Home
  •  

作為授權錯誤

Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule (Rule)

Knowledge Base article:

摘要

由於呼叫者未獲得授權,無法作為信賴憑證者的另一個主體來要求權杖,故權杖發佈失敗。

原因

指定的呼叫者未獲得授權,無法作為此信賴憑證者的主體。

如需有關此事件原因的詳細資訊,請參閱呼叫者身分識別和 ActAs 身分識別 (如果有) 的事件 501 和事件 503 (兩者具有相同例項識別碼)。

一般而言,此事件可能表示,此信賴憑證者信任之宣告原則中的宣告授權規則未依需要進行作業。

解決方式

使用 AD FS 嵌入式管理單元確定呼叫者獲得授權可作為信賴憑證者的主體。明確的說,您可以依照嵌入式管理單元中的這些步驟來檢閱此信任的委派原則。

1. 在主控台樹狀結構中,巡覽至 [信賴憑證者信任] 節點 (位於 AD FS\Trust Relationships 下)。

2. 在 [詳細資料] 窗格中,選取此事件訊息文字中指定的信賴憑證者信任。

3. 在 [動作] 功能表上,按一下 [編輯宣告規則]。

4. 按一下 [委派授權規則] 索引標籤。

檢閱此索引標籤的內容,以疑難排解授權問題。視需要新增或更新委派原則,以授權事件文字中指定的呼叫者。

請確認此信賴憑證者信任的宣告授權規則已依需要設定。 For more information, see 使用宣告授權規則的時機

Element properties:

TargetMicrosoft.ActiveDirectoryFederationServices.2016.TokenIssuance
CategoryConfigurationHealth
EnabledFalse
Event_ID302
Alert GenerateTrue
Alert SeverityWarning
Alert PriorityNormal
RemotableTrue
Alert Message
作為授權錯誤
呼叫者「{0}」作為信賴憑證者信任「{2}」的主體「{1}」發佈權杖失敗。
Event Log$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.EventProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>ConfigurationHealth</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">302</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <RegExExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>MatchesMOM2005RegularExpression</Operator>

              <Pattern>(^AD FS$)</Pattern>

            </RegExExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertOwner/>

      <AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>

        <AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>

        <AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>

        <SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>

      </Suppression>

      <Custom1/>

      <Custom2/>

      <Custom3/>

      <Custom4/>

      <Custom5/>

      <Custom6/>

      <Custom7/>

      <Custom8/>

      <Custom9/>

      <Custom10/>

    </WriteAction>

  </WriteActions>

</Rule>