Podpisový certifikát pro jeden z důvěryhodných certifikátů poskytovatele deklarací identity není platný. To způsobí, že služba Federation Service odmítne přijímat příchozí podepsané tokeny. V situaci odhlášení to způsobí, že služba Federation Service odmítne přijímat podepsané žádosti o odhlášení.
Pokud ke stejnému problému nedojde během 15 minut znovu, stav tohoto monitoru se vrátí zpátky na zelený. Pravidlo výstrahy vygeneruje příslušnou výstrahu, kterou je třeba vyřešit ručně.
Níže jsou vedeny možné příčiny této události:
Certifikát byl odvolán.
Řetěz certifikátů nebylo možné ověřit dle specifikace nastavení odvolání podpisového certifikátu pro tento důvěryhodný certifikát poskytovatele deklarací identity.
Certifikát není v době platnosti.
Poznámka:
Pomocí rutin prostředí Windows PowerShell pro službu AD FS můžete nakonfigurovat nastavení odvolání pro podpisový certifikát důvěryhodného certifikátu poskytovatele deklarací identity. Pro konkrétní nastavení použijte parametr SigningCertificateRevocationCheck rutiny Set-ADFSClaimsProviderTrust.
Níže jsou uvedeny možná řešení této události:
Ujistěte se, že podpisový certifikát důvěryhodného certifikátu poskytovatele deklarací identity je platný a nebyl odvolán.
Ujistěte se, že služba AD FS může přistupovat k seznamu odvolaných certifikátů, pokud nastavení odvolání nespecifikuje nastavení "žádné" nebo "pouze mezipaměť".
Ověřte nastavení serveru proxy protokolu HTTP. Další informace o tom, jak ověřit nastavení serveru proxy protokolu HTTP, najdete v části „Co zkontrolovat před řešením problémů se službou AD FS“ v příručce pro řešení problémů se službou AD FS.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>