Az AD FS Windows-szolgáltatás nem tudott elindulni, mert az AD FS szolgáltatásfiók nem fér hozzá az AD FS konfigurációs adatbázisban található tokenaláíró vagy tokenvisszafejtő tanúsítvány titkos kulcsához.
Ha az AD FS Windows-szolgáltatás sikeresen elindult, a figyelő zöld állapotúra vált, és az eredeti kritikus riasztás feloldása automatikusan megtörténik.
Ez akkor fordul elő, amikor a tanúsítvány megtalálható ugyan a meghatározott tárolóban, de a tanúsítvány titkos kulcsához való hozzáféréskor probléma merül fel. A probléma gyakori okai a következők:
A tanúsítványt egy olyan forrásból telepítették, amely nem tartalmazta a titkos kulcsot, például egy .cer vagy .p7b fájlból.
A tanúsítvány titkos kulcsát az ebben az eseményben meghatározott tárolótól eltérő tárolóba importálták (például egy .pfx fájlból).
A tanúsítvány egy olyan tanúsítványkérelem során jött létre, amely nem határozta meg a „Számítógépkulcs” beállítást.
Az összevonási szolgáltatásidentitás nem kapott olvasási hozzáférést a tanúsítvány titkos kulcsához.
A probléma lehetséges megoldásai a következők:
Ha a tanúsítványt egy olyan forrásból importálták, amely nem rendelkezik titkos kulccsal, válasszon ki egy olyan tanúsítványt, amely rendelkezik titkos kulccsal, vagy importálja újra a tanúsítványt olyan forrásból, amely tartalmazza a titkos kulcsot (például egy .pfx fájlból).
Ha a tanúsítványt felhasználói környezetben importálták, ellenőrizze, hogy a korábban meghatározott tároló megegyezik-e azzal a tárolóval, ahová a tanúsítványt importálták.
Ha a tanúsítvány egy olyan tanúsítványkérelem segítségével jött létre, amely nem határozta meg a „Számítógépkulcs” beállítást, és a kulcs exportálhatóként van megjelölve, exportálja a tanúsítványt a titkos kulccsal együtt a felhasználói tárolóból egy .pfx fájlba, majd importálja újra közvetlenül a konfigurációs fájlban megadott tárolóba.
Ha a kulcs nincs exportálhatóként megjelölve, kérjen egy új tanúsítványt a „Számítógépkulcs” beállítás használatával.
Ha az összevonási szolgáltatásidentitás nem kapott olvasási hozzáférést a tanúsítvány titkos kulcsához, javítsa ki ezt a Tanúsítványkezelő beépülő modul használatával. További információkért tekintse meg az AD FS hibaelhárítási útmutató „Annak ellenőrzése, hogy a tanúsítványok titkos kulcsai elérhetők az AD FS szolgáltatás felhasználói fiókjai által” eljárását „Az AD FS hibaelhárítása előtt ellenőrizendő dolgok” című részben.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer | ||
Parent Monitor | System.Health.AvailabilityState | ||
Category | AvailabilityHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.2SingleEventLog2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer" ParentMonitorID="Health!System.Health.AvailabilityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">
<Category>AvailabilityHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor_AlertMessageResourceID">
<AlertOnState>Error</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>Error</AlertSeverity>
</AlertSettings>
<OperationalStates>
<OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>
<OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>
<FirstLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</FirstLogName>
<FirstExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">133</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</FirstExpression>
<SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>
<SecondLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</SecondLogName>
<SecondExpression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">100</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</SecondExpression>
</Configuration>
</UnitMonitor>