Klienci biznesowi pojedynczy znak na powinni w usłudze Office 365 nie można zalogować Lync Online z wewnątrz sieci firmowej

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 2839539 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

PROBLEM

Rozważmy następujący scenariusz:
  • Usługi Microsoft Office 365 dla przedsiębiorstw, usługi Microsoft Office 365 dla edukacji i usługi Microsoft Office 365 dla średnich firm odbiorcy ustawia rejestracji jednokrotnej (SSO) w programie Active Directory Federation Services (AD FS) 2.0.
  • Użytkownikom federacyjnym, którzy łączą się z wewnątrz sieci firmowej nie można zalogować Lync Online z Lync 2013, a oni otrzymać następujący komunikat o błędzie:
    Nie można zarejestrować, ponieważ serwer jest tymczasowo niedostępny.
Uwaga Ten problem dotyczy tylko użytkowników usługi rejestracji Jednokrotnej w przedsiębiorstwie, którzy zarejestrować się w programie Microsoft Lync Online przy użyciu programu Microsoft Lync 2013 od wewnątrz sieci firmowej. Problem nie dotyczy użytkowników na Microsoft Lync 2010, użytkownicy, którzy nie są w Lync Online lub użytkowników, którzy łączą się z zewnątrz sieci firmowej.

ROZWIĄZANIE

Ważne Uważnie należy wykonać kroki opisane w tej sekcji. Niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Przed przystąpieniem do modyfikacji, wykonać kopię zapasową rejestru w celu przywrócenia w przypadku, gdy występują problemy.

Ponieważ istnieje wiele możliwych przyczyn, najlepiej do pracy ze względu na następujące rozwiązania, a następnie sprawdź konfigurację.
  1. Przy wdrażaniu AD farmy serwer federacyjny FS 2.0, należy określić konto usługi opartych na domenie, wymagającego zarejestrowaną nazwę SPN, aby włączyć uwierzytelnianie Kerberos działało poprawnie. Aby uzyskać więcej informacji zobacz następujące TechNet wiki:
    Program AD FS 2.0: How to Configure SPN (servicePrincipalName) dla konta usługi
    Przyczyny, że może trzeba ręcznie ustawić nazwy SPN na rachunek 2.0 z programu AD FS są następujące:
    • Rejestracja nazwy SPN nie powiodła się podczas początkowej konfiguracji farmy.
    • Zmieniono nazwę usługi federacyjnej.
    • Konto usługi zostało zmienione.
  2. Upewnij się, że AD FS 2.0 jest uruchomiona na koncie usługi opartych na domenie, która została wymieniona w poprzednim kroku. Na przykład na poniższym obrazie TRLABV3 jest nazwą hosta wewnętrznego i ADFSSvc jest konto usługi:

    Zwiń ten obrazekRozwiń ten obrazek
    Ekran strzał AD FS 2.0 systemu Windows właściwości usługi wyświetlono opartych na domenie konta

  3. Skonfiguruj AD FS 2.0 serwera do akceptowania nagłówków żądania, które są większe niż 40 kilobajtów (KB). Należy to zrobić, jeśli użytkownik jest członkiem wielu grup użytkowników Usługi domenowe w usłudze Active Directory (AD DS). Gdy użytkownik jest członkiem wielu grup AD DS, zwiększa rozmiar token uwierzytelniania Kerberos dla użytkownika.

    Żądania HTTP, które użytkownik wysyła do serwera Internet Information Services (IIS) zawiera tokenu Kerberos w nagłówka WWW-Authenticate. W związku z tym zwiększa się rozmiar nagłówka jako liczba wzrasta grup. Jeśli nagłówek HTTP lub rozmiar pakietu wzrasta poza granicami, które są skonfigurowane w usługach IIS, usługi IIS może odrzucić wniosek i wysłać błąd jako odpowiedź. Aby uzyskać więcej informacji zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    2020943 Błąd "HTTP 400 - Złe żądanie (żądanie nagłówka za długi)" w programie Internet Information Services (IIS)
    Aby obejść ten problem, użyj jednej z następujących metod:
    1. Zmniejsz liczbę grup użytkowników AD DS, których użytkownik jest członkiem.
    2. Zmień wartości rejestru MaxRequestBytes na serwerze, na którym działa program IIS, tak aby nagłówki żądania użytkownika nie są uważane za zbyt długo i MaxFieldLength. Wartości te dwa rejestru znajdują się w następującym podkluczu rejestru:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Jeśli już wdrożono wiele AD FS 2.0 serwerów w farmie i ich objęty równoważeniem obciążenia, klient Lync 2013 może być nie można skierować żądanie do programu AD FS 2.0 serwera. Dodanie wpisu dla AD FS 2.0 serwera do pliku Hosts na komputerze klienckim, który wskazuje bezpośrednio do programu AD FS 2.0 serwer będzie obwodnica wirtualnych IP usługi równoważenia obciążenia.
  5. Jeśli opcja obniżenia do programu Lync 2010 nie poprzednie rozwiązania nie rozwiąże problemu, wykonaj następujące kroki w celu obejścia tego problemu.

    Uwaga Jeśli konto administratora lokalnego nie istnieje na tym komputerze, musisz utworzyć dla tego rozwiązania do pracy.
    1. Przejdź do 2013 Lync wykonywalne w Eksploratorze Windows:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Naciśnij i przytrzymaj klawisz Shift, a następnie kliknij prawym przyciskiem myszy Lync.exe.
    3. Kliknij przycisk Uruchom jako inny użytkownik.
    4. Wprowadź poświadczenia dla konta administratora lokalnego na komputerze, a następnie naciśnij klawisz Enter.

WIĘCEJ INFORMACJI

Ten problem zwykle występuje z powodu złej konfiguracji w programie AD FS 2.0. Inne usługi Microsoft Exchange online może działać poprawnie, pomimo tej konfiguracji. Częste przyczyny są tutaj wymienione:
  • ServicePrincipalName (SPN) nie jest poprawnie skonfigurowany. Przyczyny tego są następujące:
    • Rejestracja nazwy SPN nie powiodła się podczas początkowej konfiguracji farmy.
    • Zmieniono nazwę usługi federacyjnej.
    • Konto usługi zostało zmienione.
  • AD FS 2.0 usługa nie jest uruchomiona w ramach konta poprawna usługa.
  • Nagłówek z Lync 2013 jest odrzucony przez usługi IIS i program AD FS 2.0 serwera, ponieważ nagłówek jest za duży. Ten problem może wystąpić, ponieważ konto użytkownika jest członkiem zbyt wielu grup użytkowników AD DS.
  • Program AD FS 2.0 farmy jest równoważone, a żądanie nie jest osiągnięcie AD FS 2.0 serwera.
Aby uzyskać pomoc z wdrażania programu AD FS 2.0 do użytku z usługi rejestracji Jednokrotnej w usłudze Office 365 zobacz następującą witrynę sieci Web TechNet:
Planowania i wdrażania programu AD FS do użytku z rejestracji jednokrotnej
W przypadku gdy użytkownik jest członkiem zbyt wielu grup AD DS, następujący wpis wprowadza się w Microsoft Online Services Asystenta logowania w witrynie dzienniki śledzenia (te dzienniki są zazwyczaj znajduje się w C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Nadal potrzebujesz pomocy? Przejdź do Społeczności użytkowników usługi Office 365 witryny sieci Web.

Właściwości

Numer ID artykułu: 2839539 - Ostatnia weryfikacja: 26 czerwca 2014 - Weryfikacja: 10.0
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Lync Online
Słowa kluczowe: 
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtpl
Przetłumaczone maszynowo
WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.
Anglojęzyczna wersja tego artykułu to: 2839539

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com