ADFS 3.0/Web 应用程序代理服务器 2012 R2 错误

tag-icon tag-icon windows-server-2012-r2 adfs sharepoint-2013 web-application-proxy
ADFS 3.0/Web 应用程序代理服务器 2012 R2 错误

我有一台运行正常的 ADFS 3.0 (2012 R2) 服务器。它成功运行,让我在场内和场外登录 Office365。

我正在尝试在第二台机器上安装 Web 应用程序代理角色以代理 Sharepoint 2013。我遇到了一条错误消息:

An error occurred when attempting to create the proxy trust certificate.

我的 ADFS 服务器是一个单服务器场。该服务器的主机名为 adfs-host.domain.local,ADFS 名称为 adfs.domain.org。

    PS C:\Windows\system32> Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'
cmdlet Install-WebApplicationProxy at command pipeline position 1
Supply values for the following parameters:
FederationServiceTrustCredential
Install-WebApplicationProxy : An error occurred when attempting to create the proxy trust certificate.
At line:1 char:1
+ Install-WebApplicationProxy -CertificateThumbprint 'xxxxxxxxxxxxxxxxxxxxxxx ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Install-WebApplicationProxy], ProxyTrustException
    + FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Management.Proxy.Commands.InstallProxyCommand


Message                                 Context                                                                  Status
-------                                 -------                                                                  ------
An error occurred while attempting t... DeploymentTask                                                            Error

我有一个 DNS A 记录,将 adfs.domain.org 指向与 adfs-host.domain.local 相同的 IP。

我的 Web 应用程序代理服务器的名称是 wap-host.domain.local。我将 GoDaddy 证书和私钥复制到两台机器上,并将其安装到本地机器个人证书存储中。它被设置为服务通信证书。我将完整的证书链安装在两台机器上。这是一个有 5 个主题备用名称的 UCC 证书——主要名称不是 adfs.domain.org,但它确实适用于 ADFS。

我尝试打开和关闭防火墙,并运行了 wireshark——看起来它在早期的步骤中失败了,因为我没有看到任何尝试到我的 ADFS 服务器 IP 的流量。

我尝试提供的凭据-在 ADFS 服务器上具有管理访问权限的本地帐户和域管理员帐户。

答案1

我不太清楚确切的触发因素是什么,但我在 ADFS 服务器和 WAP 服务器上安装了最新一轮更新。然后它开始工作了。

我在想也许 Windows 2012 R2 Update 1 破坏了某些东西,而最近的更新修复了它。

答案2

我有一个 DNS A 记录,将 adfs.domain.org 指向与 adfs-host.domain.local 相同的 IP。

您的 DNS A 记录应将 adfs.domain.org 指向 WAP IP(wap-host.domain.local)。此网页解释了有关 WAP 证书的几乎所有内容:

互联网上(或内部 LAN 之外)的客户端计算机将名称 adfsresource.treyresearch.net 解析为 adfsproxy.treyresearch.net 的 IP 地址。请务必记住,您不会在设置中的任何地方指定名称 adfsproxy.treyresearch.net。此服务器上的网站应具有颁发给名称 adfsresource.treyresearch.net 的证书。

最后,您的代理应该将 adfs.domain.org 解析为 adfs-host.domain.local 机器,但只有您的代理必须了解此 DNS 记录。

答案3

我的 microsoft.identityServer.proxyservice.exe.config 文件是空白的。

如果不将 Web 服务器回滚到较早的检查点(此时连接正常),则无法解决此问题。我这样做后,备份了 c:\Windows\ADFS\Config\microsoft.identityServer.proxyservice.exe.config 文件的副本,然后将更新应用于服务器并重新启动它。此时服务器会报告错误并且不会启动 Web 代理。然后以下命令起作用了(以前它们会给出上述错误):

安装-WebApplicationProxy-CertificateThumbprint'XXXXXXXXXXXXXXXXXXXXXXX'-FederationServiceName'adfs.domain.org'

由于只有空白的 microsoft.identityServer.proxyservice.exe.config 文件,我无法使 Install-WebApplicationProxy 命令正常工作。

答案4

我们的一个 WAP 服务器也遇到了完全相同的问题,但我使用的是 WAP 集群,更新并不能解决问题。

还有其他提示吗?

我基本上遵循了在网上找到的所有建议。剩下的就是彻底删除服务器并创建一个新服务器……

相关内容