Das Signaturzertifikat für eine der Anspruchsanbieter-Vertrauensstellungen ist ungültig. Aus diesem Grund kann der Verbunddienst das eingehende signierende Token nicht akzeptieren. Im Abmeldeszenario führt dies dazu, dass der Verbunddienst keine signierten Abmeldeanforderungen akzeptieren kann.
Wenn dieses Problem innerhalb von 15 Minuten nicht mehr auftritt, wechselt der Integritätsstatus dieses Monitors wieder in einen "grünen" Bereich. Von der Warnungsregel wird eine entsprechende Warnung generiert; diese muss manuell aufgelöst werden.
Dieses Ereignis kann folgende Ursachen haben:
Das Zertifikat wurde gesperrt.
Die Zertifikatskette konnte nicht entsprechend den Sperreinstellungen des Signaturzertifikats für die Anspruchsanbieter-Vertrauensstellung überprüft werden.
Das Zertifikat befindet sich außerhalb seiner Gültigkeitsdauer.
Hinweis:
Sie können die Windows PowerShell-Cmdlets für AD FS verwenden, um die Sperreinstellungen für das Signaturzertifikat für die Anspruchsanbieter-Vertrauensstellung zu konfigurieren. Verwenden Sie für diese spezielle Einstellung den Parameter "SigningCertificateRevocationCheck" des Cmdlets "Set-ADFSClaimsProviderTrust".
Folgende Lösungen sind bei diesem Ereignis möglich:
Stellen Sie sicher, dass das Signaturzertifikat für die Anspruchsanbieter-Vertrauensstellung gültig ist und nicht gesperrt wurde.
Stellen Sie sicher, dass AD FS auf die Zertifikatsperrliste zugreifen kann, wenn die Sperreinstellung auf "Keine" oder "Nur Cache" festgelegt ist.
Überprüfen Sie die Einstellungen des HTTP-Proxyservers. Weitere Informationen zum Überprüfen der Einstellungen des HTTP-Proxyservers finden Sie im Abschnitt "Vor einer Problembehandlung in AD FS auszuführende Schritte" im Handbuch zur Problembehandlung in AD FS (möglicherweise in englischer Sprache).
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>