Si è verificato un errore durante un tentativo di compilare la catena di certificati per il certificato di crittografia dell'attendibilità della relying party. Di conseguenza, il rilascio token per questa attendibilità della relying party avrà esito negativo o il servizio federativo non sarà in grado di elaborare la richiesta di disconnessione ricevuta dalla relying party.
Se lo stesso problema non si verifica nuovamente entro 15 minuti, viene ripristinato lo stato di integrità "verde" del monitoraggio. Un avviso corrispondente viene generato dalla regola di avviso e deve essere risolto manualmente.
Di seguito sono riportate le possibili cause di questo evento:
Il certificato è stato revocato.
Non è stato possibile verificare la catena di certificati come specificato dalle impostazioni di revoca del certificato di crittografia per l'attendibilità della relying party.
Il certificato non rientra nel proprio periodo di validità.
Nota
È possibile utilizzare i cmdlet di Windows PowerShell per ADFS per configurare le impostazioni di revoca per il certificato di crittografia dell'attendibilità della relying party. Per l'impostazione specifica, utilizzare il parametro EncryptionCertificateRevocationCheck del cmdlet Set-ADFSRelyingPartyTrust.
Di seguito sono riportate le possibili soluzioni per questo evento:
Assicurarsi che il certificato di crittografia dell'attendibilità della relying party sia valido e non sia stato revocato.
Assicurarsi che ADFS possa accedere all'elenco di revoche di certificati se nell'impostazione di revoca non è specificata l'impostazione "nessuno" o "solo cache".
Verificare le impostazioni del server proxy HTTP. Per ulteriori informazioni su come verificare le impostazioni del server proxy HTTP, vedere la sezione relativa ai controlli preliminari per la risoluzione dei problemi di ADFS nella guida alla risoluzione dei problemi di ADFS.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">317</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>