Certyfikat podpisywania dostawcy dla jednej z relacji zaufania dostawcy oświadczeń jest nieprawidłowy. Spowoduje to, że usługa federacyjna nie będzie akceptować podpisanych tokenów przychodzących. W scenariuszu wylogowania spowoduje to, że usługa federacyjna nie będzie akceptować podpisanych żądań wylogowania.
Jeśli w ciągu 15 minut ten sam problem nie pojawi się ponownie, stan kondycji tego monitora zmieni się na Zielony. Reguła alertów generuje odpowiedni alert, który musi zostać rozwiązany ręcznie.
Oto możliwe przyczyny tego zdarzenia:
Certyfikat został odwołany.
Nie można było zweryfikować łańcucha certyfikatów zgodnie z ustawieniami odwoływania certyfikatu podpisywania dla tej relacji zaufania dostawcy oświadczeń.
Certyfikat jest używany poza swoim okresem ważności.
Uwaga:
Ustawienia odwoływania certyfikatu podpisywania relacji zaufania dostawcy oświadczeń można skonfigurować przy użyciu poleceń cmdlet programu Windows PowerShell dla usług AD FS. Do skonfigurowania tego konkretnego ustawienia służy parametr SigningCertificateRevocationCheck polecenia cmdlet Set-ADFSClaimsProviderTrust.
Oto możliwe rozwiązania dla tego zdarzenia:
Upewnij się, żeby certyfikat podpisywania relacji zaufania dostawcy oświadczeń był ważny i nieodwołany.
Upewnij się, że usługi AD FS mogą uzyskać dostęp do listy odwołania certyfikatów, gdy ustawieniem odwołania nie jest „none” (brak) ani „cache only” (tylko pamięć podręczna).
Sprawdź ustawienia serwera proxy dla protokołu HTTP. Więcej informacji o sposobie sprawdzania ustawień serwera proxy dla protokołu HTTP znajduje się w sekcji „Elementy do sprawdzenia przed rozwiązywaniem problemów z usługami AD FS” w przewodniku rozwiązywania problemów z usługami AD FS.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>