Проблемы, связанные с установкой
Internet Explorer открывает страницу ошибки с сообщением «Не удается отобразить страницу. Не удается найти сервер или ошибка DNS».
У этой проблемы может быть несколько причин.
- Убедитесь, что брандмауэр Windows выключен.
- Проверьте, что для всех служб федерации и веб-серверов
приложений имеются сертификаты проверки подлинности на сервере,
настроенные для стандартного веб-узла.
- Если используется прокси-агент службы федерации внешнего
партнера по учетным записям, убедитесь, что во время установки
использовалось правильное имя узла службы федерации.
- Если применяется использующее маркеры Windows NT приложение,
убедитесь в правильности настройки URL-адреса службы федерации на
вкладке Веб-агент ADFS диалогового окна Свойства
веб-узлов.
При попытке подключиться к приложению Internet Explorer открывает страницу ошибки с сообщением «Не удается найти страницу. Ошибка HTTP 404 — не найден файл или каталог».
Эта неполадка может быть вызвана описанными ниже проблемами в настройке.
- Убедитесь, что веб-приложение правильно настроено в службе IIS
(Internet Information Services).
- Убедитесь, что URL-адрес веб-приложения имеет правильное имя в
оснастке «Службы федерации Active Directory».
- Убедитесь, что на компьютерах, где находятся веб-сервер
приложения и служба федерации, установлен пакет Microsoft
ASP.NET.
- Если при подключении к использующему маркеры Windows NT
приложению, в котором применяется технология ASP, ошибка 404
получена после отправки учетных данных, в дереве консоли диспетчера
IIS выберите локальный компьютер, щелкните Расширения
веб-службы и убедитесь, что для параметра Страницы ASP
выбрано значение Разрешено.
После установки использующего маркеры Windows NT приложения при попытке подключиться к нему не выводится приглашение для выбора сферы узла и учетных данных для входа.
Убедитесь, что в настройках виртуального каталога использующего маркеры Windows NT приложения предусмотрено применение расширения Ifsext.dll интерфейса приложений ISAPI (Internet Server Application Programming Interface).
Где расположены файлы ADFSSetup.log, ADFSOCM.log и ADFSMSI.log?
Они расположены в каталоге %SYSTEMROOT%\.
Включение ведения журнала
Параметры системного реестра для включения ведения журнала учетной записи сервера федерации
На сервере федерации учетной записи используется пакет проверки подлинности для сопоставления сертификатов клиентов. Чтобы включить ведение журнала для пакета проверки подлинности на сервере федерации учетной записи, выполните следующие действия в указанном порядке:
- Установите компонент «Служба федерации» служб федерации
Active Directory (ADFS), если он еще не установлен.
- Задайте значение параметра следующего раздела реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Параметры системного реестра для включения ведения журнала на веб-сервере для следующих компонентов:
Пакет проверки подлинности веб-агента ADFS
Пакет проверки подлинности веб-агента ADFS применяется использующим маркеры Windows NT приложением для создания маркеров, когда режим S4U (Service-for-User) недоступен.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]
"DebugLevel"=dword:ffffffff
Расширение ISAPI веб-агента ADFS
Расширение ISAPI веб-агента ADFS управляет протоколами, которые используются службой ADFS для проверки подлинности запросов.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]
"DebugPrintLevel"=dword:ffffffff
Служба проверки подлинности веб-агента ADFS
Служба проверки подлинности веб-агента ADFS осуществляет проверку подлинности входящих маркеров и файлов «cookie».
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]
"DebugPrintLevel"=dword:ffffffff
Где расположены эти журналы?
Они расположены в каталоге %SYSTEMDRIVE%\ADFS\logs.
Проблемы, связанные с настройкой
В следующем разделе освещаются некоторые из известных проблем, связанных с настройкой ADFS.
Ситуация: ошибка сервера
Ошибка: «Запрос маркера о приложении с URL-адресом https://... не может быть выполнен, поскольку этот URL-адрес не определяет ни одно из известных доверенных приложений».
Решение. Эта ошибка возвращается службой федерации ресурса, если URL-адрес приложения не определяет ни одно из известных приложений. Убедитесь, что приложение было добавлено к политике доверия для службы федерации. Дополнительные сведения по этому вопросу содержатся в разделе Работа с мастером добавления приложений.
