我们有一个WCF服务,它使用主动联盟通过AD FS 2.0validation呼叫者,并且在内部工作正常。 现在我们要把它暴露给外部世界,所以我们的服务器团队在DMZ中为这个服务和一个AD FS代理服务器build立一个服务器。 当调用WCF服务时,我们得到以下exception: System.ServiceModel.Security.SecurityNegotiationException:通过“ https://adfs-dev.example.com/adfs/services/trust/2005/kerberosmixed ”获取目标的SOAP安全性协议https://adfs-dev.example.com/ adfs / services / trust / 2005 / kerberosmixed '失败。 查看更多细节的内部例外 —> System.IdentityModel.Tokens.SecurityTokenValidationException:提供的NetworkCredentials无法创buildKerberos凭证,请参阅内部exception以了解详细信息。 —> System.IdentityModel.Tokens.SecurityTokenException:InitializeSecurityContent失败。 确保服务主体名称是正确的。 – > System.ComponentModel.Win32Exception:指定的目标未知或无法访问。 内部AD FS服务器是configuration为服务器场而不是独立服务器的单个服务器,AD FS服务在服务帐户下运行。 代理AD FS服务器是configuration为独立的单个服务器,AD FS服务作为networking服务运行。 DMZ中应用程序服务器上的主机文件条目将AD FS服务名称指向代理服务器的IP。 防火墙允许端口443上的SSLstream量从代理到内部AD FS服务器。 HOST / adfs-dev.example.com SPN已注册为服务帐户。 我可能会错过什么?
我在Windows Azure中设置ADFS场,我需要导出旧场的设置以导入到新场。 TechNet上的官方文档告诉我要使用位于Windows Server 2012 R2安装光盘的media / server_en-us / support / adfs文件夹中的脚本。 考虑到这个VM实例是Azure中的一个存储映像,我无法访问Windows Server 2012 R2安装光盘的内容。 我也无法访问一个内部部署。 我宁愿不search,下载和使用这些PowerShell脚本的非官方实例,因为它们可能不是微不足道的,而且与他们一起设置新的ADFS环境会是一个严重的安全问题。 我有什么select,为什么微软没有把这些作为一般的下载? 更新:如果您觉得微软应该向我们提供Windows Azure中的安装媒体,请为此build议投赞成票。 http://feedback.windowsazure.com/forums/34192–general-feedback/suggestions/5714393-make-installation-media-available-mount-an-iso
使用UPN作为NameID的Salesforce的ADFS SSO设置具有以下configurationADFS。 Claim Rule Template: Send LDAP Attributes as Claims Claim Rule Name: Send the UPN as NameID LDAP Attribute: User Principal Name Outgoing Claim Type: Name ID 一切适用于所有用户。 但是,当用户的UPN更改时,来自ADFS的SAML响应在Subject标记中不包含NameID标记。 什么可能是奇怪的行为的原因?
我试图使用Shibboleth SP(Windows Server 2008 R2上的64位)对ADFS 2.0(64位Windows Server 2008 R2)进行身份validation。 当我浏览到Shibboleth受保护的站点时,在Shibboleth native_warn日志中出现以下错误500: 2014-12-08 14:44:28 ERROR Shibboleth.Listener [2648] isapi_shib: remoted message returned an error: Unable to locate metadata for identity provider (https://adfs.int.example.com/adfs/ls/) 2014-12-08 14:44:28 ERROR Shibboleth.ISAPI [2648] isapi_shib: Unable to locate metadata for identity provider (https://adfs.int.example.com/adfs/ls/) 2014-12-08 14:44:30 ERROR Shibboleth.Listener [2648] isapi_shib: remoted message returned an error: […]
我刚刚使用Windows内部数据库在我的DC上安装了AD FSangular色。 在我把所有东西都设置好之后,似乎所有东西都没有问题,但是,一旦我重新启动我的DC,在尝试加载AD FSpipe理器时,出现以下错误: 试图访问AD FSconfiguration数据库时出错:错误消息:ADMIN0017:连接到configuration服务时发生exception。 configuration服务URL“net.tcp:// localhost:1500 / policy”可能不正确,或者AD FS 2.0 Windows服务未运行。 在检查服务时,我注意到AD FS服务实际上已停止。 当试图手动启动,我得到的错误: Windows无法在本地计算机上启动Active Directory联合身份validation服务服务。 错误1064:处理控制请求时,服务中发生exception。 我不完全确定在这里做什么。 我一直在阅读,它可能与用于运行服务的服务帐户有关,但是我已经确认该帐户是正确的(解锁,正确的密码等)。 我也读过你必须明确地将这个服务帐户添加到允许在相关GPO中作为服务login的帐户列表。 任何帮助是极大的赞赏。
目前我们的域名(比如domain.org)拥有ADFS的Office 365。 我们正在考虑将大约150个用户转换为它,他们目前都通过另一个电子邮件域(otherdomain.com)上的Exchange服务器发送电子邮件。 我们希望这些用户设置为拥有domain.org电子邮件地址的位置,但如果有人通过电子邮件发送旧的otherdomain.com地址,则会重新路由到他们。 我知道如何设置别名,并已经读取,我们需要otherdomain.com作为一个可用的UPN后缀。 这是事情变得棘手的地方。 其他域想要继续拥有自己的Active Directory并通过代理validation电子邮件。 是否有任何configuration步骤,我们需要知道或做这样的限制? 他们最终将在同一个Windows域上,但这将是一个很长的时间。 他们希望在Office 365上尽快获取电子邮件,以利用电子数据展示function和更大的邮箱存储空间。 有没有人有过类似的经历?
