我在服务器 2012 R2 上设置了 ADFS 和 WAP,以便登录 SharePoint 2013。我遵循了几种操作方法,除了一件事之外,一切似乎都很好:当我登录 ADFS 表单时,一切正常,然后我进入一个空白页。
因此我查看了 WAP 日志,它返回了以下两条错误消息:
ID=13019由于以下常规 API 错误,Web 应用程序代理无法代表用户检索 Kerberos 票证:提供的名称不是正确格式的帐户名。(0x80070523)。
ID=12027Web 应用程序代理在处理请求时遇到意外错误。错误:提供的名称不是正确格式的帐户名。(0x80070523)。
根据技术网解决方法如下:
“域控制器拒绝了 Web 应用程序代理创建的 Kerberos 票证。验证 Web 应用程序代理和后端应用程序服务器的配置是否正确,尤其是 SPN 配置。确保 Web 应用程序代理已加入与域控制器相同的域,以确保域控制器与 Web 应用程序代理建立信任。确保 Web 应用程序代理和域控制器上的时间和日期配置已同步。“
但我真的不知道他们为什么告诉我将 WAP 服务器加入域中,因为该服务器应该位于 DMZ 和 WORKGROUP 中。
WAP 服务器上的日期和时间不太好,所以我修改了它,现在没问题了。我没有将服务器加入域,并且 SPN 是使用运行我的 SP 站点的 AppPool 的域帐户设置的。
我仔细检查了 DNS、HOSTS 文件、证书、帐户……我没有发现任何错误。
我在想 :我是否需要为任何帐户添加在 WAP 服务器上读取我的通配符证书上的私钥的权限? 在 ADFS 服务器上,只有 adfs 服务帐户才有权读取证书(pv 密钥);在 SP 上,只有用于运行应用程序池的域帐户才有权读取证书的 pv 密钥。
如果需要的话询问更多细节。
答案1
发布使用 Windows 集成身份验证的应用程序时,WAP 必须加入域。此链接描述了要求,http://technet.microsoft.com/en-us/library/8dfd483f-faf5-4a99-a590-0081623cad08#BKMK_AD。要使用基于声明的应用程序,您不需要加入 WAP 服务器的域。