Le certificat de signature pour l'une des approbations du fournisseur de revendications est invalide. Le service de fédération sera donc incapable d'accepter le jeton signé entrant. Dans le scénario de déconnexion, ceci empêchera le service de fédération d'accepter les demandes de déconnexion signées.
Si le même problème ne survient pas à nouveau pendant 15 minutes, l'état de santé de ce système de surveillance repassera en vert. Une alerte correspondante est générée par la règle d'alerte, et elle doit être résolue manuellement.
Vous trouverez ci-dessous les causes possibles de cet événement :
Le certificat a été révoqué.
La chaîne de certificats n'a pas pu être vérifiée comme indiqué dans les paramètres de révocation du certificat de signature pour l'approbation du fournisseur de revendications
Ce certificat n'est pas dans sa période de validité.
Remarque :
Vous pouvez utiliser les commandlets Windows PowerShell pour AD FS afin de configurer les paramètres de révocation pour le certificat de signature de l'approbation du fournisseur de revendications. Pour ce réglage spécifique, utilisez le paramètre SigningCertificateRevocationCheck de la commandlet Set-ADFSClaimsProviderTrust.
Vous trouverez ci-dessous les résolutions possibles de cet événement :
Vérifiez que le certificat de signature de l'approbation du fournisseur de revendications est valide et n'a pas été révoqué.
Vérifiez qu'AD FS peut accéder à la liste de révocation de certificats si le paramètre de révocation ne spécifie pas de paramètre « aucun » ou « cache uniquement ».
Vérifiez les paramètres de votre serveur proxy HTTP. Pour plus d'informations sur la vérification des paramètres de votre serveur proxy HTTP, consultez la section « Points à vérifier avant de dépanner AD FS » du Guide de dépannage d'AD FS.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>