De Windows-service AD FS kan niet worden gestart omdat het AD FS- serviceaccount geen toegang heeft tot de persoonlijke sleutel van het certificaat voor token-ondertekening of het certificaat voor het ontsleutelen van tokens in de AD FS-configuratiedatabase.
Zodra de Windows-service AD FS is gestart, krijgt de monitor de status Groen en wordt de oorspronkelijke kritieke melding automatisch gewist.
Deze status kan optreden wanneer het certificaat is gevonden in het opgegeven archief en wanneer er een probleem is met de toegang tot de persoonlijke sleutel van het certificaat. Deze status wordt mogelijk veroorzaakt door de volgende factoren:
Het certificaat is geïnstalleerd vanuit een bron die geen persoonlijke sleutel bevat, bijvoorbeeld een CER- of P7B-bestand.
De persoonlijke sleutel van het certificaat is geïmporteerd (bijvoorbeeld vanuit een PFX-bestand) in een archief dat niet hetzelfde is als het archief dat opgegeven is in deze gebeurtenis.
Het certificaat is gegenereerd als onderdeel van een certificaataanvraag waarin de optie 'Machine Key' niet is opgegeven.
De identiteit van de Federation Service beschikt niet over leestoegang voor de persoonlijke sleutel van het certificaat.
Dit zijn de mogelijke oplossingen voor deze status:
Als het certificaat is geïmporteerd vanuit een bron die niet beschikt over een persoonlijke sleutel, selecteert u een certificaat met een persoonlijke sleutel of importeert u het certificaat opnieuw vanuit een bron waarin de persoonlijke sleutel (bijvoorbeeld een PFX-bestand) is opgenomen.
Als het certificaat is geïmporteerd in een gebruikerscontext, controleert u of het archief, dat eerder is opgegeven, overeenkomt met het archief waarin het certificaat is geïmporteerd.
Als het certificaat is gegenereerd door een certificaataanvraag waarin de optie 'Machine Key' niet is opgegeven en de sleutel is gemarkeerd als exporteerbaar, exporteert u het certificaat met een persoonlijke sleutel vanuit het gebruikersarchief naar een PFX-bestand en importeert u dit direct weer in het archief dat opgegeven is in het configuratiebestand.
Als de sleutel niet is gemarkeerd als exporteerbaar, vraagt u een nieuw certificaat aan met behulp van de optie 'Machine Key'.
Als de identiteit van de Federation Service niet beschikt over leestoegang voor de persoonlijke sleutel van het certificaat, corrigeert u deze status met de module Certificaten. Zie voor meer informatie het gedeelte 'Bevestigen dat persoonlijke sleutels voor certificaten toegankelijk zijn vanaf het AD FS-servicegebruikersaccount' in paragraaf 'Dingen om te controleren voor het oplossen van AD FS-problemen' in de AD FS-probleemoplossingsgids.
Target | Microsoft.ActiveDirectoryFederationServices.2016.FederationServer | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | AvailabilityHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.2SingleEventLog2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer" ParentMonitorID="Health!System.Health.AvailabilityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">
<Category>AvailabilityHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor_AlertMessageResourceID">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>Error</AlertSeverity>
</AlertSettings>
<OperationalStates>
<OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
<OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">133</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</SecondLogName>
<SecondExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">100</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</SecondExpression>
</Configuration>
</UnitMonitor>