Для приложения по заявкам убедитесь, что в файле web.config приложения правильно задан URL-адрес возврата и что он совпадает с URL-адресом приложения, указанным в политике доверия службы федерации.
Для использующего маркеры Windows NT приложения, убедитесь, что на вкладке IIS веб-агент ADFS правильно введен URL-адрес возврата и что он совпадает с URL-адресом приложения, указанным в политике доверия службы федерации.
Ситуация: ошибка проверки
Ошибка: «Не удается проверить отображение MAC». Если это приложение управляется веб-фермой или кластером, убедитесь, что настройкой параметра <machineKey> задается такое же значение validationKey и алгоритм проверки.
Режим AutoGenerate не может использоваться в кластере. Во время выполнения текущего веб-запроса произошло необрабатываемое исключение. Для получения дополнительных сведений об ошибке просмотрите трассировку стека и найдите источник ошибки в программном коде.
Или
Ошибка: «Во время выполнения текущего веб-запроса произошло необрабатываемое исключение». Информация об источнике и местоположении исключения может быть получена с помощью трассировки стека, показанной ниже.
Решение. С помощью текстового редактора добавьте следующий параметр к файлу Web.config на компьютере, на котором работает служба федерации, прокси-агент службы федерации или веб-агент ADFS, добавляемые к ферме:
<system.web>
<machineKey>
<machineKey validationKey="specify key for the
appropriate algorithm"
decryptionKey="specify key"
validation="SHA1|MD5|3DES"/>
Или
Решение. Добавьте следующий элемент в раздел <system.web> файла Web.config на компьютерах, на которых работает служба федерации, прокси-агент службы федерации или веб-агент ADFS, добавляемые к ферме:
<pages enableViewStateMac="false"/>
Ситуация: для службы федерации учетной записи указан неправильный путь к файлу «cookie».
Симптомы: служба федерации неоднократно пытается проверить подлинность пользователя, но входа в систему не происходит. При этом согласно записям журналов событий на сервере федерации проверка пользователя проходит успешно. В то же время пользователь не видит, что его вход прошел успешно.
Решение. Чтобы устранить эту проблему, исправьте путь к файлу «cookie», указанный в политике доверия.
Путь к файлу «cookie» должен совпадать с префиксом универсального идентификатора ресурса (Uniform Resource Identifier, URI) запроса. Важно помнить, что некоторые веб-обозреватели обрабатывают строки «/path» или «/path1/samp» как префикс, совпадающий с «/path1/sample», в то время как в других обозревателях совпадения только частей отдельных слов совпадениями не считаются. В этих строгих реализациях принимаются только подмножества полных совпадений первых слов, например, «/path1» и «/path1/sample».
Ситуация: использующее маркеры Windows NT приложение не может создать маркер доступа Windows для пользователя, применяющего маркер безопасности из службы федерации ресурса, по одной из следующих причин:
- единственная идентификационная заявка является заявкой на общее
имя;
- служба S4U (Services-for-User) не работает, так как не
существует учетной записи ресурса, соответствующей основному имени
пользователя (UPN).
Симптомы: веб-приложение возвращает маркер анонимного пользователя.
Ситуация: UPN-имя для форм проверки подлинности, использующих имя NetBIOS «пользователь@домен», может отличаться от UPN-имени для интегрированной проверки подлинности и проверки подлинности клиента по протоколу TLS/SSL (Transport Layer Security / Secure Sockets Layer).
Симптомы: в том случае, когда выполняется интегрированная проверка подлинности и проверка подлинности клиента по протоколу TLS/SSL, UPN-имя — всегда явное UPN-имя, заданное в Active Directory для объекта пользователя. Однако в форме проверки подлинности UPN-имя может принимать значение, введенное пользователем в поле имени пользователя. Поэтому UPN-имя может принимать вид:
имя_пользователя@имя_NetBIOS домена или имя_пользователя@имя_DNS_домена.
Ситуация: в настройках приложения веб-сервера нельзя задавать URL-адреса, не соответствующие протоколу HTTPS (Secure Hypertext Transfer Protocol).
