Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

PROBLEMA

Imagine la siguiente situación:

  • Un cliente empresarial de Office 365 para empresas, Office 365 para educación u Office 365 configura el inicio de sesión único (SSO) en Servicios de federación de Active Directory (AD FS) 2.0.

  • Los usuarios federados que se conectan desde dentro de su red corporativa no pueden iniciar sesión en Skype Empresarial Online (anteriormente Lync Online) desde Lync 2013 y reciben el siguiente mensaje de error:

    No puede iniciar sesión porque el servidor no está disponible temporalmente.

Nota Este problema solo se aplica a los usuarios de SSO empresarial que inician sesión en Skype Empresarial Online mediante Lync 2013 desde dentro de su red corporativa. El problema no se aplica a los usuarios de Microsoft Lync 2010, los usuarios que no están en Skype para profesionales en línea o los usuarios que se conectan desde fuera de su red corporativa.

SOLUCIÓN

Importante Siga cuidadosamente los pasos de esta sección. Pueden producirse problemas graves si modifica el registro incorrectamente. Antes de modificarlo, realice una copia de seguridad del registro para la restauración en caso de que se produzcan problemas. Dado que hay muchas causas posibles, es mejor trabajar a través de todas las soluciones siguientes y, a continuación, comprobar la configuración.

  1. Al implementar una granja de servidores de federación de AD FS 2.0, debe especificar una cuenta de servicio basada en dominio que necesita un SPN registrado para habilitar la autenticación Kerberos para que funcione correctamente. Para obtener más información, consulte la siguiente wiki de TechNet:

    AD FS 2.0: Cómo configurar el SPN (servicePrincipalName) para la cuenta de servicioLas razones por las que puede tener que establecer el SPN manualmente en la cuenta de servicio de AD FS 2.0 son las siguientes:

    • Error en el registro de SPN durante la configuración inicial de la granja de servidores.

    • Se ha cambiado el nombre del servicio de federación.

    • Se ha cambiado la cuenta de servicio.

  2. Asegúrese de que el servicio de AD FS 2.0 se ejecuta en la cuenta de servicio basada en dominio que se mencionó en el paso anterior. Por ejemplo, en la siguiente imagen, TRLABV3 es el nombre de host interno y ADFSSvc es la cuenta de servicio:alternate text

  3. Configurar el servidor de AD FS 2.0 para aceptar encabezados de solicitud que son mayores de 40 kilobytes (KB). Es posible que tenga que hacer esto cuando el usuario es miembro de muchos grupos de usuarios de Servicios de dominio de Active Directory (AD DS). Cuando un usuario es miembro de muchos grupos de AD DS, aumenta el tamaño del token de autenticación Kerberos para el usuario. La solicitud HTTP que el usuario envía al servidor de Internet Information Services (IIS) contiene el token Kerberos en el encabezado WWW-Authenticate. Por lo tanto, el tamaño del encabezado aumenta a medida que aumenta el número de grupos. Si el encabezado HTTP o el tamaño del paquete aumenta más allá de los límites configurados en IIS, IIS puede rechazar la solicitud y enviar un error como respuesta. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:

    2020943 "HTTP 400 - Solicitud incorrecta (encabezado de solicitud demasiado largo)" en Internet Information Services (IIS)Para resolver este problema, utilice uno de los métodos siguientes:

    1. Disminuya el número de grupos de usuarios de AD DS de los que el usuario es miembro.

    2. Cambie los valores del Registro MaxFieldLength y MaxRequestBytes en el servidor que ejecuta IIS para que los encabezados de solicitud del usuario no se consideren demasiado largos. Estos dos valores del Registro se encuentran bajo la siguiente subclave del Registro:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

  4. Si ha implementado varios servidores de AD FS 2.0 en una granja de servidores y tiene la carga equilibrada, es posible que el cliente de Lync 2013 no pueda dirigir la solicitud al servidor de AD FS 2.0. Agregar una entrada para el servidor de AD FS 2.0 al archivo hosts en el cliente que apunta directamente al servidor de AD FS 2.0 omitirá la dirección IP virtual del equilibrador de carga.

  5. Si las soluciones anteriores no resolvieron el problema y la degradación a Lync 2010 no es una opción, siga estos pasos para solucionar el problema. Nota Si aún no existe una cuenta de administrador local en el equipo, tendrá que crear una para que esta solución funcione.

    1. Vaya al ejecutable de Lync 2013 en el Explorador de Windows:

       C:\Program Files\Microsoft Office 15\root\office15

    2. Mantenga pulsada la tecla Mayús y, a continuación, haga clic con el botón derecho en Lync.exe.

    3. Haga clic en Ejecutar como usuario diferente.

    4. Escriba las credenciales de una cuenta de administrador local en el equipo y, a continuación, presione ENTRAR.

MÁS INFORMACIÓN

Este problema suele producirse debido a una configuración incorrecta en AD FS 2.0. Otros servicios como Microsoft Exchange Online pueden funcionar correctamente a pesar de esta configuración. Las causas habituales se enumeran aquí:

  • ServicePrincipalName (SPN) no está configurado correctamente. Las razones de esto incluyen lo siguiente:

    • Error en el registro de SPN durante la configuración inicial de la granja de servidores.

    • Se ha cambiado el nombre del servicio de federación.

    • Se ha cambiado la cuenta de servicio.

  • El servicio de AD FS 2.0 no se ejecuta en la cuenta de servicio correcta.

  • IIS y el servidor de AD FS 2.0 rechazan el encabezado de la solicitud de Lync 2013 porque el encabezado es demasiado grande. Este problema puede producirse porque la cuenta de usuario es miembro de demasiados grupos de usuarios de AD DS.

  • La granja de servidores de AD FS 2.0 está equilibrada de carga y la solicitud no llega al servidor de AD FS 2.0.

Para obtener más ayuda con la implementación de AD FS 2.0 para su uso con SSO en Office 365, consulte el siguiente sitio Web de TechNet:

Planificar e implementar AD FS para su uso con el inicio de sesión únicoEn el caso de que el usuario sea miembro de demasiados grupos de AD DS, se especifica la siguiente entrada en los registros de seguimiento del Asistente de inicio de sesión de Microsoft Online Services (estos registros se encuentran normalmente en C: MSOSSPTrace):

##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

¿Aún necesita ayuda? Visite Comunidad Microsoft.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×