클레임 공급자 트러스트 중 하나의 서명 인증서가 유효하지 않습니다. 그러면 페더레이션 서비스에서 들어오는 서명된 토큰을 수용하지 못합니다. 로그아웃 시나리오에서는 페더레이션 서비스가 서명된 로그아웃 요청을 수용할 수 없게 됩니다.
15분 동안 같은 문제가 다시 발생하지 않는 경우 이 모니터의 성능 상태가 다시 녹색 상태로 전환됩니다. 경고 규칙에 따라 해당 경고가 발생하며 수동으로 해결해야 합니다.
이 이벤트가 발생할 수 있는 원인은 다음과 같습니다.
인증서가 해지되었습니다.
이 클레임 공급자 트러스트에 대해 서명 인증서의 해지 설정에 지정된 대로 인증서 체인을 확인할 수 없습니다.
인증서가 유효 기간 내에 있지 않습니다.
참고:
AD FS용 Windows PowerShell cmdlet을 사용하여 클레임 공급자 트러스트의 서명 인증서에 대한 해지 설정을 구성할 수 있습니다. 특정 설정의 경우, Set-ADFSClaimsProviderTrust cmdlet의 SigningCertificateRevocationCheck 매개 변수를 사용하십시오.
이 이벤트를 해결할 수 있는 방법은 다음과 같습니다.
클레임 공급자 트러스트의 서명 인증서가 유효하며 해지되지 않았는지 확인하십시오.
해지 설정이 "없음" 또는 "캐시만" 설정으로 지정되지 않은 경우 AD FS가 인증서 해지 목록에 액세스할 수 있는지 확인하십시오.
HTTP 프록시 서버 설정을 확인하십시오. HTTP 프록시 서버 설정을 확인하는 방법에 대한 자세한 내용은 AD FS troubleshooting guide(AD FS 문제 해결 가이드)의 "Things to Check Before Troubleshooting AD FS"(AD FS 문제 해결 전 확인할 사항) 섹션을 참조하세요.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>