Ten monitor wskazuje, że żądanie wylogowania SAML nie powiodło się, ponieważ certyfikat szyfrowania dla relacji zaufania dostawcy oświadczeń jest nieprawidłowy.
Jeśli w ciągu 15 minut ten sam problem nie wystąpi ponownie, stan kondycji tego monitora zmieni się ponownie na Zielony. Reguła alertów generuje odpowiedni alert, który musi zostać rozwiązany ręcznie.
Oto możliwe przyczyny tego zdarzenia:
Certyfikat został odwołany.
Nie można było zweryfikować łańcucha certyfikatów zgodnie z ustawieniami odwoływania certyfikatu szyfrowania dla tej relacji zaufania dostawcy oświadczeń.
Certyfikat jest używany poza swoim okresem ważności.
Notatka
Ustawienia odwoływania certyfikatu szyfrowania relacji zaufania dostawcy oświadczeń można skonfigurować przy użyciu poleceń cmdlet programu Windows PowerShell dla usług AD FS. Do skonfigurowania tego konkretnego ustawienia służy parametr EncryptionCertificateRevocationCheck polecenia cmdlet Set-ADFSClaimsProviderTrust.
Oto możliwe rozwiązania dla tego zdarzenia:
Upewnij się, że certyfikat szyfrowania relacji zaufania dostawcy oświadczeń był ważny i nieodwołany.
Upewnij się, że usługi AD FS mogą uzyskać dostęp do listy odwołania certyfikatów, gdy ustawieniem odwołania nie jest „none” (brak) ani „cache only” (tylko pamięć podręczna).
Sprawdź ustawienia serwera proxy dla protokołu HTTP. Więcej informacji o sposobie sprawdzania ustawień serwera proxy dla protokołu HTTP znajduje się w artykule opisującym elementy, które należy sprawdzić przed przystąpieniem do rozwiązywania problemów z usługami AD FS.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">374</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>