Empresa única sesión los usuarios de Office 365 no pueden iniciar sesión Lync Online desde dentro de su red corporativa

Seleccione idioma Seleccione idioma
Id. de artículo: 2839539 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

PROBLEMA

Tenga en cuenta la situación siguiente:
  • Un Microsoft Office 365 para las empresas, Microsoft Office 365 para educación o Microsoft Office 365 para clientes de empresas de tamaño mediano configura el inicio de sesión único (SSO) en los servicios de federación de Active Directory (AD FS) 2.0.
  • Los usuarios federados que se conectan desde dentro de su red corporativa no pueden iniciar sesión en Lync Online desde 2013 de Lync y reciben el mensaje de error siguiente:
    No se puede iniciar sesión en el servidor no está disponible temporalmente.
Nota Este problema sólo afecta a los usuarios de SSO empresarial que iniciar sesión Microsoft Lync Online con Microsoft Lync 2013 desde dentro de su red corporativa. El problema no se aplica a los usuarios de Microsoft Lync 2010, los usuarios que no están en Lync Online o los usuarios que se conectan desde fuera de su red corporativa.

SOLUCIÓN

Importante: Siga cuidadosamente los pasos de esta sección. Pueden producirse problemas graves si modifica incorrectamente el registro. Antes de modificarlo, copia de seguridad del registro de restauración en caso de problemas.

Puesto que existen muchas causas posibles, es mejor trabajar a través de las siguientes soluciones y, a continuación, compruebe la configuración.
  1. Cuando se implementa un AD FS 2.0 federación de servidores, debe especificar una cuenta de servicio basado en el dominio que necesita un SPN registrado para habilitar la autenticación Kerberos funcione correctamente. Para obtener más información, consulte el siguiente wiki de TechNet:
    AD FS 2.0: Cómo configurar el SPN (NombrePrincipalDeServicio) para la cuenta de servicio
    Las razones por las que tendrá que establecer el SPN manualmente en la cuenta de AD FS 2.0 service son los siguientes:
    • Error en el registro SPN durante la configuración inicial del conjunto de servidores.
    • Se cambió el nombre de servicio de federación.
    • Se cambió la cuenta de servicio.
  2. Asegúrese de que AD FS 2.0 service se ejecuta en la cuenta de servicio basado en el dominio que se menciona en el paso anterior. Por ejemplo, en la siguiente imagen, TRLABV3 es el nombre de host interno y ADFSSvc es la cuenta de servicio:

    Contraer esta imagenAmpliar esta imagen
    Captura de pantalla del AD FS 2.0 Windows propiedades del servicio, que muestra la cuenta de dominio

  3. Configurar AD FS 2.0 server acepte los encabezados de solicitud más de 40 kilobytes (KB). Tendrá que hacerlo cuando el usuario es miembro de muchos grupos de usuario de los servicios de dominio de Active Directory (AD DS). Cuando un usuario es miembro de muchos grupos de AD DS, se aumenta el tamaño del token de autenticación Kerberos para el usuario.

    La solicitud HTTP que se envía al usuario en el servidor de servicios de Internet Information Server (IIS) contiene el token de Kerberos en el encabezado WWW-Authenticate. Por lo tanto, se aumenta el tamaño del encabezado como el número de grupos aumenta. Si el encabezado HTTP o tamaño de paquete aumenta más allá de los límites configurados en IIS, IIS puede rechazar la solicitud y enviar un error como respuesta. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
    2020943 Error "HTTP 400 - Solicitud incorrecta (encabezado de solicitud demasiado larga)" en los servicios de Internet Information Server (IIS)
    Para evitar este problema, utilice uno de los métodos siguientes:
    1. Reducir el número de grupos de usuarios de AD DS que el usuario es miembro de.
    2. Cambiar el MaxFieldLength y los valores de registro MaxRequestBytes en el servidor que ejecuta IIS para que los encabezados de la solicitud del usuario no se consideran demasiado largos. Estos dos valores se encuentran bajo la siguiente subclave del registro:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Si ha implementado varios AD FS 2.0 servidores en una granja de servidores y pídales que carga equilibrada, el cliente Lync 2013 puede dirigir la solicitud a AD FS 2.0 server. Agregar una entrada para AD FS 2.0 server al archivo Hosts en el cliente que señala directamente a la de AD FS 2.0 server pasará por alto la dirección IP virtual del equilibrador de carga.
  5. Si las soluciones anteriores no resuelven el problema y degradar a Lync 2010 no es una opción, siga estos pasos para solucionar el problema.

    Nota Si no existe una cuenta de administrador local en el equipo, debes crear una para que funcione esta solución.
    1. Busque el archivo ejecutable en el Explorador de Windows de 2013 Lync:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Mantenga presionada la tecla MAYÚS y, a continuación, haga clic en Lync.exe.
    3. Haga clic en Ejecutar como usuario diferente.
    4. Especifique las credenciales de una cuenta de administrador local en el equipo y, a continuación, presione ENTRAR.

Obtener más información

Normalmente, este problema se produce debido a un error de configuración de AD FS 2.0. Otros servicios como Microsoft Exchange Online pueden funcionar correctamente a pesar de esta configuración. Las causas habituales son los siguientes:
  • El principal de servicio (SPN) no está configurado correctamente. Las razones para ello son los siguientes:
    • Error en el registro SPN durante la configuración inicial del conjunto de servidores.
    • Se cambió el nombre de servicio de federación.
    • Se cambió la cuenta de servicio.
  • AD FS 2.0 service no se está ejecutando bajo la cuenta de servicio correcto.
  • El encabezado de la solicitud de 2013 Lync es rechazado por IIS y la de AD FS 2.0 server porque el encabezado es demasiado grande. Este problema puede ocurrir porque la cuenta de usuario es miembro de muchos grupos de usuario de AD DS.
  • AD FS 2.0 servidores es equilibrada la carga y la solicitud no está llegando a AD FS 2.0 server.
Para obtener más ayuda con la implementación de AD FS 2.0 para su uso con SSO en Office 365, consulte el siguiente sitio Web de TechNet:
Planear e implementar AD FS para su uso con el inicio de sesión único
En el caso cuando el usuario es miembro de muchos grupos de AD DS, la entrada siguiente aparece en los registros de seguimiento Asistente Microsoft Online Services inicio de sesión (estos registros están situados normalmente en C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

¿Sigue necesitando ayuda? Vaya a la Comunidad de Office 365 .

Propiedades

Id. de artículo: 2839539 - Última revisión: jueves, 26 de junio de 2014 - Versión: 10.0
La información de este artículo se refiere a:
  • Microsoft Lync Online
Palabras clave: 
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2839539

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com