt angiven i snapin-modulen Active Directory Federation Services.

  • Kontrollera att Microsoft ASP.NET är installerat på den AD FS-aktiverade webbservern och i federationstjänsten.

  • Om du ansluter till ett Windows NT-tokenbaserat program som använder ASP och du får 404-felet när du har angett dina autentiseringsuppgifter kontrollerar du att ASPClassic-hanteraren i IIS är aktiverad och konfigurerad att hantera *.asp-sidor. Kontrollera även att ASP-funktionen är installerad för IIS.

När jag har installerat ett Windows NT-tokenbaserat program försöker jag att ansluta till det men jag ombeds inte att välja värdsfär och autentiseringsuppgifter.

Kontrollera att den virtuella katalogen i det Windows NT-tokenbaserat programmet är konfigurerad att använda ISAPI-tillägget (Internet Server Application Programming Interface) Ifsext.dll.

Problem med att logga in

Jag vill aktivera loggning på kontofederationsservern.

Kontofederationsservern använder ett autentiseringspaket vid mappning av klientcertifikat. Om du vill aktivera loggning för kontofederationsserverns autentiseringspaket utför du följande åtgärder i angiven ordning:

  1. Installera federationstjänstkomponenten i Active Directory Federation Services (AD FS) om den inte redan är installerad.

  2. Ange följande registernyckel: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Jag vill aktivera loggning på den AD FS-aktiverade webbservern för autentiseringspaketet för AD FS Web Agent.

Autentiseringspaketet för AD FS Web Agent används av Windows NT-tokenbaserade program för att skapa en eller flera token när S4U (Service-for-User) inte är tillgängligt. Paketet används även när en token innehåller SID (Security Identifiers), t.ex. i scenarier som använder resursgrupper eller alternativet Windows-förtroende.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

Jag vill aktivera loggning på den AD FS-aktiverade webbservern för det Windows-tokenbaserade agenttillägget för AD FS.

Det Windows-tokenbaserade agenttillägget för AD FS hanterar protokollen som används av AD FS vid autentisering av begäranden.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Jag vill aktivera loggning på den AD FS-aktiverade webbservern för autentiseringstjänsten för AD FS Web Agent.

Autentiseringstjänsten för AD FS Web Agent verifierar inkommande token och cookies.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Jag vill veta var loggfilerna är lagrade.

De lagras i %systemroot%\SystemData\ADFS\logs.

AD LDS-problem

När mina användarkonton är skapade i Active Directory Lightweight Directory Services (AD LDS) och förtroendeprincipen är konfigurerad med information om AD LDS-arkivet kan inte federationstjänsten validera användare i AD LDS-arkivet.

Lösning: Var försiktig när du skapar användarkonton med snapin-modulen AD LDS ADSI Edit. Skapa alltid användarkonton med lösenord. Om du skapar ett användarkonto utan ett lösenord använder du ADSI-redigeraren för att återställa användarkontots lösenord. Det viktigaste är att du kontrollerar värdet på egenskapen msDS-UserAccountDisabled för användarkontot. Egenskapen bör inte ha värdet Sant. Värdet bör vara antingen Falskt eller Inte angett. Om värdet på egenskapen msDS-UserAccountDisabled är Sant innebär det att användarkontot är inaktiverat och federationstjänsten inte kan validera autentiseringsuppgifter för det här AD LDS-användarkontot.

Jag har aktiverat ett AD LDS-kontoarkiv men federationstjänsten kan inte hämta några anspråk.

Om federationstjänsten körs som Lokalt system måste du lägga till datorkontot för den dator som är värd för federationstjänsten till läsargruppen i AD LDS-arkivet.

Om federationstjänsten körs som nätverkstjänst måste du lägga till domänkontot till läsargruppen i AD LDS-arkivet.

Konfigurationsproblem

I följande avsnitt beskrivs några kända problem med AD FS-konfiguration.

Jag får ett serverfel

Fel: Tokenbegäran för programmet med URL:en https://... kan inte betjänas eftersom denna URL inte anger något känt program med förtroende

Lösning: Det här felet returneras av resursens federationstjänst när programmets URL inte anger något känt program. Kontrollera att programmet har lagts till i förtroendeprincipen för federationstjänsten.

För ett anspråksmedvetet program kontrollerar du att en retur-URL:en är korrekt angiven i programmets web.config-fil och att den matchar programmets URL som angetts i förtroendeprincipen för federationstjänsten.

För ett Windows NT-tokenbaserat program kontrollerar du att retur-URL:en är korrekt angiven i snapin-modulen IIS-hanteraren (Internet Information Services) (under <Webbplatsens namn>\Autentisering\Windows-tokenbaserad agent för AD FS och att den matchar programmets URL i federationstjänstens förtroendeprincip.

Jag får ett valideringsfel.

Fel: Valideringen av viewstate-MAC (Media Access Control) misslyckades. Om det här programmet finns i en webbservergrupp eller ett kluster kontrollerar du att <datornyckel>-konfigurationen anger samma valideringsnyckel och valideringsalgoritm.

Det går inte att använda AutoGenerate i ett kluster. Det inträffade ett ohanterat undantag vid körningen av den aktuella webbegäran. Skaffa mer information om felet och var det uppstod i koden genom att granska stackspårningen.

Eller

Fel: Det upptod ett ohanterat undantag vid körningen av den aktuella webbegäran. Information om undantagets ursprung och plats kan identifieras med hjälp av undantagets stackspårning här nedan.

Lösning: Använd en textredigerare och lägg till följande inställning i Web.config-filen på datorn som innehåller antingen federationstjänsten, federationstjänstproxyn eller den AD FS Web Agent som ska grupperas:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Eller

Lösning: Lägg till följande element i avsnittet <system.web> i Web.config-filen på datorerna som innehåller federationstjänsten, federationstjänstproxyn eller den AD FS Web Agent som ingår i gruppen:

<pages enableViewStateMac="false"/>

Se även


Innehåll