Enterprise utenti single sign-on in Office 365 Impossibile accedere a Lync Online all'interno della rete aziendale

Traduzione articoli Traduzione articoli
Identificativo articolo: 2839539 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

PROBLEMA

Si consideri lo scenario seguente:
  • Un Microsoft Office 365 per le aziende, Microsoft Office 365 per l'istruzione o Microsoft Office 365 per clienti aziendali di medie dimensioni Configura servizio single sign-on (SSO) in Active Directory Federation Services (ADFS) 2.0.
  • Gli utenti federati che si connettono da all'interno della rete aziendale non possono accedere a Lync Online da Lync 2013 e ricevere il seguente messaggio di errore:
    Impossibile accedere perchÚ il server Ŕ temporaneamente non disponibile.
Nota. Questo problema si applica solo agli utenti di Enterprise SSO che accedere a Microsoft Lync Online utilizzando Microsoft Lync 2013 all'interno della rete aziendale. Il problema non si applica agli utenti di Microsoft Lync 2010, gli utenti che non sono in Lync Online o gli utenti che si connettono dall'esterno della rete azienda.

SOLUZIONE

Importante Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema pu˛ causare problemi gravi. Prima di modificarlo, eseguire il backup del Registro di sistema per il ripristino nel caso in cui si verifichino problemi.

PoichÚ esistono molte cause, Ŕ consigliabile lavorare attraverso le seguenti soluzioni e quindi verificare la configurazione.
  1. Quando si distribuisce un annuncio farm di Server federativo di ADFS 2.0, Ŕ necessario specificare un account di servizio basato sul dominio che Ŕ necessario un nome SPN registrato per abilitare l'autenticazione Kerberos funzionare correttamente. Per ulteriori informazioni, vedere il wiki di TechNet seguente:
    AD FS 2.0: Come configurare il SPN (servicePrincipalName) per l'Account del servizio
    I motivi che potrebbe essere necessario impostare manualmente il SPN dell'account di servizio 2.0 ADFS sono i seguenti:
    • Registrazione SPN non riuscita durante la configurazione iniziale della farm.
    • ╚ stato modificato il nome del servizio federativo.
    • L'account del servizio Ŕ stato modificato.
  2. Assicurarsi che l'annuncio di servizio ADFS 2.0 Ŕ in esecuzione con l'account di servizio basato su dominio Ŕ stato menzionato nel passaggio precedente. Nell'immagine seguente, ad esempio, TRLABV3 Ŕ il nome host interno e ADFSSvc Ŕ l'account del servizio:

    Riduci l'immagineEspandi l'immagine
    Schermata dell'annuncio FS 2.0 Windows Service proprietÓ, visualizzare l'account di dominio

  3. Configurare l'annuncio FS 2.0 server per accettare le intestazioni di richiesta sono superiore a 40 kilobyte (KB). Potrebbe essere necessario eseguire questa operazione quando l'utente Ŕ membro di numerosi gruppi di utenti di servizi di dominio Active Directory (AD DS). Quando un utente Ŕ un membro di molti gruppi AD DS, aumenta la dimensione del token di autenticazione Kerberos per l'utente.

    La richiesta HTTP che l'utente invia al server Internet Information Services (IIS) contiene il token Kerberos nell'intestazione WWW-Authenticate. Pertanto, la dimensione dell'intestazione aumenta il numero di gruppi. Se l'intestazione HTTP o le dimensioni del pacchetto aumentano oltre i limiti sono configurati in IIS, IIS pu˛ rifiutare la richiesta e inviare un errore come risposta. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
    2020943 Errore "HTTP 400 - richiesta non valida (intestazione della richiesta troppo lungo)" in Internet Information Services (IIS)
    Per ovviare a questo problema, utilizzare uno dei seguenti metodi:
    1. Ridurre il numero di gruppi di utenti di Active Directory che l'utente Ŕ un membro di.
    2. Modificare il MaxFieldLength e i valori del Registro di sistema di MaxRequestBytes sul server che esegue IIS in modo che le intestazioni di richiesta dell'utente non sono considerate troppo lunghe. Questi due valori si trovano nella seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Se Ŕ stato distribuito pi¨ AD FS 2.0 Server in una farm e farli a carico bilanciato, il client Lync 2013 potrebbe non essere possibile indirizzare la richiesta ad Active Directory server ADFS 2.0. Aggiunta di una voce per l'annuncio server ADFS 2.0 per il file Hosts sul client che punta direttamente a AD FS 2.0 server Ŕ in grado di aggirare l'IP virtuale del sistema di bilanciamento del carico.
  5. Se le soluzioni precedenti non risolvere il problema e downgrade a Lync 2010 non Ŕ un'opzione, attenersi alla seguente procedura per risolvere il problema.

    Nota. Se un account di amministratore locale non esiste giÓ nel computer, Ŕ possibile crearne uno per il funzionamento della soluzione.
    1. Individuare l'eseguibile in Esplora risorse di Lync 2013:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Tenere premuto il tasto MAIUSC e fare clic Lync.exe.
    3. Fare clic su Esegui come diverso utente.
    4. Immettere le credenziali per un account di amministratore locale sul computer e quindi premere INVIO.

ULTERIORI INFORMAZIONI

Questo problema si verifica in genere a causa di una configurazione errata AD FS 2.0. Altri servizi, quali Microsoft Exchange Online potrebbero funzionare correttamente nonostante questa configurazione. Cause comuni sono elencate di seguito:
  • ServicePrincipalName (SPN) non Ŕ configurato correttamente. I motivi seguenti:
    • Registrazione SPN non riuscita durante la configurazione iniziale della farm.
    • ╚ stato modificato il nome del servizio federativo.
    • L'account del servizio Ŕ stato modificato.
  • L'annuncio di servizio ADFS 2.0 non Ŕ in esecuzione con l'account di servizio corretta.
  • L'intestazione di richiesta da Lync 2013 Ŕ respinta da IIS e AD FS 2.0 server perchÚ l'intestazione Ŕ troppo grande. Questo problema pu˛ verificarsi perchÚ l'account utente Ŕ un membro di troppi gruppi di utenti di Active Directory.
  • La farm di server 2.0 ADFS Ŕ il bilanciamento del carico e la richiesta non viene raggiunto l'annuncio server ADFS 2.0.
Per ulteriori informazioni sulla distribuzione AD FS 2.0 per l'utilizzo con SSO in Office 365, vedere il seguente sito Web Microsoft TechNet:
Pianificazione e distribuzione di ADFS per l'utilizzo con single sign-on
Nel caso quando l'utente Ŕ un membro di troppi gruppi AD DS, la seguente voce viene immesso nei registri di traccia Assistente Microsoft Online Services Sign In (questi registri sono spesso collocati in C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Ulteriore assistenza? Vai al Community di Office 365 .

ProprietÓ

Identificativo articolo: 2839539 - Ultima modifica: giovedý 26 giugno 2014 - Revisione: 10.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Lync Online
Chiavi:á
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2839539
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com