Entreprise signe utilisateurs unique dans Office 365 Impossible de se connecter à Lync Online à partir d'à l'intérieur de leur réseau d'entreprise

Traductions disponibles Traductions disponibles
Numéro d'article: 2839539 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

PROBLÈME

Envisagez le scénario suivant :
  • Un Microsoft Office 365 pour entreprises, Microsoft Office 365 pour l'éducation ou avec Microsoft Office 365 pour client des entreprises de taille moyenne configure session unique (SSO) dans les Services de fédération Active Directory (Active Directory Federation Services) 2.0.
  • Les utilisateurs fédérés qui se connectent à partir de l'intérieur de leur réseau d'entreprise ne peut pas vous connecter à Lync Online de Lync 2013, et ils reçoivent le message d'erreur suivant :
    Impossible de se connecter car le serveur est temporairement indisponible.
Remarque : Ce problème s'applique uniquement aux utilisateurs de SSO d'entreprise qui s'inscrivent à Microsoft Lync Online à l'aide de Microsoft Lync 2013 à partir de l'intérieur de leur réseau d'entreprise. Le problème ne s'applique pas aux utilisateurs de Microsoft Lync 2010, les utilisateurs qui ne figurent pas dans Lync Online ou les utilisateurs qui se connectent depuis l'extérieur de leur réseau d'entreprise.

SOLUTION

Important : Suivez attentivement les étapes décrites dans cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de le modifier, sauvegarder le Registre pour la restauration en cas de problèmes.

Dans la mesure où il existe plusieurs causes possibles, il est préférable à utiliser par le biais de toutes les solutions suivantes, puis vérifier la configuration.
  1. Lorsque vous déployez un AD FS 2.0 fédération de serveurs, vous devez spécifier un compte de service basé sur le domaine qui a besoin d'un SPN inscrit pour activer l'authentification Kerberos fonctionne correctement. Pour plus d'informations, consultez le wiki TechNet suivant :
    AD FS 2.0 : Comment faire pour configurer le SPN (nom principal de service) pour le compte de Service
    Les raisons qu'il se peut que vous deviez définir le SPN manuellement sur le compte de service 2.0 AD FS sont comme suit :
    • Enregistrement du nom principal de service a échoué lors de la configuration initiale de la batterie de serveurs.
    • Le nom du Service de fédération a été modifié.
    • Le compte de service a été modifié.
  2. Veillez à ce que l'AD FS 2.0 service s'exécute sous le compte de service basé sur le domaine qui a été mentionné à l'étape précédente. Par exemple, dans l'image ci-dessous, TRLABV3 est le nom d'hôte interne et ADFSSvc est le compte de service :

    Réduire cette imageAgrandir cette image
    Capture d'écran de AD FS 2.0 Windows Service propriétés, en affichant le compte de domaine

  3. Configurer l'AD FS 2.0 server pour accepter les en-têtes de demande qui sont supérieures à 40 kilo-octets (Ko). Il se peut que vous deviez faire lorsque l'utilisateur est membre de plusieurs groupes d'utilisateurs de Services de domaine Active Directory (AD DS). Lorsqu'un utilisateur est membre de plusieurs groupes AD DS, la taille du jeton d'authentification Kerberos pour l'utilisateur augmente.

    La demande HTTP que l'utilisateur envoie au serveur Internet Information Services (IIS) contient le jeton Kerberos dans l'en-tête WWW-Authenticate. Par conséquent, la taille de l'en-tête augmente à mesure que le nombre de groupes augmente. Si l'en-tête HTTP ou la taille de paquet augmente au-delà des limites qui sont configurés dans IIS, IIS peut rejeter la demande et envoyer une erreur comme réponse. Pour plus d'informations, consultez l'article suivant de la Base de connaissances Microsoft :
    2020943 Erreur « HTTP 400 - Requête incorrecte (demande en-tête trop long) » dans Internet Information Services (IIS)
    Pour contourner ce problème, appliquez l'une des méthodes suivantes :
    1. Réduire le nombre de groupes d'utilisateurs AD DS que l'utilisateur est membre.
    2. Modifier le MaxFieldLength et les valeurs de Registre MaxRequestBytes sur le serveur qui exécute IIS afin que les en-têtes de demande de l'utilisateur ne sont pas considérées comme trop longs. Ces deux valeurs de Registre se trouvent sous la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Si vous avez déployé plusieurs AD FS 2.0 serveurs dans une batterie de serveurs et les ont à charge équilibrée, le client Lync 2013 peut être impossible de diriger la demande vers la publicité ADFS 2.0 server. Ajout d'une entrée pour l'AD FS 2.0 server au fichier Hosts sur le client qui pointe directement vers l'ADFS 2.0 server ignore l'adresse IP virtuelle de l'équilibreur de charge.
  5. Si les solutions précédentes n'a pas résolu le problème et mise à niveau vers Lync 2010 n'est pas une option, procédez comme suit pour contourner le problème.

    Remarque : Si un compte d'administrateur local n'existe pas déjà sur l'ordinateur, vous devrez en créer un pour cette solution puisse fonctionner.
    1. Recherchez l'exécutable dans l'Explorateur Windows Lync 2013 :
       C:\Program Files\Microsoft Office 15\root\office15
    2. Maintenez la touche MAJ enfoncée, puis cliquez sur Lync.exe.
    3. Cliquez sur Exécuter en tant qu'utilisateur différent.
    4. Entrez les informations d'identification pour un compte d'administrateur local sur l'ordinateur et appuyez sur ENTRÉE.

PLUS D'INFORMATIONS

Ce problème se produit généralement en raison d'une erreur de configuration dans AD FS 2.0. Autres services tels que Microsoft Exchange Online peuvent fonctionner correctement malgré cette configuration. Causes habituelles sont répertoriés ici :
  • Le nom principal de service (SPN) n'est pas configuré correctement. Les raisons sont les suivantes :
    • Enregistrement du nom principal de service a échoué lors de la configuration initiale de la batterie de serveurs.
    • Le nom du Service de fédération a été modifié.
    • Le compte de service a été modifié.
  • AD FS 2.0 service n'est pas en cours d'exécution sous le compte service correct.
  • L'en-tête de demande de Lync 2013 est rejeté par IIS et l'ADFS 2.0 server parce que l'en-tête est trop grande. Ce problème peut se produire car le compte d'utilisateur est membre de trop nombreux groupes d'utilisateurs AD DS.
  • La batterie de serveurs ADFS 2.0 server est l'équilibrage de la charge et la demande n'est pas atteindre la publicité ADFS 2.0 server.
Pour obtenir de l'aide au déploiement AD FS 2.0 pour une utilisation avec authentification unique dans Office 365, voir le site Web TechNet suivant :
Planifier et déployer ADFS pour une utilisation avec l'ouverture de session unique
Dans le cas lorsque l'utilisateur est membre de trop nombreux groupes AD DS, l'entrée suivante est entrée dans les journaux de suivi de Microsoft Online Services Assistant de connexion (ces journaux est généralement situés dans C:\ MSOSSPTrace) :
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Besoin d'aide ? Accédez à la Communauté Office 365 (site Web).

Propriétés

Numéro d'article: 2839539 - Dernière mise à jour: jeudi 26 juin 2014 - Version: 10.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Lync Online
Mots-clés : 
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 2839539
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com