Signeringscertifikatet för en av anspråksproviderns förtroenden är inte giltigt. Detta innebär att inkommande signerade token inte kommer att accepteras av federationstjänsten. Detta innebär även att federationstjänsten inte kommer att acceptera signerade utloggningsförfrågningar vid önskad utloggning.
Om samma problem inte uppstår på nytt inom 15 minuter, kommer övervakarens hälsotillstånd att återgå till grön status. En motsvarande varning genereras av varningsregeln och den måste lösas manuellt.
Följande är troliga orsaker till händelsen:
Certifikatet har återkallats.
Certifikatskedjan kunde inte verifieras enligt de angivna inställningarna för återkallning av signeringscertifikat för anspråksproviderns förtroende.
Certifikatets giltighetsperiod har löpt ut.
Obs!
Du kan använda Windows PowerShell-cmdlets för AD FS för att konfigurera återkallningsinställningar förbetrodda signeringscertifikat för anspråksproviderns förtroende. De specifika inställningarna återfinns i SigningCertificateRevocationCheck-parametern för Set-ADFSClaimsProviderTrust-cmdlet.
Möjliga lösningar på problemet är följande:
Kontrollera att betrodda signeringscertifikat för anspråksproviderns förtroende är giltigt och inte har återkallats.
Om "ingen" eller "endast cache" inte är angivna i återkallningsinställningarna, bör du se till att AD FS har åtkomst till listan över återkallade certifikat.
Verifiera inställningarna för HTTP-proxyservern. Mer information om att verifiera inställningarna i HTTP-proxyservern finns i avsnittet Kontrollera följande innan du felsöker AD FS i AD FS felsökningsguide.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenAcceptanceClaimsProviderSigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">315</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>