Krypteringscertifikatfel för den förlitande parten - Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor) (SVE)

Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor (UnitMonitor)

Knowledge Base article:

Sammanfattning

Det uppstod ett fel vid ett försök att bygga certifikatkedjan för den förlitande partens betrodda krypteringscertifikat. Detta leder till att ett tokenutfärdande i den förlitande partens förtroende kommer att misslyckas eller till att federationstjänsten inte kan genomföra utloggningsprocessen från den förlitande parten.

Om samma problem inte uppstår på nytt inom 15 minuter, kommer övervakarens hälsotillstånd att återgå till grön status. En motsvarande varning genereras av varningsregeln och den måste lösas manuellt.

Orsaker

Följande är troliga orsaker till händelsen:

Certifikatet har återkallats.
Certifikatskedjan kunde inte verifieras enligt de angivna inställningarna för återkallning av krypteringscertifikatet för den förlitande partens förtroende.
Certifikatets giltighetsperiod har löpt ut.

Obs!

Du kan använda Windows PowerShell-cmdlets för AD FS för att konfigurera återkallningsinställningar för den förlitande partens betrodda krypteringscertifikat. De specifika inställningarna återfinns i EncryptionCertificateRevocationCheck-parametern för Set-ADFSRelyingPartyTrust-cmdlet.

Lösningar

Följande är möjliga lösningar till händelsen:

Se till att den förlitande partens betrodda krypteringscertifikat är giltigt och inte har återkallats.
Om "ingen" eller "endast cache" inte är angivna i återkallningsinställningarna, bör du se till att AD FS har åtkomst till listan över återkallade certifikat.
Verifiera inställningarna för HTTP-proxyservern. Mer information om att verifiera inställningarna i HTTP-proxyservern finns i avsnittet Kontrollera följande innan du felsöker AD FS i AD FS felsökningsguide.

Element properties:

Source Code:

Target	Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance
Parent Monitor	System.Health.ConfigurationState
Category	ConfigurationHealth
Enabled	True
Alert Generate	False
Alert Auto Resolve	True
Monitor Type	Microsoft.Windows.SingleEventLogTimer2StateMonitorType
Remotable	True
Accessibility	Public
RunAs	Default

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true"> <Category>ConfigurationHealth</Category> <OperationalStates> <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/> <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/> </OperationalStates> <Configuration> <ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName> <LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName> <Expression> <And> <Expression> <SimpleExpression> <ValueExpression> <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery> </ValueExpression> <Operator>Equal</Operator> <ValueExpression> <Value Type="UnsignedInteger">317</Value> </ValueExpression> </SimpleExpression> </Expression> <Expression> <RegExExpression> <ValueExpression> <XPathQuery Type="String">PublisherName</XPathQuery> </ValueExpression> <Operator>MatchesMOM2005RegularExpression</Operator> <Pattern>(^AD FS$)</Pattern> </RegExExpression> </Expression> </And> </Expression> <TimerWaitInSeconds>900</TimerWaitInSeconds> </Configuration> </UnitMonitor>