Tento monitor indikuje, že se službě Federation Service nepodařilo zpracovat podepsanou žádost o přihlášení nebo odhlášení SAML, protože certifikát, který partner použil k podpisu žádosti neprošel kontrolou odvolání certifikátu nebo vypršel.
Pokud ke stejnému problému nedojde během 15 minut znovu, stav tohoto monitoru se vrátí zpátky na zelený. Pravidlo výstrahy vygeneruje příslušnou výstrahu, kterou je třeba vyřešit ručně.
Níže jsou vedeny možné příčiny této události:
Certifikát byl odvolán.
Řetěz certifikátů nebylo možné ověřit dle specifikace nastavení odvolání podpisového certifikátu pro tento důvěryhodný certifikát předávající strany.
Certifikát není v době platnosti.
Poznámka:
Pomocí rutin prostředí Windows PowerShell pro službu AD FS můžete nakonfigurovat nastavení odvolání pro podpisový certifikát důvěryhodného certifikátu předávající strany. Pro konkrétní nastavení použijte parametr SigningCertificateRevocationCheck rutiny Set-ADFSRelyingPartyTrust.
Níže jsou uvedeny možná řešení této události:
Ujistěte se, že podpisový certifikát důvěryhodného certifikátu předávající strany je platný a nebyl odvolán.
Ujistěte se, že služba AD FS může přistupovat k seznamu odvolaných certifikátů, pokud nastavení odvolání nespecifikuje nastavení "žádné" nebo "pouze mezipaměť".
Ověřte nastavení serveru proxy protokolu HTTP. Další informace o tom, jak ověřit nastavení serveru proxy protokolu HTTP, najdete v části "Co zkontrolovat před řešením problémů se službou AD FS" v příručce pro řešení problémů se službou AD FS.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">316</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>