Wystąpił błąd podczas próby budowania łańcucha certyfikatów dla certyfikatu szyfrowania relacji zaufania jednostki uzależnionej. Spowoduje to niepowodzenie wystawiania tokenów dla tej relacji zaufania jednostki uzależnionej lub niepowodzenie przetwarzania przez usługę federacyjną żądań wylogowania od tej jednostki uzależnionej.
Jeśli w ciągu 15 minut ten sam problem nie wystąpi ponownie, stan kondycji tego monitora zmieni się ponownie na Zielony. Reguła alertów generuje odpowiedni alert, który musi zostać rozwiązany ręcznie.
Oto możliwe przyczyny tego zdarzenia:
Certyfikat został odwołany.
Nie można było zweryfikować łańcucha certyfikatów zgodnie z ustawieniami odwoływania certyfikatu szyfrowania dla tej relacji zaufania jednostki uzależnionej.
Certyfikat jest używany poza swoim okresem ważności.
Uwaga
Ustawienia odwoływania dla certyfikatu szyfrowania relacji zaufania jednostki uzależnionej można skonfigurować przy użyciu poleceń cmdlet programu Windows PowerShell dla usług AD FS. Do skonfigurowania tego konkretnego ustawienia służy parametr EncryptionCertificateRevocationCheck polecenia cmdlet Set-ADFSRelyingPartyTrust.
Oto możliwe rozwiązania dla tego zdarzenia:
Zapewnij, że certyfikat szyfrowania relacji zaufania jednostki uzależnionej jest prawidłowy i nie został odwołany.
Upewnij się, że usługi AD FS mogą uzyskać dostęp do listy odwołania certyfikatów, gdy ustawieniem odwołania nie jest „none” (brak) ani „cache only” (tylko pamięć podręczna).
Sprawdź ustawienia serwera proxy dla protokołu HTTP. Więcej informacji o sposobie sprawdzania ustawień serwera proxy dla protokołu HTTP znajduje się w sekcji „Elementy do sprawdzenia przed rozwiązywaniem problemów z usługami AD FS” w przewodniku rozwiązywania problemów z usługami AD FS.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">317</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>