Problém
Zvažte následující scénář:
-
Úřad 365 pro podniky, Office 365 pro školství nebo Office 365 obchodní zákazník nastavuje jednotné přihlášení (SSO) ve službě AD FS (Active Directory Federation Services) 2,0.
-
Federovaní uživatelé, kteří se připojují ze své podnikové sítě, se nemohou přihlásit do Skype for Business Online (dříve Lync Online) od společnosti Lync 2013 a zobrazí se následující chybová zpráva:
Nelze se přihlásit, protože server je dočasně nedostupný.
Poznámka: Tento problém se týká pouze uživatelů, kteří se přihlášují k aplikaci Skype for Business Online pomocí společnosti Lync 2013 v rámci podnikové sítě. Tento problém se netýká uživatelů služby Microsoft Lync 2010, uživatelů, kteří nejsou v programu Skype for Business Online, nebo uživatelů, kteří se připojují mimo podnikovou síť.
Řešení
Důležité Postupujte opatrně podle kroků v této části. Pokud registr upravíte nesprávně, může dojít k vážným problémům. Než jej upravíte, zálohujte registr pro obnovení v případě, že dojde k potížím. Protože existuje mnoho možných příčin, je nejlepší pracovat s následujícími řešeními a pak ověřit konfiguraci.
-
Při nasazování farmy federačních serverů služby AD FS 2,0 je nutné zadat účet služeb založený na doméně, který potřebuje zaregistrovaný název SPN, aby umožnil správné fungování ověřování pomocí protokolu Kerberos. Další informace naleznete na následujícím webu TechNet wiki:
AD FS 2,0: konfigurace názvu SPN (servicePrincipalName) pro účet službyDůvody, které může být nutné nastavit název SPN ručně na účtu služby AD FS 2,0, jsou následující:
-
Registrace názvu SPN selhala během počáteční konfigurace farmy.
-
Název služby Federation Service byl změněn.
-
Účet služby byl změněn.
-
-
Přesvědčte se, zda je služba AD FS 2,0 spuštěna pod účtem služby založeného na doméně, který byl uveden v předchozím kroku. Například na následujícím obrázku je TRLABV3 interní název hostitele a ADFSSvc je účet služby:
-
Nakonfigurujte server služby AD FS 2,0 tak, aby přijímal hlavičky požadavků, které jsou větší než 40 kilobajtů (KB). To může být nutné, pokud je uživatel členem mnoha skupin uživatelů služby AD DS (Active Directory Domain Services). Pokud je uživatel členem mnoha skupin služby AD DS, zvýší se velikost ověřovacího tokenu protokolu Kerberos pro uživatele. Požadavek protokolu HTTP, který uživatel odesílá na server Internetové informační služby (IIS), obsahuje token Kerberos v záhlaví WWW-Authenticate. Proto se velikost záhlaví zvětšuje, protože roste počet skupin. Pokud se hlavička nebo velikost paketu protokolu HTTP zvýší nad meze nakonfigurované ve službě IIS, může služba IIS požadavek odmítnout a odeslat jako odpověď chybu. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2020943 "HTTP 400 – Chybný požadavek (záhlaví požadavku je příliš dlouhé)" v internetové informační službě (IIS)Jako alternativní řešení použijte jednu z následujících metod:
-
Snižte počet skupin uživatelů služby AD DS, kterých je uživatel členem.
-
Změňte hodnoty registru MaxFieldLength a MaxRequestBytes na serveru, na kterém je spuštěna služba IIS, tak, aby záhlaví požadavků uživatele nebyla považována za příliš dlouhá. Tyto dvě hodnoty registru jsou umístěny v následujícím podklíči registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Pokud jste nasadili více serverů služby AD FS 2,0 v serverové farmě a nastavili vyváženou zátěž, Klient Lync 2013 nemusí být schopen směrovat požadavek na server služby AD FS 2,0. Přidání položky pro server AD FS 2,0 do souboru Hosts v klientském počítači, který odkazuje přímo na server služby AD FS 2,0, bude obcházet virtuální adresu IP pro službu Vyrovnávání zatížení.
-
Pokud předchozí řešení problém nevyřešila a snížení úrovně na verzi Lync 2010 není možnost, postupujte při řešení problému následujícím způsobem. Poznámka: Pokud účet místního správce v počítači již neexistuje, je třeba jej vytvořit, aby toto řešení fungovalo.
-
Přejděte na spustitelný soubor Lync 2013 v Průzkumníku Windows:
C:\Program Files\Microsoft Office 15\root\office15
-
Podržte stisknutou klávesu SHIFT a klepněte pravým tlačítkem myši na soubor Lync. exe.
-
Klepněte na příkaz Spustit jako jiný uživatel.
-
Zadejte pověření místního účtu správce v počítači a stiskněte klávesu ENTER.
-
DALŠÍ INFORMACE
K tomuto problému obvykle dochází z důvodu chybné konfigurace služby AD FS 2,0. Ostatní služby, jako je Microsoft Exchange Online, mohou bez ohledu na tuto konfiguraci fungovat správně. Zde uvádíme obvyklé příčiny:
-
Třída ServicePrincipalName (SPN) není správně nakonfigurována. Důvody jsou následující:
-
Registrace názvu SPN selhala během počáteční konfigurace farmy.
-
Název služby Federation Service byl změněn.
-
Účet služby byl změněn.
-
-
Služba AD FS 2,0 není spuštěna pod správným účtem služby.
-
Záhlaví požadavku od společnosti Lync 2013 je službou IIS a serverem AD FS 2,0 odmítnuto, protože záhlaví je příliš velké. K tomuto problému může dojít, protože uživatelský účet je členem příliš mnoha skupin uživatelů služby AD DS.
-
Serverová farma služby AD FS 2,0 je vyrovnávaným zatížením a požadavek nedosahuje serveru služby AD FS 2,0.
Další pomoc s nasazením služby AD FS 2,0 pro použití s SSO v sadě Office 365 naleznete na následujícím webu TechNet:
Plánování a nasazení služby AD FS pro použití s jednotným přihlášeníV případě, že je uživatel členem příliš mnoha skupin služby AD DS, je do trasovacích protokolů pomocníka pro přihlášení ke službám Microsoft Online Services zadána následující položka (tyto protokoly jsou obvykle umístěny v C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Stále potřebujete pomoc? Přejděte na web Microsoft Community.
