Одним пользователям единого входа в Office 365 предприятия невозможно войти в программу Lync Online из внутри своей корпоративной сети

Переводы статьи Переводы статьи
Код статьи: 2839539 - Vizualiza?i produsele pentru care se aplic? acest articol.

Не знаете какой выпуск Office 365 вы используете? Перейдите на веб-сайт Майкрософт:
Я использую Office 365 после обновления службы?
Развернуть все | Свернуть все

ПРОБЛЕМА

Рассмотрим следующий сценарий:
  • Microsoft Office 365 для предприятий, Microsoft Office 365 для образовательных или Microsoft Office 365 для предприятий среднего размера клиента устанавливает единый вход (SSO) в службах федерации Active Directory (AD FS) 2.0.
  • Федеративных пользователей, подключающихся с внутри своей корпоративной сети невозможно войти в программу Lync Online с Lync 2013, и они получают следующее сообщение об ошибке:
    Не удается выполнить вход из-за сервер временно недоступен.
Примечание Эта проблема происходит только пользователи SSO в сети предприятия, войти в программу Microsoft Lync Online с помощью Microsoft Lync 2013 из внутри своей корпоративной сети. Проблема не применяются к пользователям Microsoft Lync 2010, пользователи, которые не на Lync Online или пользователей, подключающихся из вне корпоративной сети.

РЕШЕНИЕ

Важно Тщательно выполните действия, описанные в этом разделе. При неправильном изменении реестра могут возникнуть серьезные проблемы. Перед внесением изменений, создать резервную копию реестра для восстановления в случае проблемы.

Существует несколько возможных причин, лучше всего работают через следующие решения, а затем проверьте конфигурацию.
  1. При развертывании Рекламы фермы серверов федерации FS 2.0, необходимо указать счет доменной службы, зарегистрированный SPN для включения проверки подлинности Kerberos для правильной работы требуется. Дополнительные сведения можно найти в вики-сайте TechNet:
    AD FS 2.0: Как настроить имя участника-службы (безопасности servicePrincipalName) для учетной записи службы
    Ниже приведены причины, может потребоваться вручную установить SPN для учетной записи службы федерации Active Directory 2.0 службы:
    • Ошибка при регистрации SPN во время начальной настройки фермы.
    • Было изменено имя службы федерации.
    • Учетная запись службы была изменена.
  2. Убедитесь, что AD FS 2.0 служба запущена с доменной учетной записью службы, описанный в предыдущем шаге. Например на следующем рисунке, TRLABV3 — имя внутреннего узла и ADFSSvc является учетная запись службы:

    Свернуть это изображениеРазвернуть это изображение
    Реклама снимок экрана FS 2.0 Windows свойства службы, показывая доменная учетная запись

  3. Настройка AD FS 2.0 сервера для приема заголовков запроса, размер которых превышает 40 килобайт (КБ). Может потребоваться сделать это, когда пользователь является членом нескольких групп пользователей доменных служб Active Directory (AD DS). Если пользователь является членом многих групп в Доменных службах Active Directory, увеличивается размер маркера проверки подлинности Kerberos для пользователя.

    HTTP-запрос, он отправляет на сервер Internet Information Services (IIS) содержит маркер Kerberos в заголовок WWW-Authenticate. Таким образом размер заголовка растет по мере увеличения группы числа. Если заголовок HTTP или размер пакета увеличивается количество превышает порог, настроенные в IIS, IIS может отклонить запрос и отправить сообщение об ошибке в виде ответа. Для получения дополнительных сведений обратитесь к следующей статье Microsoft Knowledge Base:
    2020943 Ошибка «HTTP 400 - Ошибочный запрос (запрос заголовка слишком длинный)» сведения о службах Интернета (IIS)
    Чтобы обойти эту проблему, используйте один из следующих методов:
    1. Для уменьшения количества Доменных групп пользователей, членом которых является данный пользователь.
    2. Изменение значения реестра MaxRequestBytes на сервере, на котором выполняется IIS, чтобы заголовки запроса пользователя не считаются слишком длинное и MaxFieldLength. Эти два реестра находятся в следующем подразделе реестра:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Если развернуто несколько AD FS 2.0 серверов в ферме и их сбалансированной нагрузки, клиент Lync 2013 не сможет направить запрос AD FS 2.0 сервера. Добавление записи для AD FS 2.0 сервера в файл Hosts на клиентском компьютере, указывающего непосредственно на AD FS 2.0 сервера будут обходить виртуального IP-адреса балансировки нагрузки.
  5. Если предыдущие решения не решить проблему и возврат к Lync 2010 не параметр, выполните следующие действия для устранения проблемы.

    Примечание Если на компьютере еще нет учетной записи локального администратора, необходимо создать для этого решения для работы.
    1. Найдите исполняемый файл в проводнике Windows Lync 2013:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Нажмите и удерживайте клавишу Shift и щелкните правой кнопкой мыши Lync.exe.
    3. Нажмите кнопку Запуск от имени другого пользователя.
    4. Введите учетные данные для учетной записи локального администратора на компьютере и нажмите клавишу ВВОД.

ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ

Эта проблема обычно возникает из-за неправильной настройкой в Службах федерации Active Directory 2.0. Несмотря на такую конфигурацию других служб, таких как Microsoft Exchange Online могут работать неправильно. Здесь перечислены наиболее вероятная причина:
  • ServicePrincipalName (SPN) не настроен должным образом. Ниже перечислены возможные причины для этого.
    • Ошибка при регистрации SPN во время начальной настройки фермы.
    • Было изменено имя службы федерации.
    • Учетная запись службы была изменена.
  • Реклама службы федерации Active Directory 2.0 не запущен с учетной записью службы правильно.
  • Заголовок запроса из Lync 2013 отвергнут IIS и AD FS 2.0 сервера из-за слишком большой заголовок. Такое поведение наблюдается, поскольку учетная запись пользователя является членом слишком многих групп пользователей AD DS.
  • AD FS 2.0 сервера фермы проходит процедуру балансировки нагрузки, и запрос не достижения AD FS 2.0 сервера.
Для получения дополнительных сведений с развертыванием службы федерации Active Directory 2.0 для использования с единого входа в Office 365 см. веб-узел TechNet:В случае, если пользователь является членом слишком многих групп AD DS, следующая запись вводится в интерактивной службы вход помощник Microsoft журналы трассировки (они обычно находятся в C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

По-прежнему нужна помощь? Последовательно выберите пункты Сообщество Office 365 веб-сайт.

Свойства

Код статьи: 2839539 - Последний отзыв: 9 января 2014 г. - Revision: 9.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • Microsoft Lync Online
Ключевые слова: 
o365062011 o365022013 o365 o365e o365a o365m pre-upgrade after upgrade kbgraphxlink kbgraphic kbmt KB2839539 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 2839539

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com