Enterprise single sign-on-gebruikers in Office 365 kunnen aanmelden op Lync Online uit binnen het bedrijfsnetwerk

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 2839539 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

PROBLEEM

Overweeg het volgende scenario:
  • Een Microsoft Office 365 voor ondernemingen, Microsoft Office 365 voor onderwijs of Microsoft Office 365 voor middelgrote zakelijke klant stelt eenmalige aanmelding (SSO) in Active Directory Federation Services (AD FS) 2.0.
  • Federatieve gebruikers die verbinding vanaf binnen het bedrijfsnetwerk maken kunnen aanmelden op Lync Online van Lync 2013 en zij ontvangen het volgende foutbericht weergegeven:
    Kan niet aanmelden omdat de server tijdelijk niet beschikbaar is.
Opmerking Dit probleem geldt alleen voor Enterprise SSO-gebruikers die zich aanmelden bij Microsoft Lync Online met behulp van Microsoft Lync 2013 uit binnen het bedrijfsnetwerk. Het probleem is niet van toepassing voor gebruikers van Microsoft Lync 2010, die niet in Lync Online, of gebruikers die verbinding van buiten het bedrijfsnetwerk maken.

OPLOSSING

Belangrijk Volg de stappen in deze sectie zorgvuldig door. Als u het register onjuist bewerkt, kunnen er ernstige problemen optreden. Voordat u deze wijzigt, back-up van het register terugzetten in het geval er zich problemen voordoen.

Omdat er veel mogelijke oorzaken zijn, is het beste werken via de volgende oplossingen en controleer of de configuratie.
  1. Bij het implementeren van een AD FS 2.0 Federation-Server-farm, moet u een serviceaccount op basis van het domein waarvoor u een geregistreerde SPN inschakelen van Kerberos-verificatie te laten functioneren. Zie voor meer informatie de volgende TechNet-wiki:
    AD FS 2.0: Hoe u de SPN (servicePrincipalName) voor de Service-Account configureren
    De redenen dat u mogelijk handmatig de SPN instellen op de serviceaccount voor AD FS 2.0 zijn als volgt:
    • SPN-registratie mislukt tijdens de eerste configuratie van de farm.
    • De naam van de Federation-Service is gewijzigd.
    • De serviceaccount is gewijzigd.
  2. Zorg ervoor dat de AD FS-2.0-service wordt uitgevoerd onder de serviceaccount op basis van een domein dat is vermeld in de vorige stap. Bijvoorbeeld in de volgende afbeelding is de interne naam van TRLABV3 en ADFSSvc is de serviceaccount:

    Deze afbeelding samenvouwenDeze afbeelding uitklappen
    Schermafdruk van het AD FS 2.0 Windows Service eigenschappen, met de op een domein gebaseerde account

  3. Configureer de AD FS-2.0-server accepteert aanvraagheaders die groter dan 40 kB (Kilobyte zijn). U moet dit doen wanneer de gebruiker lid van vele groepen Active Directory Domain Services (AD DS is). Wanneer een gebruiker lid is van vele groepen voor AD DS, neemt de grootte van het token van de Kerberos-verificatie voor de gebruiker.

    De HTTP-aanvraag die door de gebruiker worden verzonden naar de server met Internet Information Services (IIS) bevat het Kerberos-token in de koptekst van de WWW-verificatie. Daarom de kop wordt groter naarmate het aantal groepen toeneemt. Als de HTTP-header of pakketgrootte is hoger dan de grenzen die zijn geconfigureerd in IIS, wordt IIS afwijzen van de aanvraag en wordt een fout als het antwoord verzenden. Zie voor meer informatie het volgende artikel in de Microsoft Knowledge Base:
    2020943 Fout 'HTTP 400 - Ongeldig verzoek (Request Header te lang)' in Internet Information Services (IIS)
    Om dit probleem te omzeilen, gebruikt u een van de volgende methoden:
    1. Verminder het aantal AD DS groepen waarvan de gebruiker lid van is.
    2. Wijzig de MaxFieldLength en de registerwaarden van MaxRequestBytes op de server waarop IIS wordt uitgevoerd, zodat de aanvraagheaders van de gebruiker worden niet beschouwd als te lang. Deze twee registerwaarden bevinden zich onder de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Als u meerdere AD hebt geïmplementeerd 2.0 FS-servers in een farm en ze laden evenwichtige, de Lync 2013-client mogelijk niet de aanvraag naar de AD FS-2.0-server. Een vermelding toevoegen voor de AD FS 2.0-server met het bestand Hosts op de client die direct naar de AD FS-server 2.0 verwijst wordt het virtuele IP van de taakverdeling overslaan.
  5. Als de vorige oplossingen het probleem niet oplossen en downgraden naar Lync 2010 geen optie, volg deze stappen om het probleem te omzeilen.

    Opmerking Als een lokale administrator-account op de computer nog niet bestaat, hebt u voor het maken van een voor deze oplossing werkt.
    1. Ga naar de Lync 2013 uitvoerbaar in Windows Verkenner:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Houd Shift ingedrukt en klik met de rechtermuisknop op Lync.exe.
    3. Klik op uitvoeren als andere gebruiker.
    4. Voer de referenties voor de lokale administrator-account op de computer en druk op Enter.

MEER INFORMATIE

Dit probleem treedt meestal op vanwege een onjuiste configuratie van AD FS 2.0. Andere services, zoals Microsoft Exchange Online mogelijk goed ondanks deze configuratie. Gebruikelijke oorzaken worden hier weergegeven:
  • De ServicePrincipalName (SPN) is niet juist geconfigureerd. De redenen hiervoor zijn:
    • SPN-registratie mislukt tijdens de eerste configuratie van de farm.
    • De naam van de Federation-Service is gewijzigd.
    • De serviceaccount is gewijzigd.
  • De AD FS-2.0-service niet wordt uitgevoerd onder de serviceaccount van de juiste.
  • De verzoek-header van Lync 2013 is geweigerd door IIS en de AD FS-server 2.0 omdat de kop te groot is. Dit probleem kan optreden omdat de gebruikersaccount lid is van te veel AD DS-gebruikersgroepen.
  • De AD FS-2.0 server-farm is verdeeld en de aanvraag is niet bereiken van de AD FS-2.0-server.
Zie de volgende TechNet-website voor meer hulp bij het implementeren van AD FS 2.0 voor gebruik met eenmalige aanmelding in Office 365:
Plannen en implementeren van AD FS voor gebruik met eenmalige aanmelding
In het geval dat wanneer de gebruiker een lid van te veel AD DS-groep, de volgende vermelding is ingevoerd in de Microsoft Online Services Sign-In Assistant traceerlogboeken (deze logboekbestanden bevinden zich meestal in C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Nog steeds hulp nodig? Ga naar de Office 365-Community .

Eigenschappen

Artikel ID: 2839539 - Laatste beoordeling: donderdag 26 juni 2014 - Wijziging: 10.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Lync Online
Trefwoorden: 
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 2839539

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com