Único sessão utilizadores da empresa no Office 365 não é possível iniciar sessão no Lync Online a partir dentro de sua rede empresarial

Traduções de Artigos Traduções de Artigos
Artigo: 2839539 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

PROBLEMA

Considere o seguinte cenário:
  • Um Microsoft Office 365 para empresas, o Microsoft Office 365 para educação ou o Microsoft Office 365 para cliente da empresa de média dimensão define até o início de sessão único (SSO) nos serviços de Federação do Active Directory (AD FS) 2.0.
  • Os utilizadores federados que liguem a partir no interior da rede da empresa, não é possível iniciar sessão no Lync Online partir Lync 2013 e recebem a seguinte mensagem de erro:
    Não é possível iniciar sessão porque o servidor está temporariamente indisponível.
Nota Este problema só se aplica a utilizadores de SSO da empresa que iniciar sessão no Microsoft Lync Online utilizando o Microsoft Lync 2013 de dentro de sua rede empresarial. O problema não se aplica a utilizadores no Microsoft Lync 2010, os utilizadores que não estão no Lync Online ou utilizadores que liguem a partir fora da rede da empresa.

SOLUÇÃO

Importante Siga os passos nesta secção cuidadosamente. Poderão ocorrer problemas graves se modificar o registo incorrectamente. Antes de o modificar, criar uma cópia de segurança do registo para restauro no caso de ocorrerem problemas.

Uma vez que existem várias causas possíveis, é melhor trabalhar através de todas as soluções seguintes e, em seguida, verifique a configuração.
  1. Quando implementar um anúncio farm de servidores de Federação FS 2.0, tem de especificar uma conta de serviço baseado no domínio que necessita de um SPN registado para activar a autenticação Kerberos funcionar correctamente. Para obter mais informações, consulte o TechNet wiki seguinte:
    O AD FS 2.0: Como configurar o SPN (servicePrincipalName) para a conta de serviço
    As razões que poderá ter de definir o SPN manualmente a conta de serviço 2.0 AD FS são os seguintes:
    • O registo SPN falhou durante a configuração inicial do farm.
    • O nome do serviço de Federação foi alterado.
    • A conta de serviço foi alterada.
  2. Certifique-se de que o AD FS 2.0 serviço está em execução sob a conta de serviço baseado no domínio que foi mencionada no passo anterior. Por exemplo, na imagem seguinte, TRLABV3 é o nome de anfitrião interno e ADFSSvc é a conta de serviço:

    Reduzir esta imagemExpandir esta imagem
    Ecrã captura do suporte de AD FS 2.0 Windows propriedades do serviço, mostrando a conta baseada no domínio

  3. Configurar o AD FS 2.0 servidor para aceitar cabeçalhos de pedidos que são maiores do que 40 quilobytes (KB). Poderá ter de efectuar este procedimento quando o utilizador é membro do grupos de utilizador de serviços de domínio do Active Directory (AD DS). Quando um utilizador for membro de muitos grupos do AD DS, aumenta o tamanho do token de autenticação Kerberos para o utilizador.

    O pedido HTTP que o utilizador envia para o servidor de serviços de informação Internet (IIS) contém o token Kerberos no cabeçalho WWW-Authenticate. Por conseguinte, o tamanho de cabeçalho aumenta como o número de grupos aumenta. Se o cabeçalho de HTTP ou tamanho de pacote aumenta para além dos limites que estão configurados no IIS, o IIS pode rejeitar o pedido e enviar um erro como a resposta. Para obter mais informações, consulte o seguinte artigo na Microsoft Knowledge Base:
    2020943 Erro "HTTP 400 ? pedido incorrecto (solicitar cabeçalho demasiado longo)" no Internet Information Services (IIS)
    Para contornar este problema, utilize um dos seguintes métodos:
    1. Diminua o número de grupos de utilizadores do AD DS que o utilizador seja membro de.
    2. Altere a MaxFieldLength e os valores de registo MaxRequestBytes no servidor que está a executar o IIS para que os cabeçalhos de pedido do utilizador não são considerados demasiado longos. Estes dois valores de registo estão localizados na seguinte subchave de registo:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Se tiver implementado vários AD FS 2.0 servidores num farm e tê-los a carregar equilibrada, o cliente Lync 2013 poderá não ser possível direccionar o pedido para o AD FS 2.0 server. Adicionar uma entrada para o AD FS 2.0 server ao ficheiro Hosts do cliente que aponta directamente para o AD FS 2.0 server irá ignorar o IP virtual do Balanceador de carga.
  5. Se as soluções anteriores não resolver o problema e desactualizar para o Lync 2010 não é uma opção, siga estes passos para contornar o problema.

    Nota Se ainda não existir uma conta de administrador local no computador, terá de criar um para esta solução trabalhar.
    1. Navegue para o Lync de 2013 executável no Explorador do Windows:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Mantenha premida a tecla Shift e, em seguida, clique em Lync.exe.
    3. Clique em Executar como utilizador diferente.
    4. Introduzir as credenciais para uma conta de administrador local no computador e, em seguida, prima Enter.

MAIS INFORMAÇÕES

Este problema normalmente ocorre devido a uma configuração incorrecta no AD FS 2.0. Outros serviços como o Microsoft Exchange Online poderão funcionar correctamente, não obstante esta configuração. As causas habituais são listadas aqui:
  • O ServicePrincipalName (SPN) não está configurado correctamente. Os motivos desta incluem o seguinte:
    • O registo SPN falhou durante a configuração inicial do farm.
    • O nome do serviço de Federação foi alterado.
    • A conta de serviço foi alterada.
  • O AD FS 2.0 service não está em execução sob a conta de serviço correcto.
  • O cabeçalho de pedido de Lync 2013 é rejeitado pelo IIS e o AD FS 2.0 server porque o cabeçalho é demasiado grande. Este problema pode ocorrer porque a conta de utilizador é membro de demasiados grupos de utilizador do AD DS.
  • O farm de servidores 2.0 de AD FS é balanceada de carga e o pedido não está a atingir o AD FS 2.0 server.
Para obter mais ajuda com a implementação do AD FS 2.0 para utilização com SSO no Office 365, consulte o seguinte Web site da TechNet:
Planear e implementar o AD FS para utilização com o serviço single sign-on
No caso de quando o utilizador é membro de demasiados grupos do AD DS, a seguinte entrada é introduzida nos registos de rastreio assistente Microsoft Online Services início de sessão (estes registos estão normalmente localizados em C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 Web site.

Propriedades

Artigo: 2839539 - Última revisão: 26 de junho de 2014 - Revisão: 10.0
A informação contida neste artigo aplica-se a:
  • Microsoft Lync Online
Palavras-chave: 
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2839539

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com