Произошла ошибка при попытке построить цепочку сертификатов для сертификата шифрования отношения доверия с проверяющей стороной. Это приведет к сбою выпуска маркера для этого отношения доверия с проверяющей стороной или к ошибке обработки службой федерации запроса на выход от проверяющий стороны.
Если та же проблема не повторится в течение 15 минут, индикатор состояния работоспособности этого монитора снова изменится на зеленый. Согласно правилу генерации оповещений, появляется соответствующее оповещение, которое необходимо устранить вручную.
Ниже рассмотрены возможные причины возникновения этого события.
Сертификат отозван.
Невозможно подтвердить цепочку сертификатов согласно заданным параметрам отзыва сертификата шифрования для этого отношения доверия с проверяющей стороной.
Срок действия сертификата истек или не начался.
Примечание.
Настроить параметры отзыва сертификата шифрования для отношения доверия с проверяющей стороной можно с помощью командлетов Windows PowerShell для служб федерации Active Directory. Для специальных настроек используйте параметр EncryptionCertificateRevocationCheck командлета Set-ADFSRelyingPartyTrust.
Ниже приведены возможные способы устранения ошибки.
Убедитесь в том, что сертификат шифрования для отношения доверия с проверяющей стороной действителен и не был отозван.
Убедитесь в том, что службы федерации Active Directory имеют доступ к списку отзыва сертификатов, если для параметра отзыва не установлено значение "нет" или "только кэш".
Проверьте параметры прокси-сервера HTTP. Дополнительные сведения о проверке параметров прокси-сервера HTTP см. в разделе "Проверка перед устранением неполадок служб федерации Active Directory" Руководства по устранению неполадок служб федерации Active Directory.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">317</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>