我尝试使用 MS 脚本将 ADFS 2.0 配置(在 Windows 2008R2 上)迁移到新的 ADFS 服务器(Windows 2016)。我的事件日志中出现警告,这些警告似乎通过错误中的指纹与令牌解密和令牌签名证书相关联。
EventID 为:329。错误为:“无法使用 X.509 证书私钥共享的密钥解密由指纹‘xxxxxx’标识的证书。MSIS7708:具有可分辨名称‘yyyyyy’的 X.509 证书私钥共享组不存在。”
我该如何解决这些警告?
答案1
你是 Reddit 上我注意到关注的人吗?我的指示,谁报告说他们的服务帐户已被更改?如果是您 - 或者您的服务帐户在旧 ADFS 服务器和新 ADFS 服务器之间已发生更改 - 您可能在 AD 中遇到权限问题 - 新的 ADFS 服务帐户可能无法访问旧服务帐户创建的 AD 对象。
如果是这种情况,请get-AdfsProperties在您的 ADFS 服务器上使用并查找 CertificationSharingContainer。您应该会看到类似以下内容:
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
使用 ADUC 在 AD 中找到该容器。验证正确的服务帐户是否具有权限。如果没有,请添加它们,然后重新启动 ADFS 服务,看看是否有帮助。