以下是设置情况——Microsoft Azure 上的 3 台服务器:
- 域控制器(服务器 2016)
- ADFS(使用 gMSA 帐户)(Server 2016,最新的 ADFS)
- ADFS 代理(服务器 2016,最新 ADFS 代理)
我能够将 ADFS 代理顺利地连接到 ADFS 服务器,但是,ADFS 代理和 ADFS 服务器之间出现间歇性错误(似乎每个同步请求都会失败)。
每隔几分钟,当 ADFS 代理同步其代理配置数据时,我会在应用程序和服务日志 -- AD FS --> 管理员中收到两个条目
同步失败事件:
The federation server proxy configuration could not be updated with the latest configuration on the federation service.
Additional Data
Error:
Retrieval of proxy configuration data from the Federation Server using trust certificate with thumbprint '8D4D65367FC31B61230951832C81E2B0891E3B9F' failed with status code 'InternalServerError'.
同步成功事件:
The federation server proxy successfully retrieved and updated its configuration from the Federation Service 'adfs.testdomain.com'.
我已运行此故障排除指南中的 PowerShell 脚本,未检测到任何错误。其中提到的其他问题也不适用。 https://blogs.technet.microsoft.com/applicationproxyblog/2014/05/28/understanding-and-fixing-proxy-trust-ctl-issues-with-ad-fs-2012-r2-and-web-application-proxy/
我已经初始化并检查了设备注册,它似乎在 ADFS 服务器上运行正常。
以下是我能做和不能做的事情:
- 在 ADFS 服务器上,我可以加载并登录到 Web SSO 页面。
- 在 ADFS 代理上,我无法登录 Web SSO 页面(https://adfs.testdomain/adfs/ls/idpinitiatedsignon.htm)
- 从漫游 PC 上,我无法连接到 ADFS 代理的 Web SSO 页面,但我可以毫无问题地解析 DNS。Chrome/等显示“页面响应时间过长”错误。
- 从漫游 PC,我无法通过 ADFS 代理将它们加入域。
有什么想法吗?谢谢!
额外细节 我已重新安装了所有内容。在 ADFS 服务器上,导航到 SSO 登录页面时出现此错误:
当客户端 PC 尝试加载 SSO 页面时,导航到 SSO 登录页面时出现此错误:
编辑:这是另一个包含更多信息的更新(ADFS 属性)。仍然存在代理信任问题(与上述相同的成功/失败事件),并且仍然无法将设备加入域(可能相关)。
答案1
您能否检查以下内容:
从代理服务器,当您尝试 ping 联合身份验证服务 fqdn(例如 fs.contoso.com)时,您是否在响应中获取了 AD FS 服务器的 IP?
如果任何防火墙设置阻止代理和 AD FS 之间的流量?- 确保在 AD FS 和 WAP 之间启用了 HTTPS 443 和 HTTP 80
- 在 AD FS 服务器上,运行netsh http 显示 sslcert并确保 CtlStoreName 填充为 ADFSTrustedDevice(参考https://blogs.technet.microsoft.com/applicationproxyblog/2014/05/28/understanding-and-fixing-proxy-trust-ctl-issues-with-ad-fs-2012-r2-and-web-application-proxy/)