Chyba šifrovacího certifikátu předávající strany - Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor) (CSY)

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor)

Knowledge Base article:

Souhrn

Při pokusu o sestavení řetězu certifikátů pro šifrovací certifikát důvěryhodného certifikátu předávající strany došlo k chybě. To způsobí selhání vydání tokenu pro tento důvěryhodný certifikát předávající strany nebo způsobí, že se službě Federation Service nepodaří odhlásit proces žádosti z této předávající strany.

Pokud ke stejnému problému nedojde během 15 minut znovu, stav tohoto monitoru se vrátí zpátky na zelený. Pravidlo výstrahy vygeneruje příslušnou výstrahu, kterou je třeba vyřešit ručně.

Příčiny

Níže jsou vedeny možné příčiny této události:

Certifikát byl odvolán.
Řetěz certifikátů nebylo možné ověřit dle specifikace nastavení odvolání šifrovacího certifikátu pro tento důvěryhodný certifikát předávající strany.
Certifikát není v době platnosti.

Poznámka

Pomocí rutin prostředí Windows PowerShell pro službu AD FS můžete nakonfigurovat nastavení odvolání pro šifrovací certifikát důvěryhodného certifikátu předávající strany. Pro konkrétní nastavení použijte parametr EncryptionCertificateRevocationCheck rutiny Set-ADFSRelyingPartyTrust.

Řešení

Níže jsou uvedena možná řešení této události:

Ujistěte se, že šifrovací certifikát důvěryhodného certifikátu předávající strany je platný a nebyl odvolán.
Ujistěte se, že služba AD FS může přistupovat k seznamu odvolaných certifikátů, pokud nastavení odvolání nespecifikuje nastavení "žádné" nebo "pouze mezipaměť".
Ověřte nastavení serveru proxy protokolu HTTP. Další informace o tom, jak ověřit nastavení serveru proxy protokolu HTTP, najdete v části "Co zkontrolovat před řešením problémů se službou AD FS" v příručce pro řešení problémů se službou AD FS.

Element properties:

Source Code:

Target	Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance
Parent Monitor	System.Health.ConfigurationState
Category	ConfigurationHealth
Enabled	True
Alert Generate	False
Alert Auto Resolve	True
Monitor Type	Microsoft.Windows.SingleEventLogTimer2StateMonitorType
Remotable	True
Accessibility	Public
RunAs	Default

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true"> <Category>ConfigurationHealth</Category> <OperationalStates> <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">317</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <RegExExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>MatchesMOM2005RegularExpression</Operator> <Pattern>(^AD FS$)</Pattern> </RegExExpression> </Expression> </And> </Expression> <TimerWaitInSeconds>900</TimerWaitInSeconds> </Configuration> </UnitMonitor>