我正在尝试在AD FS安装的2012 R2域控制器上运行Add-KdsRootKey命令,并收到以下错误: Add-KdsRootKey : The specified domain either does not exist or could not be contacted. (Exception from HRESULT: 0x8007054B) At line:1 char:1 + Add-KdsRootKey + ~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [Add-KdsRootKey], COMException + FullyQualifiedErrorId : The specified domain either does not exist or could not be contacted. (Exception from HR ESULT: 0x8007054B),Microsoft.KeyDistributionService.Cmdlets.AddKdsRootKeyCommand […]
我在Windows Server 2012上安装了AD FS 3.0的全新安装。我尝试在使用此Codeplex的内部networking上创buildMFA。 AD FSpipe理>身份validation策略 多因素地点:内联网 select的多因素authentication扩展(来自codeplex的名称) 当我进入我的adfs站点( https://adfs.xx.com/adfs/ls/IdpInitiatedSignon.aspx )并使用有效凭证login时,出现以下错误: 现场 活动ID:00000000-0000-0000-3d00-0080000000e9 错误时间:Mon,01 Feb 2016 09:04:18 GMT Cookie:启用 用户代理string:Mozilla / 5.0(Windows NT 10.0; WOW64)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 48.0.2564.97 Safari / 537.36 在服务器上 (事件查看器>应用程序和服务日志> AD FS>pipe理员) 级别:错误,来源:AD FS,事件ID: 364 ,任务类别:无 。 在联合被动请求期间遇到错误。 其他数据 协议名称:Saml 依赖方: http : //adfs.xx.com/adfs/services/trust exception详细信息:System.FormatException:inputstring的格式不正确。 在System.Text.StringBuilder.AppendFormat(IFormatProvider提供者,string格式,对象[] args)在System.String.Format(IFormatProvider提供者,string格式,对象[]参数)在Neos.IdentityServer.MultiFactor.AuthenticationProvider.IsAvailableForUser (声明在Microsoft.IdentityServer.Web.Authentication.External.ExternalAuthenticationHandler.ProcessContext(ProtocolContext上下文,IAuthenticationContext authContext,IAccountStoreUserData userData)上的Microsoft.IdentityServer.Web.Authentication.External.ExternalAuthenticationHandler.IsAvailableForUser(Claim […]
我已经有这个工作。 内部:MSdynamicCRM IFD + ADFS + ADDS 在云端:Azure AD 我的问题是,现在我们只能在本地创build帐户,并在Azure域联合后同步到AAD。 那么只有那些用户可以login到我们的CRM。 我想这样我们可以在Azure AD上创build帐户,而不必将其同步回本地AD。 有没有办法做到这一点? 要么 是否有任何方法可以使用Azure AD来validation内部部署CRM网站?
我有一台ADFS-2.0服务器和一些网站。 其中一个网站是Dynamics CRM,它在端口443上监听特定的IP地址。 Dynamics CRM提供了用于configuration的元数据文件,可用于configurationADFS的中继方信任。 它可以通过URL访问 https://auth.contoso.com/FederationMetadata/2007-06/federationmetadata.xml 问题是ADFS-2.0安装了一个注册以下urlacl的服务 HTTPS:// +:443 / FederationMetadata / 2007-06 / 这意味着访问URL的结果https://auth.contoso.com/FederationMetadata/2007-06/federationmetadata.xml是ADFS的元数据文件,而不是Dynamics CRM的元数据文件。 我试图删除默认的urlacl并添加(一次一个) https://192.168.1.2:443/FederationMetadata/2007-06/ https://adfs.mydomain.com:443/FederationMetadata/2007-06/ 但他们都没有工作。 相反,ADFS服务无法启动完成。 有没有办法将这个服务绑定到一个IP地址? 目前我只看到两个select 将服务绑定到非标准端口。 这会导致问题,因为这意味着ADFS网站也必须使用非标准的HTTPS端口。 在不同的服务器上安装ADFS-2.0(这是我最喜欢的select – 但是在任何情况下都是不可能的)