您遇到什麼問題?
安裝問題
記錄問題
AD LDS 問題
設定問題
安裝問題
畫面上出現網頁瀏覽器錯誤頁面,其訊息為「無法顯示網頁」與「找不到伺服器」或「DNS 錯誤」。
這項問題可能是由下列原因所致:
-
請確認所有的同盟伺服器皆已發行伺服器驗證憑證給預設網站。
-
請確認所有的啟用 AD FS 的網頁伺服器皆已發行伺服器驗證憑證給應用程式所在的預設網站。
-
若其中牽涉到外部帳戶夥伴 Federation Service Proxy,請確認您在安裝期間所使用的 Federation Service 主機名稱正確無誤。
-
如果您使用的是 Windows NT 權杖型應用程式,請確認 [網際網路資訊服務 (IIS) 管理員] 嵌入式管理單元中的 [Federation Service 統一資源定位器 (URL)] (在 <電腦名稱>\Federation Services URL) 設定無誤。
當我嘗試連線到應用程式時,畫面上出現網頁瀏覽器錯誤頁面,其訊息為「找不到這個頁面」與「HTTP 錯誤 404 – 找不到檔案或目錄」。
這項問題可能是由下列設定問題所致:
-
請確認網頁應用程式在網際網路資訊服務 (IIS) 中設定無誤。
-
請確認網頁應用程式 URL 在 Active Directory Federation Services 嵌入式管理單元中命名無誤。
-
請確認啟用 AD FS 的網頁伺服器與 Federation Service 中皆已安裝 Microsoft ASP.NET。
-
如果您正連線到使用 ASP 的 Windows NT 權杖型應用程式,而且在提供憑證之後畫面上顯示 404 錯誤,請確認已經啟用和設定 IIS 中的 ASPClassic 處理常式,以處理 *.asp 頁面。並確認已經安裝 IIS 的 ASP 功能。
在設定 Windows NT 權杖型應用程式後,我嘗試加以連線,但畫面上並未出現提示,要求我選擇主機領域與登入認證。
請確認 Windows NT 權杖型應用程式的虛擬目錄,已設定為使用 Ifsext.dll 網際網路伺服器應用程式開發介面 (ISAPI) 擴充。
記錄問題
我要在帳戶同盟伺服器上啟用記錄。
帳戶同盟伺服器會使用用於對應用戶端憑證的驗證封裝。若要針對帳戶同盟伺服器驗證封裝啟用記錄,請依序執行下列工作:
-
若尚未安裝 Active Directory Federation Services (AD FS) 的 Federation Service 元件,請加以安裝。
-
設定下列登錄機碼:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
我要為 AD FS 網路代理程式驗證封裝在啟用 AD FS 的網頁伺服器上啟用記錄。
Service-for-User (S4U) 無法使用時,Windows NT 權杖型應用程式可使用 AD FS 網路代理程式驗證封裝來產生權杖。它也經常在權杖包含安全性識別碼 (SID) 時使用,例如在使用資源群組或 [Windows 信任] 選項的案例中。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
我要為 AD FS Windows 權杖型代理程式延伸在啟用 AD FS 的網頁伺服器上啟用記錄。
AD FS Windows 權杖型代理程式延伸可處理 AD FS 用來驗證要求的通訊協定。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]
"DebugPrintLevel"=dword:ffffffff
我要為 AD FS 網路代理程式驗證服務在啟用 AD FS 的網頁伺服器上啟用記錄。
AD FS 網路代理程式驗證服務可驗證連入的權杖與 cookie。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]
"DebugPrintLevel"=dword:ffffffff
我要知道記錄的位置。
它們位於 %systemroot%\SystemData\ADFS\logs 中。
AD LDS 問題
在 Active Directory 輕量型目錄服務 (AD LDS) 中建立我的使用者帳戶,並以 AD LDS 存放區的相關資訊設定信任原則後,Federation Service 就無法驗證 AD LDS 存放區中的使用者。
解決方案:使用 AD LDS ADSI 編輯器嵌入式管理單元建立使用者帳戶時,請多加留意。建立的使用者帳戶務必要使用密碼。若您所建立的使用者帳戶不含密碼,請使用 [ADSI 編輯器] 為使用者帳戶重設密碼。最重要的是,請檢查使用者帳戶的 msDS-UserAccountDisabled 內容值。此內容的值不應為 True。此值應為 False 或 Not set。如果 msDS-UserAccountDisabled 內容的值為 True,表示使用者帳戶已停用,而 Federation Service 無法驗證此 AD LDS 使用者帳戶的認證。
我已啟用 AD LDS 帳戶存放區,但 Federation Service 無法擷取任何宣告。
如果 Federation Service 以本機系統的身分執行,您就必須將裝載 Federation Service 之電腦的電腦帳戶新增至 AD LDS 存放區的 Readers 群組中。
如果 Federation Service 以網路服務的身分執行,您就必須將網域帳戶新增至 AD LDS 存放區的 Readers 群組中。
設定問題
下節將討論有關 AD FS 設定的一些已知問題。
畫面上出現伺服器錯誤。
錯誤:因為統一資源定位器 (URL) 並未識別任何已知的信任應用程式,所以無法完成具有 URL https://... 之應用程式的權杖要求
解決方案:當應用程式 URL 未識別任何已知的應用程式時,資源 Federation Service 就會傳回此錯誤。請確定應用程式已新增至 Federation Service 的信任原則中。
對於宣告感知應用程式,請確認應用程式的 web.config 檔案中所輸入的傳回的 URL 正確無誤,且符合 Federation Service 的信任原則中所指定的應用程式 URL。
對於 Windows NT 權杖型應用程式,請確認在網際網路資訊服務 (IIS) 管理員嵌入式管理單元中所輸入的傳回 URL 正確無誤 (在 [<網站名稱>\驗證\AD FS Windows 權杖型代理程式] 之下),並符合 Federation Service 的信任原則中的應用程式 URL。
畫面上出現驗證錯誤。
錯誤: viewstate 媒體存取控制 (MAC) 驗證失敗。若此應用程式由 Web 伺服陣列或叢集裝載,請確定 <machineKey> 設定中指定了相同的 validationKey 與驗證演算法。
AutoGenerate 無法在叢集中使用。執行目前的網頁要求期間,發生無法處理的例外狀況。請檢閱堆疊追蹤,以進一步了解錯誤及錯誤發生於程式碼中的位置。
或
錯誤:執行目前的網頁要求期間,產生無法處理的例外狀況。有關例外狀況的來源與位置等資訊,可透過下列例外狀況堆疊追蹤來識別。
解決方案:在裝載 Federation Service、Federation Service Proxy 或 AD FS 網路代理程式,且要加入伺服陣列的電腦上,使用文字編輯器,將下列設定新增到 Web.config 檔案中:
<system.web>
<machineKey>
<machineKey validationKey="specify key for the appropriate algorithm"
decryptionKey="specify key"
validation="SHA1|MD5|3DES"/>
或
解決方案:在裝載伺服陣列中所設定之 Federation Service、Federation Service Proxy 或 AD FS 網路代理程式的電腦上,為 Web.config 檔案的 <system.web> 區段新增下列元素:
<pages enableViewStateMac="false"/>