Une erreur s'est produite au cours d'une tentative de création de la chaîne de certificats pour le certificat de chiffrement de l'approbation de la partie de confiance. Ceci causera l'échec de l'émission de jeton pour l'approbation de cette partie de confiance ou l'échec du processus de demande de déconnexion par le service de fédération depuis cette partie de confiance.
Si le même problème ne survient pas à nouveau pendant 15 minutes, l'état de santé de ce système de surveillance repassera en vert. Une alerte correspondante est générée par la règle d'alerte, et elle doit être résolue manuellement.
Vous trouverez ci-dessous les causes possibles de cet événement :
Le certificat a été révoqué.
La chaîne de certificats n'a pas pu être vérifiée comme spécifié par les paramètres de révocation du certificat de chiffrement pour l'approbation de cette partie de confiance.
Ce certificat n'est pas dans sa période de validité.
Remarque
Vous pouvez utiliser les commandlets Windows PowerShell pour qu'AD FS configure les paramètres de révocation pour le certificat de chiffrement de l'approbation de la partie de confiance. Pour le paramètre spécifique, utilisez le paramètre EncryptionCertificateRevocationCheck de la commandlet Set-ADFSRelyingPartyTrust.
Vous trouverez ci-dessous les résolutions possibles de cet événement :
Vérifiez que le certificat de chiffrement de l'approbation de la partie de confiance est valide et qu'il n'a pas été révoqué.
Vérifiez qu'AD FS peut accéder à la liste de révocation de certificats si le paramètre de révocation ne spécifie pas de paramètre « aucun » ou « cache uniquement ».
Vérifiez les paramètres de votre serveur proxy HTTP. Pour plus d'informations sur la vérification des paramètres de votre serveur proxy HTTP, consultez la section « Points à vérifier avant de dépanner AD FS » du Guide de dépannage d'AD FS.
Target | Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">317</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>