我在服务器2012 R2上设置了ADFS和WAP,以便login到SharePoint 2013.我遵循几个方法,除了一件事之外似乎都很好:当我login到ADFS表单时,它确定,然后我login到一个空白页。
所以我看了一下WAP日志,然后返回这两个错误信息:
ID = 13019由于以下常规API错误,Web应用程序代理无法代表用户检索Kerberos票证:提供的名称不是正确形成的帐户名称。 (0x80070523)。
ID = 12027 Web应用程序代理在处理请求时遇到意外错误。 错误:提供的名称不是正确形成的帐户名称。 (0x80070523)。
根据technet这是如何解决:
“ 域控制器拒绝了由Web应用程序代理创build的Kerberos票据,请确认Web应用程序代理和后端应用程序服务器的configuration是否正确configuration,尤其是SPNconfiguration,确保Web应用程序代理已join到同一个域作为域控制器,以确保域控制器与Web应用程序代理build立信任关系。确保Web应用程序代理和域控制器上的时间和dateconfiguration是同步的。
但是我不知道他们为什么要join域中的WAP服务器,因为这个服务器应该在DMZ和WORKGROUP中。
在WAP服务器上的date和时间不好,所以我修改了它,现在好了。 我没有将服务器join到域中,并且使用正在运行我的SP Site的AppPool的域帐户来设置SPN。
我仔细检查DNS,HOSTS文件,证书,帐户…我找不到任何错误。
我想知道: 我是否需要添加任何帐户在WAP服务器上的通配符证书上读取私钥的权限 ? 在ADFS服务器上,只有adfs服务帐户对证书(pv密钥)具有正确的读取权限,用于运行应用程序池的纯SP域帐户有权读取证书的pv密钥。
如有需要,请询问更多细节。
发布使用Windows集成身份validation的应用程序时,WAP必须join域。 此链接描述了要求, http://technet.microsoft.com/en-us/library/8dfd483f-faf5-4a99-a590-0081623cad08#BKMK_AD 。 要使用基于声明的应用程序,您不需要域joinWAP服务器。