我正在尝试将ADFS其配置为(在这种情况下,Claim Provider我认为 AD 将是)。identity provider
windows server 2016只是为了简单的测试,我在机器上尝试了以下操作:
1)设置 AD 和域 = t1.testdom(它的工作是因为我确实能够使用该域登录)
2) 设置 DNS。为 adfs 添加主机 (A) 作为fs.t1.testdom
3)自签名证书(https://technet.microsoft.com/library/hh848633):
powershell> New-SelfSignedCertificate -DnsName "*.t1.testdom"
4)设置ADFS。
服务器名称设置为fs.t1.testdom
服务>身份验证方法已启用form authentication
5) 还通过 powershell 修复了 SPN,以确保所有需要的 SPN 都存在并分配给正确的用户帐户,并且没有发现重复项
--
但是,当我尝试通过浏览器访问登录页面时,https://fs.t1.testdom/adfs/ls出现错误。登录服务器管理器显示以下内容:
`There are no registered protocol handlers on path /adfs/ls to process the incoming request`
那么有没有办法至少进入登录屏幕?这样我就可以继续处理下一个错误了。
这是我在/ls屏幕上看到的内容:
答案1
经过一周的谷歌搜索、尝试、服务器重建等,终于找到了解决方案!
(这位大师一眨眼就回答了,没人知道! https://www.experts-exchange.com/questions/28994182/ADFS-Passive-Request-There-are-no-registered-protocol-handlers.html)
IdP 发起的 SSO 页面 (https://fs.t1.testdom/adfs/ls/idpinitiatedsignon.aspx)。请注意,如果您使用的是 Server 2016,则此端点默认禁用您需要先通过 AD FS 控制台启用它,或者
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
--
我的问题是,如果此端点被禁用,为什么它没有列在 ADFS 管理控制台的端点部分?!!它enabled一直都这么说。而且日志中这个令人痛苦的无法追踪的错误消息毫无意义!Windows 所做的就是创建日志、日志、日志,但我们得到的却是这样的错误日志!
答案2
1.如果您想检查 ADFS 是否正常运行,您应该使用以下 URL 访问 IDPInitiatedSignon 页面:https://<ADFS外部DNS名称>/adfs/ls/IdpInitiatedSignon.aspx
以及带有 URL 的元数据页面:https://<ADFS外部DNS名称>/federationmetadata/2007-06/federationmetadata.xml
更多详细信息请参见这里。
2.不建议使用主机名作为联合服务名称。正确的方法是创建 DNS 主机(A)记录作为联合服务名称,例如,在您的案例中使用 sts.t1.testdom。
答案3
如果没有 ADFS 的日志或详细配置,很难告诉您可能出现什么问题,但为了缩小问题范围,我建议您:
- 调查IIS 日志查看是否收到发往 ADFS 的 HTTP 请求
- 调查事件日志(ADFS 部分)
- 使用浏览器中的开发工具或使用 SAMLTracer(Firefox 扩展)进行 SAML 跟踪,以了解是否有某些 HTTP 错误代码。
- 尝试使用以下方法打开到您的 ADFS 的连接:
telnet adfs.t1.testdom 443 - 尝试在您的 Intranet 区域中为全局身份验证策略启用表单身份验证。
希望能够帮到你。