服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Azure中的Windows Server 2012 R2上的ADFS禁止在被动身份validation中使用“无效的Win32 FileTime”exception
Intereting Posts
cron:不能locking/var/run/crond.pid,otherpid可能是3759 亚马逊虚拟私有云 – 我可以使用正常的VPN连接吗? nginx – 结合js文件,caching和服务gzipped AWS – 路由到单个实例上的多个端口 活动目录+公共DNS 用SVNdeviseDNS主/从 在一个窗口上的IP设置 有没有人使用Nagios的check_mk? 在考虑之前,我应该注意什么? Windows 7启动pipe理器编辑器作为启动pipe理器中的一个选项 如何为所有用户安装777权限的远程卷? 如何configurationRedHat 6服务器来始终使用网关? 在Linux中dynamic禁用CPU套接字以节省能源? 将`应用程序和服务日志`转发为SNMP陷阱 阻止在我的办公室p2p下载? 在Windows XP上使用VMWare Player和Remote Desktop显示错误

Azure中的Windows Server 2012 R2上的ADFS禁止在被动身份validation中使用“无效的Win32 FileTime”exception

我收到ADFS跟踪logging下的此错误 – debugging: 

ServiceHostManager.LogFailedAuthenticationInfo: Token of type 'http://schemas.microsoft.com/ws/2006/05/identitymodel/tokens/UserName' validation failed with following exception details: System.ArgumentOutOfRangeException: Not a valid Win32 FileTime. Parameter name: fileTime at System.DateTime.FromFileTimeUtc(Int64 fileTime) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetPasswordExpiryDetails(SafeLsaReturnBufferHandle profileHandle, DateTime& nextPasswordChange, DateTime& lastPasswordChange) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUserInfo(SafeHGlobalHandle pLogonInfo, Int32 logonInfoSize, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String authenticationType, String issuerName) at Microsoft.IdentityServer.Service.Tokens.LsaLogonUserHelper.GetLsaLogonUser(UserNameSecurityToken token, DateTime& nextPasswordChange, DateTime& lastPasswordChange, String issuerName) at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateTokenInternal(SecurityToken token) at Microsoft.IdentityServer.Service.Tokens.MSISWindowsUserNameSecurityTokenHandler.ValidateToken(SecurityToken token)

我试图写一个简单的概念certificateC#服务提供者使用被动authentication。

从C#SP开始,我创build了一个SAMLRequest并将浏览器redirect到ADFS。

ADFS正在提示表单凭证,input后,将以下状态回传给我的SAML2.0资源使用者: 

 <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/>

我为这个依赖方build立了两条索赔规则。 

 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value); 

 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");

我完全被“不是有效的Win32文件时间”exception困惑,因为它看起来好像ADFS深处的东西正在试图把东西看作是显然没有有效时间戳的时间戳。

这是从Azure VM模板创build的Windows Server 2012 R2 Datacenter版本服务器。 我所做的一切都是为了testing目的而安装ADFS和AD。

不是我认为它应该有所作为,但服务器时区默认为UTC。

事实certificate,“不是有效的Win32文件时间”exception是一个红色的鲱鱼。 当我第二天去testing这些声明configuration,我得到这个状态码: 

 <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy"/>

当我得到Win32 FileTime错误时,我必须无意中configuration了一些垃圾声明。

深入挖掘InvalidNameIDPolicy状态,我发现我的请求中的NameID格式是: 

 urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified

而且这似乎是无效的,或ADFS无法识别的。 切换到请求来指定下面的NameID格式策略解决了这个问题: 

 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified