Problem
Tenk deg følgende:
-
En Office-365 for bedrifter, Office 365 for utdanning eller Office 365 Business kunden konfigurerer enkel pålogging (SSO) i Active Directory Federation Services (AD FS) 2,0.
-
Federated brukere som kobler fra i sitt firmanettverk kan ikke logge på Skype for Business Online (tidligere Lync Online) fra Lync 2013, og de får følgende feilmelding:
Kan ikke logge på fordi serveren er midlertidig utilgjengelig.
Merk Dette problemet gjelder bare for Enterprise SSO-brukere som logger på Skype for Business Online ved hjelp av Lync 2013 fra innsiden av firmanettverket. Problemet gjelder ikke for brukere på Microsoft Lync 2010, brukere som ikke er på Skype for business online eller brukere som kobler fra utenfor sitt firmanettverk.
Løsning
Viktig Følg trinnene i dette avsnittet nøye. Det kan oppstå alvorlige problemer hvis du endrer registret på feil måte. Før du endrer den, sikkerhetskopierer du registret for gjenoppretting i tilfelle det oppstår problemer. Fordi det er mange mulige årsaker, er det best å arbeide deg gjennom alle de følgende løsningene, og deretter kontrollerer du konfigurasjonen.
-
Når du distribuerer en AD FS 2,0 Federation serverfarm, må du angi en domenebasert tjenestekonto som trenger en registrert SPN for å aktivere Kerberos-godkjenning skal fungere riktig. Hvis du vil ha mer informasjon, kan du se følgende TechNet wiki:
AD FS 2,0: Slik konfigurerer du SPN (servicePrincipalName) for tjenestekontoenÅrsakene til at du kanskje må angi SPN manuelt på AD FS 2,0 tjenestekontoen er som følger:
-
SPN-registrering mislyktes under den første konfigurasjonen av farmen.
-
Federation service-navnet ble endret.
-
Tjenestekontoen ble endret.
-
-
Kontroller at AD FS 2,0-tjenesten kjører underdomene BAS ert tjenestekontoen som ble nevnt i forrige trinn. I bildet nedenfor er for eksempel TRLABV3 det interne vertsnavnet, og ADFSSvc er tjenestekontoen:
-
Konfigurere AD FS 2,0-serveren til å godta forespørselshoder som er større enn 40 kilobyte (KB). Du må kanskje gjøre dette når brukeren er medlem av mange brukergrupper for Active Directory Domain Services (AD DS). Når en bruker er medlem av mange AD DS-grupper, øker størrelsen på tokenet for Kerberos-godkjenning for brukeren. HTTP-forespørselen som brukeren sender til Internet Information Services (IIS)-serveren inneholder Kerberos-tokenet i WWW-Godkjenn-hodet. Derfor øker overskrifts størrelsen etter hvert som antall grupper øker. Hvis HTTP-hodet eller pakkestørrelsen øker utover grensene som er konfigurert i IIS, kan IIS avvise forespørselen og sende en feil som svar. Hvis du vil ha mer informasjon, kan du se følgende artikkel i Microsoft Knowledge Base:
2020943 "http 400-Ugyldig forespørsel (forespørselshodet er for langt)" feil i Internet Information Services (IIS)Følg en av disse fremgangsmåtene for å omgå dette problemet:
-
Reduser antallet AD DS-brukergrupper som brukeren er medlem av.
-
Endre registerverdiene MaxFieldLength og MaxRequestBytes på serveren som kjører IIS, slik at brukerens forespørselshoder ikke regnes for lenge. Disse to registerverdiene ligger under følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Hvis du har distribuert flere AD FS 2,0 servere i en Farm og få dem belastningsfordelt, Lync 2013-klienten kan ikke direkte forespørselen til AD FS-2,0-serveren. Legge til en oppføring for AD FS 2,0-serveren til Hosts-filen på klienten som peker direkte til AD FS 2,0-serveren vil omgå virtuelle IP av belastningsfordeling.
-
Hvis de foregående løsningene ikke løste problemet og nedgradering til Lync 2010 ikke er et alternativ, følger du denne fremgangsmåten for å omgå problemet. Merk Hvis det ikke allerede finnes en lokal administratorkonto på datamaskinen, må du opprette en for at denne løsningen skal fungere.
-
Bla til den kjørbare filen Lync 2013 i Windows Utforsker:
C:\Program Files\Microsoft Office 15\root\office15
-
Hold nede SKIFT-tasten, og høyreklikk deretter Lync. exe.
-
Klikk Kjør som en annen bruker.
-
Skriv inn legitimasjonen for en lokal administratorkonto på datamaskinen, og trykk deretter ENTER.
-
MER INFORMASJON
Dette problemet oppstår vanligvis på grunn av en feil konfigurasjon i AD FS 2,0. Andre tjenester, for eksempel Microsoft Exchange Online, fungerer kanskje på riktig måte til tross for denne konfigurasjonen. De vanlige årsakene er oppført her:
-
ServicePrincipalName (SPN) er ikke riktig konfigurert. Årsakene til dette inkluderer følgende:
-
SPN-registrering mislyktes under den første konfigurasjonen av farmen.
-
Federation service-navnet ble endret.
-
Tjenestekontoen ble endret.
-
-
AD FS 2,0-tjenesten kjører ikke under den riktige tjenestekontoen.
-
Forespørselshodet fra Lync 2013 er avvist av IIS og AD FS 2,0-serveren fordi hodet er for stort. Dette problemet kan oppstå fordi brukerkontoen er medlem av for mange AD DS brukergrupper.
-
AD FS 2,0 serverfarmen er belastningsfordelt, og forespørselen ikke når AD FS 2,0-serveren.
Hvis du vil ha mer hjelp med distribusjon av AD FS 2,0 for bruk med SSO i Office 365, kan du se følgende TechNet-webomr åde:
Planlegge og distribuere AD FS for bruk med enkel påloggingI tilfelle når brukeren er medlem av for mange AD DS-grupper, angis følgende oppføring i sporingsloggene for Microsoft Online Services Sign-in Assistant (disse loggene er vanligvis plassert i C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Trenger du fremdeles hjelp? Gå til Microsoft Community.
