Die signierte SAML-Anmelde- oder -Abmeldeanforderung konnte nicht verarbeitet werden, da bei dem Zertifikat, das vom Partner zum Signieren der Anforderung verwendet wird, bei einer Überprüfung der Zertifikatsperre ein Fehler aufgetreten ist oder das Zertifikat abgelaufen ist.
Dieses Ereignis kann folgende Ursachen haben:
Das Zertifikat wurde gesperrt.
Die Zertifikatskette konnte nicht entsprechend den Sperreinstellungen des Signaturzertifikats für die Vertrauensstellung der vertrauenden Seite überprüft werden.
Das Zertifikat befindet sich außerhalb seiner Gültigkeitsdauer.
Hinweis:
Sie können die Windows PowerShell-Cmdlets für AD FS verwenden, um die Sperreinstellungen für das Signaturzertifikat für die Vertrauensstellung der vertrauenden Seite zu konfigurieren. Verwenden Sie für diese spezielle Einstellung den Parameter "SigningCertificateRevocationCheck" des Cmdlets "Set-ADFSRelyingPartyTrust".
Folgende Lösungen sind bei diesem Ereignis möglich:
Stellen Sie sicher, dass das Signaturzertifikat für die Vertrauensstellung der vertrauenden Seite gültig ist und nicht gesperrt wurde.
Stellen Sie sicher, dass AD FS auf die Zertifikatsperrliste zugreifen kann, wenn die Sperreinstellung auf "Keine" oder "Nur Cache" festgelegt ist.
Überprüfen Sie die Einstellungen des HTTP-Proxyservers. Weitere Informationen zum Überprüfen der Einstellungen des HTTP-Proxyservers finden Sie im Abschnitt "Vor einer Problembehandlung in AD FS auszuführende Schritte" im Handbuch zur Problembehandlung in AD FS (möglicherweise in englischer Sprache).
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Event_ID | 316 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">316</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>