Службе федерации не удалось обработать подписанный запрос SAML на вход или выход, поскольку сертификату, который использовался партнером для подписи запросов, не удалось пройти проверку отзыва сертификата или срок действия этого сертификата истек.
Ниже рассмотрены возможные причины возникновения этого события.
Сертификат отозван.
Невозможно подтвердить цепочку сертификатов согласно заданным параметрам отзыва сертификата для подписи для этого отношения доверия с проверяющей стороной.
Срок действия сертификата истек или не начался.
Примечание:
Чтобы настроить параметры отзыва сертификата для подписи для отношения доверия с проверяющей стороной, можно использовать командлеты Windows PowerShell для служб федерации Active Directory. Для специальных настроек используйте параметр SigningCertificateRevocationCheck командлета Set-ADFSRelyingPartyTrust.
Ниже приведены возможные способы устранения ошибки.
Убедитесь в том, что сертификат для подписи для отношения доверия с проверяющей стороной действителен и не отозван.
Убедитесь в том, что службы федерации Active Directory имеют доступ к списку отзыва сертификатов, если для параметра отзыва не установлено значение "нет" или "только кэш".
Проверьте параметры прокси-сервера HTTP. Дополнительные сведения о проверке параметров прокси-сервера HTTP см. в разделе "Проверка перед устранением неполадок служб федерации Active Directory" Руководства по устранению неполадок служб федерации Active Directory.
Target | Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance | ||
Category | ConfigurationHealth | ||
Enabled | True | ||
Event_ID | 316 | ||
Alert Generate | True | ||
Alert Severity | Warning | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | $Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$ |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuance" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>ConfigurationHealth</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>$Target/Host/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices2012R2.FederationServer"]/ADFSEventLog$</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">316</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<RegExExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>MatchesMOM2005RegularExpression</Operator>
<Pattern>(^AD FS$)</Pattern>
</RegExExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.ActiveDirectoryFederationServices2012R2.TokenIssuanceRelyingPartySigningCertificateCrlCheckFailureRule.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/Params/Param[1]$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/Params/Param[1]$</SuppressionValue>
<SuppressionValue>$Data/Params/Param[2]$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>