Certyfikat szyfrowania dostawcy oświadczeń jest nieprawidłowy - Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor) (PLK)

Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor)

Knowledge Base article:

Podsumowanie

Ten monitor wskazuje, że żądanie wylogowania SAML nie powiodło się, ponieważ certyfikat szyfrowania dla relacji zaufania dostawcy oświadczeń jest nieprawidłowy.

Jeśli w ciągu 15 minut ten sam problem nie wystąpi ponownie, stan kondycji tego monitora zmieni się ponownie na Zielony. Reguła alertów generuje odpowiedni alert, który musi zostać rozwiązany ręcznie.

Przyczyny

Oto możliwe przyczyny tego zdarzenia:

Certyfikat został odwołany.
Nie można było zweryfikować łańcucha certyfikatów zgodnie z ustawieniami odwoływania certyfikatu szyfrowania dla tej relacji zaufania dostawcy oświadczeń.
Certyfikat jest używany poza swoim okresem ważności.

Notatka

Ustawienia odwoływania certyfikatu szyfrowania relacji zaufania dostawcy oświadczeń można skonfigurować przy użyciu poleceń cmdlet programu Windows PowerShell dla usług AD FS. Do skonfigurowania tego konkretnego ustawienia służy parametr EncryptionCertificateRevocationCheck polecenia cmdlet Set-ADFSClaimsProviderTrust.

Rozwiązania

Oto możliwe rozwiązania dla tego zdarzenia:

Upewnij się, że certyfikat szyfrowania relacji zaufania dostawcy oświadczeń był ważny i nieodwołany.
Upewnij się, że usługi AD FS mogą uzyskać dostęp do listy odwołania certyfikatów, gdy ustawieniem odwołania nie jest „none” (brak) ani „cache only” (tylko pamięć podręczna).
Sprawdź ustawienia serwera proxy dla protokołu HTTP. Więcej informacji o sposobie sprawdzania ustawień serwera proxy dla protokołu HTTP znajduje się w artykule opisującym elementy, które należy sprawdzić przed przystąpieniem do rozwiązywania problemów z usługami AD FS.

Element properties:

Source Code:

Target	Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance
Parent Monitor	System.Health.ConfigurationState
Category	ConfigurationHealth
Enabled	True
Alert Generate	False
Alert Auto Resolve	True
Monitor Type	Microsoft.Windows.SingleEventLogTimer2StateMonitorType
Remotable	True
Accessibility	Public
RunAs	Default

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true"> <Category>ConfigurationHealth</Category> <OperationalStates> <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">374</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <RegExExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>MatchesMOM2005RegularExpression</Operator> <Pattern>(^AD FS$)</Pattern> </RegExExpression> </Expression> </And> </Expression> <TimerWaitInSeconds>900</TimerWaitInSeconds> </Configuration> </UnitMonitor>