Beim Erstellen der Zertifikatskette für das Verschlüsselungszertifikat für die vertrauende Seite ist ein Fehler aufgetreten. Aus diesem Grund tritt bei der Tokenausstellung für die vertrauende Seite ein Fehler auf, oder im Verbunddienst tritt bei der Verarbeitung der Abmeldeanforderung dieser vertrauenden Seite ein Fehler auf.
Wenn dieses Problem innerhalb von 15 Minuten nicht mehr auftritt, wechselt der Integritätsstatus dieses Monitors wieder in einen "grünen" Bereich. Von der Warnungsregel wird eine entsprechende Warnung generiert; diese muss manuell aufgelöst werden.
Dieses Ereignis kann folgende Ursachen haben:
Das Zertifikat wurde gesperrt.
Die Zertifikatskette konnte nicht entsprechend den Sperreinstellungen des Verschlüsselungszertifikats für die Vertrauensstellung der vertrauenden Seite überprüft werden.
Das Zertifikat befindet sich außerhalb seiner Gültigkeitsdauer.
Hinweis
Sie können die Windows PowerShell-Cmdlets für AD FS verwenden, um die Sperreinstellungen für das Verschlüsselungszertifikat für die Vertrauensstellung der vertrauenden Seite zu konfigurieren. Verwenden Sie für diese spezielle Einstellung den Parameter "EncryptionCertificateRevocationCheck" des Cmdlets "Set-ADFSRelyingPartyTrust".
Folgende Lösungen sind bei diesem Ereignis möglich:
Stellen Sie sicher, dass das Verschlüsselungszertifikat für die Vertrauensstellung der vertrauenden Seite gültig ist und nicht gesperrt wurde.
Stellen Sie sicher, dass AD FS auf die Zertifikatsperrliste zugreifen kann, wenn die Sperreinstellung auf "Keine" oder "Nur Cache" festgelegt ist.
Überprüfen Sie die Einstellungen des HTTP-Proxyservers. Weitere Informationen zum Überprüfen der Einstellungen des HTTP-Proxyservers finden Sie im Abschnitt "Vor einer Problembehandlung in AD FS auszuführende Schritte" im Handbuch zur Problembehandlung in AD FS (möglicherweise in englischer Sprache).
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">317</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>