Dieser Monitor gibt an, dass die SAML-Abmeldeanforderung fehlgeschlagen ist, da das Verschlüsselungszertifikat für die Anspruchsanbieter-Vertrauensstellung nicht gültig ist.
Wenn das gleiche Problem innerhalb von 15 Minuten nicht wieder auftritt, ändert sich der Integritätsstatus dieses Monitors wieder in den Status "Grün". Eine entsprechende Warnung wird von der Warnregel generiert, und sie muss manuell aufgelöst werden.
Mögliche Ursachen für dieses Ereignis:
Das Zertifikat wurde gesperrt.
Die Zertifikatskette konnte nicht überprüft werden, wie von den Sperreinstellungen des Verschlüsselungszertifikats für diese Anspruchsanbieter-Vertrauensstellung angegeben.
Das Zertifikat ist nicht mehr gültig.
Hinweis
Mithilfe der Windows PowerShell-Cmdlets für AD FS 2.0 können Sie die Sperreinstellungen für das Verschlüsselungszertifikat der Anspruchsanbieter-Vertrauensstellung konfigurieren. Verwenden Sie für diese bestimmte Einstellung den EncryptionCertificateRevocationCheck-Parameter des Set-ADFSClaimsProviderTrust-Cmdlets.
Mögliche Lösungen für dieses Ereignis:
Stellen Sie sicher, dass das Verschlüsselungszertifikat der Anspruchsanbieter-Vertrauensstellung gültig ist und nicht gesperrt wurde.
Stellen Sie sicher, dass AD FS 2.0 auf die Zertifikatsperrliste zugreifen kann, wenn als Sperreinstellung nicht "none" oder "cache only" angegeben ist.
Überprüfen Sie die Einstellungen des HTTP-Proxyservers. Weitere Informationen zum Überprüfen der HTTP-Proxyservereinstellungen finden Sie im Abschnitt "Things to Check Before Troubleshooting AD FS 2.0" (Zu überprüfende Dinge vor der Problembehandlung von AD FS 2.0).
Target | Microsoft.ActiveDirectoryFederationServices20.TokenAcceptance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices20.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices20.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">374</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)|(^AD FS 2.0$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>