De Federation Service kon de aanmeldings- of afmeldingsaanvraag van de ondertekende SAML niet verwerken omdat het certificaat dat de partner gebruikte voor het ondertekenen van de aanvraag geen intrekkingscontrole van het certificaat kon uitvoeren of omdat dit is verlopen.
Deze gebeurtenis kan de volgende oorzaken hebben:
Het certificaat is ingetrokken.
Kan de certificaatketen niet controleren zoals aangegeven in de herroepingsinstellingen van het handtekeningcertificaat voor de vertrouwensrelatie van deze relying party.
Het certificaat valt niet binnen de geldigheidsperiode.
Opmerking:
U kunt Windows PowerShell-cmdlets voor AD FS gebruiken om de intrekkingsinstellingen voor het handtekeningcertificaat van de vertrouwensrelatie van de relying party te configureren. Gebruik voor de specifieke instelling de parameter SigningCertificateRevocationCheck van de cmdlet Set-ADFSRelyingPartyTrust.
Deze gebeurtenis kan de volgende oplossingen hebben:
Zorg dat het handtekeningcertificaat van de vertrouwensrelatie van de relying party geldig is en niet is ingetrokken.
Zorg dat AD FS toegang heeft tot de certificaatintrekkingslijst als de intrekkingsinstelling niet de waarde 'geen' of 'alleen cache' heeft.
Controleer de instellingen van uw HTTP-proxyserver. Zie voor meer informatie over hoe u de instellingen van uw HTTP-proxyserver moet controleren het gedeelte 'Dingen om te controleren voor het oplossen van AD FS-problemen' in de AD FS-probleemoplossingsgids.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Event_ID | 316 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">316</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>