Ce moniteur indique que la demande de déconnexion SAML a échoué car le certificat de chiffrement pour l'approbation de fournisseur de revendications n'est pas valide.
Si le même problème ne se reproduit pas au bout de 15 minutes, l'état d'intégrité vert de ce moniteur est rétabli. Une alerte correspondante est générée par la règle d'alerte et elle doit être résolue manuellement.
Les causes de cet événement peuvent être les suivantes :
Le certificat a été révoqué.
La chaîne de certificats n'a pas pu être vérifiée comme indiqué par les paramètres de révocation du certificat de chiffrement pour cette approbation de fournisseur de revendications.
Le certificat n'est pas dans sa période de validité.
Remarque
Vous pouvez utiliser les applets de commande Windows PowerShell pour AD FS 2.0 pour configurer les paramètres de révocation pour le certificat de chiffrement de l'approbation de fournisseur de revendications. Pour la configuration spécifique, utilisez le paramètre EncryptionCertificateRevocationCheck de l'applet de commande Set-ADFSClaimsProviderTrust.
Les résolutions possibles de cet événement sont les suivantes :
Assurez-vous que le certificat de chiffrement de l'approbation de fournisseur de revendications est valide et n'a pas été révoqué.
Vérifiez qu'AD FS 2.0 peut accéder à la liste de révocation de certificats si le paramètre de révocation ne spécifie pas « none » ou un paramètre « cache only ».
Vérifiez les paramètres du serveur proxy HTTP. Pour plus d'informations sur la vérification de vos paramètres de serveur proxy HTTP, consultez la section « Vérifications à effectuer avant de résoudre les problèmes liés à AD FS 2.0 ».
Target | Microsoft.ActiveDirectoryFederationServices20.TokenAcceptance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices20.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices20.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">374</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)|(^AD FS 2.0$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>