我们正在与一个想要为CRM 2011安装提供两个完全独立的环境的大客户合作。 这将涉及在域中有两个独立的ADFS服务器。 在域内使用两台ADFS服务器会有什么负面影响吗? 他们显然将生活在不同的url,但依靠相同的AD森林作为他们的authentication支持。
我正在尝试在64位Server 2008 R2上安装AD FS 2.0。 我已经从MS下载中心下载了它,它指出Server 2008 R2是受支持的操作系统之一。 当我运行下载的可执行文件时,出现以下错误消息: AD FS 2.0安装需要Windows Server 2008 SP2操作系统。 我发现了一个有关在Server 2008和2008 R2上安装的要求的MS页面 。 以下是我已安装或已经安装的一些要求: Windows Identity Foundation(WIF):从MS下载中心安装 因为它是Server 2008 R2计算机,所以安装了IIS 7:7.5。 Windows修补程序(KB981002):我跟着链接指出我可以从这里下载修复程序,但是我得到的消息是更新不适用于我的计算机。 .NET Framework 3.5 Service Pack 1:我已安装.Net 3.5.1和4.5.1。 在AD FS可执行文件运行之前,是否还有其他需要安装的内容? 任何线索赞赏。
我在服务器2012 R2上设置了ADFS和WAP,以便login到SharePoint 2013.我遵循几个方法,除了一件事之外似乎都很好:当我login到ADFS表单时,它确定,然后我login到一个空白页。 所以我看了一下WAP日志,然后返回这两个错误信息: ID = 13019由于以下常规API错误,Web应用程序代理无法代表用户检索Kerberos票证:提供的名称不是正确形成的帐户名称。 (0x80070523)。 ID = 12027 Web应用程序代理在处理请求时遇到意外错误。 错误:提供的名称不是正确形成的帐户名称。 (0x80070523)。 根据technet这是如何解决: “ 域控制器拒绝了由Web应用程序代理创build的Kerberos票据,请确认Web应用程序代理和后端应用程序服务器的configuration是否正确configuration,尤其是SPNconfiguration,确保Web应用程序代理已join到同一个域作为域控制器,以确保域控制器与Web应用程序代理build立信任关系。确保Web应用程序代理和域控制器上的时间和dateconfiguration是同步的。 但是我不知道他们为什么要join域中的WAP服务器,因为这个服务器应该在DMZ和WORKGROUP中。 在WAP服务器上的date和时间不好,所以我修改了它,现在好了。 我没有将服务器join到域中,并且使用正在运行我的SP Site的AppPool的域帐户来设置SPN。 我仔细检查DNS,HOSTS文件,证书,帐户…我找不到任何错误。 我想知道: 我是否需要添加任何帐户在WAP服务器上的通配符证书上读取私钥的权限 ? 在ADFS服务器上,只有adfs服务帐户对证书(pv密钥)具有正确的读取权限,用于运行应用程序池的纯SP域帐户有权读取证书的pv密钥。 如有需要,请询问更多细节。
我在Windows Server 2012上configuration了Web应用程序代理,并且我注意到当用户发出请求时出现exception: http错误503服务不可用。 在事件查看器的wap服务器上,我发现了下面的exception。 我不知道为什么,但exception中指定的IP是错误的 – 这是如何解决? 无法从联合身份validation服务中检索代理configuration数据。 其他数据 信任证书指纹:81E6CF17894A85B134D12DBEDE0E07CDC2F57FD3 状态码: exception详细信息:System.Net.WebException:无法连接到远程服务器—> System.Net.Sockets.SocketException:连接尝试失败,因为连接方在一段时间后没有正确响应,或build立的连接失败因为连接的主机未能响应System.Net.Sockets.Socket.DoConnect(EndPoint endPointSnapshot,SocketAddress socketAddress)上的XXX.XXX.XXX.XXX:443在System.Net.ServicePoint.ConnectSocketInternal(布尔connectFailure,套接字s4,套接字s6 ,Socket和套接字,IPAddress和地址,ConnectSocketState状态,IAsyncResult asyncResult,exception和exception)—结束内部exception堆栈跟踪—在System.Net.HttpWebRequest.GetResponse()在Microsoft.IdentityServer.Management.Proxy.StsConfigurationProvider.GetStsProxyConfiguration ()
我正在尝试为我在Office 365上使用SharePoint的客户制定SSO解决scheme。 我有以下testing环境: 域名服务器(+证书服务) ADFS服务器 ADFS代理服务器(非域join) 服务器进行testing(安装了IE + Firefox + Chrome) 示例应用程序的Web服务器 ADFS服务器与Office 365联合。 SharePoint在线网站(名称已更改)A.sharepoint.com内部域(Windows)的DNS名称是corp.B.com。 (B与SharePoint.com域中的A不同,这是个问题吗?)用于Office 365的域(Internet)是B.com。 UPN后缀已创build,并在corp.B.com的帐户上使用,以允许以[email protected]。 ADFS解决scheme工作得很好(转到SharePoint Online或Office 365,获取提示input凭据,键入UPN,redirect到ADFS并自动login)。 我想要做的就是使用SharePoint自动加速来绕过login提示,但是在A-admin.sharepoint.com上启用SharePoint加速并为域B.com启用后,没有任何更改; 仍然是相同的login提示,没有自动加速。 我很无知,如何debugging或进一步寻找。 编辑:智能链接不是一个选项,我正在考虑让这个工作干净,而不是一个ADFS 2解决scheme,但为了向前兼容和支持的东西。
在性能下降之前,您可以将多less个依赖方信任添加到ADFS 2.0中? RP信任的数量是否影响绩效?
