Při pokusu o sestavení řetězu certifikátů pro šifrovací certifikát důvěryhodného certifikátu předávající strany došlo k chybě. To způsobí selhání vydání tokenu pro tento důvěryhodný certifikát předávající strany nebo způsobí, že se službě Federation Service nepodaří odhlásit proces žádosti z této předávající strany.
Pokud ke stejnému problému nedojde během 15 minut znovu, stav tohoto monitoru se vrátí zpátky na zelený. Pravidlo výstrahy vygeneruje příslušnou výstrahu, kterou je třeba vyřešit ručně.
Níže jsou vedeny možné příčiny této události:
Certifikát byl odvolán.
Řetěz certifikátů nebylo možné ověřit dle specifikace nastavení odvolání šifrovacího certifikátu pro tento důvěryhodný certifikát předávající strany.
Certifikát není v době platnosti.
Poznámka
Pomocí rutin prostředí Windows PowerShell pro službu AD FS můžete nakonfigurovat nastavení odvolání pro šifrovací certifikát důvěryhodného certifikátu předávající strany. Pro konkrétní nastavení použijte parametr EncryptionCertificateRevocationCheck rutiny Set-ADFSRelyingPartyTrust.
Níže jsou uvedena možná řešení této události:
Ujistěte se, že šifrovací certifikát důvěryhodného certifikátu předávající strany je platný a nebyl odvolán.
Ujistěte se, že služba AD FS může přistupovat k seznamu odvolaných certifikátů, pokud nastavení odvolání nespecifikuje nastavení "žádné" nebo "pouze mezipaměť".
Ověřte nastavení serveru proxy protokolu HTTP. Další informace o tom, jak ověřit nastavení serveru proxy protokolu HTTP, najdete v části "Co zkontrolovat před řešením problémů se službou AD FS" v příručce pro řešení problémů se službou AD FS.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">317</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>