Симптомы: если приложение содержит ссылки, не соответствующие протоколу HTTPS, веб-обозреватель не будет отправлять для этих URL-адресов файлы «cookie» для проверки подлинности. Единый вход (SSO) становится невозможен, так как файлы «cookie» ADFS — защищенные файлы. В случаях, когда на веб-сервере работают только использующие маркеры Windows NT приложения, веб-сервер перенаправляет запрос по URL-адресу, соответствующему протоколу HTTPS. Поэтому такое поведение в большинстве случаев может быть незаметно.
Ситуация: если служба федерации или веб-сервер работают на контроллере домена, учетной записи APPIDENTITY следует предоставить доступ для записи к каталогу Temporary ASP.NET files
(%windir%\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET files)
APPIDENTITY — учетная запись пула приложений, для работы с которыми настроены служба федерации или прокси-агент службы федерации.
Ситуация: журнал службы федерации заполнен и служба федерации не может выполнять никакие запросы.
Решение. Измените размер файла журнала службы федерации, увеличив его до 16 Мбайт или более.
Ситуация: между лесом экстрасети и лесом интрасети создано доверие лесов, и пользователь домена интрасети успешно прошел проверку подлинности в лесе экстрасети. В то же время пользователь не может пройти проверку подлинности из домена, который является дочерним доменом леса интрасети.
Причина. Служба федерации поддерживает кэш информации доверия лесов, который обновляется каждые восемь часов.
Решение. Обновите пул приложений службы федерации. Этим гарантируется, что никакие запросы проверки подлинности не будут отброшены.
Дублирование имен заявок о группах и настраиваемых заявок
Имена заявок не чувствительны к регистру букв. Не рекомендуется создавать заявки о группах и настраиваемые заявки, имена которых отличаются только регистром букв. Например, не создавайте заявку организации о группе с использованием имен «Иванов» и «иванов». При вводе похожих имен заявок, отличающихся только регистром букв, ADFS обрабатывает эти заявки как разные.
Узел Active Directory в оснастке ADFS
При отборе нескольких пользователей Active Directory в заявке об организационной группе под полем данных хранилища учетных записей в области сведений отображается звездочка (*).
Решение. Это предусмотрено разработкой программы. Чтобы проверить список добавленных пользователей Active Directory, откройте диалоговое окно свойств заявки организации о группе.
Узел партнеров по учетным записям в оснастке ADFS
Поле выбора объектов на вкладке «Группы» в диалоговом окне «Сопоставление заявок с именем UPN» возвращает для UPN-имени выбранного пользователя в поле редактирования «UPN» значение NULL.
Решение. Это предусмотрено разработчиками программы. Если выбранному пользователю UPN-имя не назначено явно, поле выбора объектов возвращает значение NULL и в поле «UPN» отображается пустое значение. Введите UPN-имя в поле вручную.
Узел приложений в оснастке ADFS
Не удается разрешить заявки на общее имя для использующего маркеры Windows NT приложения с помощью мастера добавления приложений.
Решение. Пользователь не может разрешить идентификационные заявки на общее имя для использующего маркеры Windows NT приложения с помощью мастера добавления приложений. Это можно сделать в диалоговом окне свойств идентификационной заявки на общее имя в области сведений «Добавленные приложения».
Неполадки ADAM
После создания учетных записей пользователей в службе ADAM (Active Directory Application Mode) и настройки политики доверия в соответствии с информацией о хранилище ADAM службе федерации не удается проверить пользователей в хранилище ADAM.
Решение. Будьте внимательны при создании учетных записей пользователей с помощью оснастки «Редактор ADAM ADSI». Всегда создавайте учетную запись пользователя с паролем. Если учетная запись пользователя создана без пароля, для восстановления пароля учетной записи используйте редактор ADSI. Что еще более важно, проверьте значение свойства msDS-UserAccountDisabled учетной записи пользователя. Это свойство не должно иметь значения True. Значением должно быть False или Не задано. Если значение свойства msDS-UserAccountDisabled — True, это означает, что учетная запись пользователя отключена и служба федерации не может проверить правильность сведений о подлинности этой учетной записи пользователя ADAM.
Хранилище учетных записей ADAM включено, но служба федерации не в состоянии отобрать заявки.
Если служба федерации работает как локальная система, к группе «Читатели» в хранилище ADAM следует добавить учетную запись компьютера, на котором работает служба федерации.
Если служба федерации выполняется как сетевая служба, к группе «Читатели» в хранилище ADAM следует добавить учетную запись домена.