场景:小型公司(<200个用户),本地Active Directory(单域,2008R2级别),本地部署Exchange 2010,Lync 2010和SharePoint 2013。 该公司希望为Exchange,Lync和SharePoint服务提供全面云服务,从而将所有内容迁移到Office 365; 然而,本地AD将作为主要的身份validation系统被保留下来,因为还有其他各种应用程序服务器,并且要求用户和计算机join到域中。 在这种情况下,应该使用ADFS还是将DirSync足够? ADFS是必需的还是可选的? 如果是可选的,它将提供什么好处(和警告)通过更简单的DirSync-only解决scheme?
我试图configurationADFS作为一个Claim Provider (我想AD将是identity provider在这种情况下)。 只是为了简单的testing,我试图在windows server 2016机器上以下: 1)设置AD和域= t1.testdom (其工作原因即时通讯实际上能够与域login) 2)设置DNS。 为adfs添加一个主机(A)作为fs.t1.testdom 3)自签名证书( https://technet.microsoft.com/library/hh848633 ): powershell> New-SelfSignedCertificate -DnsName "*.t1.testdom" 4)设置ADFS。 服务器名称设置为fs.t1.testdom 服务>身份validation方法启用为form authentication 5)还通过PowerShell修复了SPN,以确保所有需要的SPN在那里并提供给正确的用户帐户,并且没有发现重复 – 但是,当我尝试通过https://fs.t1.testdom/adfs/ls访问浏览器的login页面时,出现错误。 login服务器pipe理器说: `There are no registered protocol handlers on path /adfs/ls to process the incoming request` 那么是否有办法至less达到login屏幕? 所以我可以继续下一个错误。 这是我在/ls屏幕上得到的:
我正在尝试使用ADFS 2向导添加可信的依赖方。 我的开发站点(托pipe的IIS)在端口61080有一个HTTP绑定,而HTTPS绑定在端口61443.我有一个自签名的.PFX SSL证书。 ADFS 2.0服务器是托pipe在VM中的Win2K8 R2服务器。 该服务器也是一个(虚拟的,仅用于testing)域控制器。 ADFS站点也使用自签名证书。 我使用FedUtil将ADFS 2站点作为STS添加到我的开发站点。 现在是这个问题,当我尝试添加开发站点作为ADFS服务器上的信任的依赖方,我得到这个错误信息… 尝试读取联合元数据时发生错误。 validation指定的URL或主机名是否是有效的联合元数据端点。 validation您的代理服务器设置。 有关如何validation代理服务器设置的详细信息,请参阅AD FS 2.0故障排除指南( http://go.microsoft.com/fwlink/?LinkId=182180 )。 错误消息:底层连接已closures:无法build立SSL / TLS安全通道的信任关系。 为了解决这个问题,我导出了两个自签名证书,并将它们添加到两台机器上的“个人”和“受信任的根证书颁发机构”,但仍然没有运气。 错误信息中提到的链接提供了一些通用的build议,这没有任何帮助。 有没有人有任何想法? -谢谢!
我有一个系统,我们使用ADFS作为身份提供者来提供基于WIF的.NET应用程序的单点login。 所有的工作都很好,我们能够通过所有的要求,例如这里是传递姓氏的规则: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://example.com/identity/claims/portal/lastname"), query = ";sn;{0}", param = c.Value); 但是现在我需要添加两个我遇到麻烦的规则,第一个是通过SID,另一个是通过SAM帐户名(域\用户)。 它们不存在于ADFS声明configuration向导的预定义列表中,而且我正在尝试为这些自定义规则编写自定义规则,但是我无法使其工作。 你能指出我参考如何可以提取这些属性,如果这确实是可能的? 我很抱歉如果我搞砸了一些命名法,我通常只在没有其他select的情况下才能在代码面上search东西。:)所有更正都是值得欢迎的。