Dieser Monitor weist darauf hin, dass die signierte SAML-Anmelde- oder -Abmeldeanforderung nicht verarbeitet werden konnte, da bei dem Zertifikat, das vom Partner zum Signieren der Anforderung verwendet wird, bei einer Überprüfung der Zertifikatsperre ein Fehler aufgetreten ist oder das Zertifikat abgelaufen ist.
Wenn dieses Problem innerhalb von 15 Minuten nicht mehr auftritt, wechselt der Integritätsstatus dieses Monitors wieder in einen "grünen" Bereich. Von der Warnungsregel wird eine entsprechende Warnung generiert; diese muss manuell aufgelöst werden.
Dieses Ereignis kann folgende Ursachen haben:
Das Zertifikat wurde gesperrt.
Die Zertifikatskette konnte nicht entsprechend den Sperreinstellungen des Signaturzertifikats für die Vertrauensstellung der vertrauenden Seite überprüft werden.
Das Zertifikat befindet sich außerhalb seiner Gültigkeitsdauer.
Hinweis:
Sie können die Windows PowerShell-Cmdlets für AD FS verwenden, um die Sperreinstellungen für das Signaturzertifikat für die Vertrauensstellung der vertrauenden Seite zu konfigurieren. Verwenden Sie für diese spezielle Einstellung den Parameter "SigningCertificateRevocationCheck" des Cmdlets "Set-ADFSRelyingPartyTrust".
Folgende Lösungen sind bei diesem Ereignis möglich:
Stellen Sie sicher, dass das Signaturzertifikat für die Vertrauensstellung der vertrauenden Seite gültig ist und nicht gesperrt wurde.
Stellen Sie sicher, dass AD FS auf die Zertifikatsperrliste zugreifen kann, wenn die Sperreinstellung auf "Keine" oder "Nur Cache" festgelegt ist.
Überprüfen Sie die Einstellungen des HTTP-Proxyservers. Weitere Informationen zum Überprüfen der Einstellungen des HTTP-Proxyservers finden Sie im Abschnitt "Vor einer Problembehandlung in AD FS auszuführende Schritte" im Handbuch zur Problembehandlung in AD FS (möglicherweise in englischer Sprache).
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Parent Monitor | System.Health.ConfigurationState | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | MatchMonitorHealth | ||
Alert Priority | Normal | ||
Alert Auto Resolve | True | ||
Monitor Type | Microsoft.Windows.SingleEventLogTimer2StateMonitorType | ||
Remotable | True | ||
Accessibility | Public | ||
Alert Message |
| ||
RunAs | Default |
<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">
<Category>ConfigurationHealth</Category>
<AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureMonitor_AlertMessageResourceID">
<AlertOnState>Warning</AlertOnState>
<AutoResolve>true</AutoResolve>
<AlertPriority>Normal</AlertPriority>
<AlertSeverity>MatchMonitorHealth</AlertSeverity>
<AlertParameters>
<AlertParameter1>$Data/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</AlertSettings>
<OperationalStates>
<OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>
<OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>
</OperationalStates>
<Configuration>
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">316</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
<TimerWaitInSeconds>900</TimerWaitInSeconds>
</Configuration>
</UnitMonitor>