호출자에게 다른 주체로 신뢰 당사자에 토큰을 요청할 권한이 없어 토큰 발급에 실패했습니다.
지정된 호출자에게 이 신뢰 당사자에 대한 주체 역할을 할 수 있는 권한이 없습니다.
이 이벤트의 원인에 대한 자세한 내용은 호출자 ID와 ActAs ID(있을 경우)에 대해 동일한 인스턴스 ID를 가진 이벤트 501과 이벤트 503을 참조하십시오.
일반적으로 이 이벤트는 이 신뢰 당사자 트러스트에 대한 클레임 정책의 클레임 권한 부여 규칙이 의도한 대로 작동하지 않음을 나타낼 수 있습니다.
AD FS 2.0 스냅인을 사용하여 호출자에게 신뢰 당사자에 대한 주체 역할을 할 수 있는 권한이 있는지 확인합니다. 특히 스냅인에서 다음 단계를 수행하여 이 트러스트에 대한 위임 정책을 검토할 수 있습니다.
1. 콘솔 트리에서 AD FS 2.0\트러스트 관계 아래의 신뢰 당사자 트러스트 노드로 이동합니다.
2. 세부 정보 창에서 이 이벤트의 메시지 텍스트에 지정된 신뢰 당사자 트러스트를 선택합니다.
3. 동작 메뉴에서 Edit Claim Rules(클레임 규칙 편집)를 클릭합니다.
4. 위임 권한 부여 규칙 탭을 클릭합니다.
이 탭의 내용을 검토하여 권한 부여 문제를 해결합니다. 이벤트 텍스트에 지정된 호출자에게 권한을 부여하는 데 적절한 경우 위임 정책을 추가하거나 업데이트합니다.
이 신뢰 당사자에 대한 클레임 권한 부여 규칙이 의도한 대로 구성되었는지 확인합니다. 자세한 내용은 When to Use a Claims Authorization Rule(클레임 권한 부여 규칙을 사용하는 경우)를 참조하십시오.
| Target | Microsoft.ActiveDirectoryFederationServices20.TokenIssuance | ||
| Category | ConfigurationHealth | ||
| Enabled | False | ||
| Event_ID | 302 | ||
| Alert Generate | True | ||
| Alert Severity | Warning | ||
| Alert Priority | Normal | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$ |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| Alert | WriteAction | System.Health.GenerateAlert | Default |
Home
KOR <Rule ID="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule" Enabled="false" Target="Microsoft.ActiveDirectoryFederationServices20.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices20.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">302</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)|(^AD FS 2.0$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices20.TokenIssuanceActAsAuthorizationErrorRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[2]$</AlertParameter1>
<AlertParameter2>$Data/Params/Param[3]$</AlertParameter2>
<AlertParameter3>$Data/Params/Param[4]$</AlertParameter3>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[3]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[4]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>