Krypteringscertifikatet för anspråksprovidern är inte giltigt - Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor) (SVE)

Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor)

Knowledge Base article:

Sammanfattning

Övervakaren indikerar att SAML-utloggningsförfrågan misslyckades på grund av att det krypterade certifikatet för anspråksproviderns förtroende är ogiltigt.

Om samma problem inte uppstår på nytt inom 15 minuter, kommer övervakarens hälsotillstånd att återgå till grön status. En motsvarande varning genereras av varningsregeln och den måste lösas manuellt.

Orsaker

Följande är troliga orsaker till händelsen:

Certifikatet har återkallats.
Certifikatskedjan kunde inte verifieras enligt de angivna inställningarna för återkallning av krypteringscertifikatet för anspråksproviderns förtroende.
Certifikatets giltighetsperiod har löpt ut.

Obs!

Du kan använda Windows PowerShell-cmdlets för AD FS för att konfigurera återkallningsinställningar för betrodda krypteringscertifikat för anspråksproviderns förtroende. De specifika inställningarna återfinns i EncryptionCertificateRevocationCheck-parametern för Set-ADFSClaimsProviderTrust-cmdlet.

Lösningar

Följande är möjliga lösningar till händelsen:

Se till att betrodda krypteringscertifikat för anspråksproviderns förtroende är giltigt och inte har återkallats.
Om "ingen" eller "endast cache" inte är angivna i återkallningsinställningarna, bör du se till att AD FS har åtkomst till listan över återkallade certifikat.
Verifiera inställningarna för HTTP-proxyservern. Mer information om att verifiera inställningarna i HTTP-proxyservern finns i avsnittet Kontrollera följande innan du felsöker AD FS.

Element properties:

Source Code:

Target	Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance
Parent Monitor	System.Health.ConfigurationState
Category	ConfigurationHealth
Enabled	True
Alert Generate	False
Alert Auto Resolve	True
Monitor Type	Microsoft.Windows.SingleEventLogTimer2StateMonitorType
Remotable	True
Accessibility	Public
RunAs	Default

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceAuthorityEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true"> <Category>ConfigurationHealth</Category> <OperationalStates> <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">374</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <RegExExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>MatchesMOM2005RegularExpression</Operator> <Pattern>(^AD FS$)</Pattern> </RegExExpression> </Expression> </And> </Expression> <TimerWaitInSeconds>900</TimerWaitInSeconds> </Configuration> </UnitMonitor>