Сертификат для подписи одного из отношений доверия с поставщиком утверждений недействителен. Как следствие, служба федерации не сможет принимать входящие подписанные маркеры. В сценарии выхода это станет причиной сбоя приема службой федерации подписанных запросов выхода.
Если та же проблема не повторится в течение 15 минут, индикатор состояния работоспособности этого монитора снова изменится на зеленый. Согласно правилу генерации оповещений, появляется соответствующее оповещение, которое необходимо устранить вручную.
Ниже рассмотрены возможные причины возникновения этого события.
Сертификат отозван.
Невозможно подтвердить цепочку сертификатов согласно заданным параметрам отзыва сертификата для подписи для этого отношения доверия с поставщиком утверждений.
Срок действия сертификата истек или не начался.
Примечание:
Настроить параметры отзыва сертификата для подписи отношений доверия с поставщиком утверждений можно с помощью командлетов Windows PowerShell для служб федерации Active Directory. Для специальных настроек используйте параметр SigningCertificateRevocationCheck командлета Set-ADFSClaimsProviderTrust.
Ниже приведены возможные способы устранения ошибки.
Убедитесь в том, что сертификат для подписи отношений доверия с поставщиком утверждений действителен и не отозван.
Убедитесь в том, что службы федерации Active Directory имеют доступ к списку отзыва сертификатов, если для параметра отзыва не установлено значение "нет" или "только кэш".
Проверьте параметры прокси-сервера HTTP. Дополнительные сведения о проверке параметров HTTP-прокси-сервера см. в разделе "Что стоит проверить перед устранением проблем в службах федерации Active Directory" руководства по устранению проблем в службах федерации Active Directory.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>