我正在尝试使用 ADFS 2 向导添加受信任的依赖方。我的开发站点(IIS 托管)在端口 61080 处有 HTTP 绑定,而 HTTPS 绑定在端口 61443 上。我有一个用于 SSL 的自签名 .PFX 证书。
ADFS 2.0 服务器是托管在虚拟机中的 Win2K8 R2 服务器。此服务器也是(虚拟的,仅用于测试)域控制器。ADFS 站点也使用自签名证书。
我已使用 FedUtil 将 ADFS 2 站点作为 STS 添加到我的开发站点。现在问题是,当我尝试将开发站点添加为 ADFS 服务器上的受信任依赖方时,我收到此错误消息...
尝试读取联合元数据时发生错误。请验证指定的 URL 或主机名是否为有效的联合元数据端点。
验证您的代理服务器设置。有关如何验证代理服务器设置的更多信息,请参阅 AD FS 2.0 故障排除指南 (http://go.microsoft.com/fwlink/?LinkId=182180)。错误信息:底层连接已关闭:无法为SSL/TLS安全通道建立信任关系。
为了解决这个问题,我导出了自签名证书,并将它们添加到两台机器的“个人”和“受信任的根证书颁发机构”,但仍然没有成功。错误消息中提到的链接提供了一些通用建议,但没有任何帮助。
有人有什么想法吗?
-谢谢!
答案1
我找到了问题所在。公司网络策略限制了域内计算机与我的非域 VM 之间的流量。
答案2
首先要查看的是 Windows 事件日志。您将看到 ADFS 的条目。有错误吗?
(如上所示的 ADFS 错误没有什么帮助!)。
如果从托管 ADFS 的 VM 加载 IE,您是否可以导航到依赖方元数据并在浏览器中显示它?
您是否尝试过将元数据保存为文件,然后使用“将数据导入为文件”选项?
当您使用 https 导航到要添加为依赖方的站点时,您是否会收到证书错误或看到绿色 IE 栏?ADFS 不喜欢证书错误。