Det uppstod ett fel vid ett försök att bygga certifikatkedjan för den förlitande partens betrodda krypteringscertifikat. Detta leder till att ett tokenutfärdande i den förlitande partens förtroende kommer att misslyckas eller till att federationstjänsten inte kan genomföra utloggningsprocessen från den förlitande parten.
Om samma problem inte uppstår på nytt inom 15 minuter, kommer övervakarens hälsotillstånd att återgå till grön status. En motsvarande varning genereras av varningsregeln och den måste lösas manuellt.
Följande är troliga orsaker till händelsen:
Certifikatet har återkallats.
Certifikatskedjan kunde inte verifieras enligt de angivna inställningarna för återkallning av krypteringscertifikatet för den förlitande partens förtroende.
Certifikatets giltighetsperiod har löpt ut.
Obs!
Du kan använda Windows PowerShell-cmdlets för AD FS för att konfigurera återkallningsinställningar för den förlitande partens betrodda krypteringscertifikat. De specifika inställningarna återfinns i EncryptionCertificateRevocationCheck-parametern för Set-ADFSRelyingPartyTrust-cmdlet.
Följande är möjliga lösningar till händelsen:
Se till att den förlitande partens betrodda krypteringscertifikat är giltigt och inte har återkallats.
Om "ingen" eller "endast cache" inte är angivna i återkallningsinställningarna, bör du se till att AD FS har åtkomst till listan över återkallade certifikat.
Verifiera inställningarna för HTTP-proxyservern. Mer information om att verifiera inställningarna i HTTP-proxyservern finns i avsnittet Kontrollera följande innan du felsöker AD FS i AD FS felsökningsguide.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance |
Parent Monitor | System.Health.ConfigurationState |
Category | ConfigurationHealth |
Enabled | True |
Alert Generate | False |
Alert Auto Resolve | True |
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType |
Remotable | True |
Accessibility | Public |
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartyEncryptionCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">317</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>