Il certificato di firma di uno dei provider di attestazioni non è valido. Di conseguenza, il servizio federativo non è in grado di accettare il token firmato in ingresso. Nello scenario di disconnessione, questo causerà l'impossibilità del servizio federativo di accettare le richieste di disconnessione firmate.
Se lo stesso problema non si verifica nuovamente entro 15 minuti, viene ripristinato lo stato di integrità "verde" del monitoraggio. Un avviso corrispondente viene generato dalla regola di avviso e deve essere risolto manualmente.
Di seguito sono riportate le possibili cause di questo evento:
Il certificato è stato revocato.
Non è stato possibile verificare la catena di certificati come specificato dalle impostazioni di revoca del certificato di firma per l'attendibilità del provider di attestazioni.
Il certificato non rientra nel proprio periodo di validità.
Nota:
È possibile utilizzare i cmdlet di Windows PowerShell per ADFS per configurare le impostazioni di revoca per il certificato di firma dell'attendibilità del provider di attestazioni. Per l'impostazione specifica, utilizzare il parametro SigningCertificateRevocationCheck del cmdlet Set-ADFSClaimsProviderTrust.
Di seguito sono riportate le possibili soluzioni per questo evento:
Assicurarsi che il certificato di firma dell'attendibilità del provider di attestazioni sia valido e non sia stato revocato.
Assicurarsi che ADFS possa accedere all'elenco di revoche di certificati se nell'impostazione di revoca non è specificata l'impostazione "nessuno" o "solo cache".
Verificare le impostazioni del server proxy HTTP. Per altre informazioni su come verificare le impostazioni del server proxy HTTP, vedere la sezione relativa ai controlli preliminari per la risoluzione dei problemi di AD FS nella guida alla risoluzione dei problemi di AD FS.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>