Підприємство єдиного входу користувачів у службі Office 365 не вдається увійти в Lync Інтернет з всередині корпоративної мережі

Переклади статей Переклади статей
Номер статті: 2839539 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

ПРОБЛЕМА

Розглянемо таку ситуацію.
  • Microsoft Office 365 для підприємств, Microsoft Office 365 для освіти або Microsoft Office 365 для середнього бізнесу клієнта встановлює єдиного входу (SSO) в служб служба Active Directory Федерації (AD FS) 2.0.
  • Федеративних користувачів, які підключаються з всередині корпоративної мережі не вдається увійти в Lync онлайн з Lync 2013, і вони отримують таке протокол IMAP про помилку:
    Вхід неможливий, оскільки сервер тимчасово недоступний.
Примітка. Ця проблема відноситься тільки до єдиного входу підприємством користувачів, які входу до Microsoft Lync на сайті за допомогою Microsoft Lync 2013 від всередині корпоративної мережі. Питання не застосовуються для користувачів Microsoft Lync 2010, користувачі, які не зазначені у Lync Online або користувачів, які підключаються з за межами корпоративної мережі.

РІШЕННЯ

Важливо. Дотримуйтесь ретельно кроки, описані в цьому розділі. Неправильне внесення змін до реєстру може викликати серйозні проблеми. Перед внесенням, зробити архівувати реєстру для відновлення у випадку, якщо виникають проблеми.

Є багато можливих причин, тому краще працювати через всі наведені нижче рішення а потім перевірити конфігурацію.
  1. Коли триває розгортання оголошення FS 2.0 Федерації серверної ферми, потрібно вказати обліковий запис А комп'ютера доменної служби, яка потребує зареєстрованих SPN, щоб увімкнути автентифікацію Kerberos для правильного функціонування. Детальніше перегляньте наступні TechNet вікі:
    AD FS 2.0: Як налаштувати SPN (servicePrincipalName) для облікового запису служби
    Причини, що ви, можливо, доведеться вручну встановлювати SPN обліковому записі 2.0 служби AD FS є наступні:
    • Помилка реєстрація події SPN під Вільний час початкового настроювання ферми.
    • Федерація служба була перейменована.
    • обліковий запис А комп'ютера служби було змінено.
  2. Переконайтеся, що на AD FS 2.0 служба працює під обліковим записом служби на основі домену, що було згадано в попередньому кроці. Наприклад, у наступному зображенні, TRLABV3 внутрішнього хоста назва, і ADFSSvc є обліковий запис А комп'ютера служби:

    Згорнути це зображенняРозгорнути це зображення
    Скріншот з AD FS 2.0 вікна властивостей служби, показуючи доменної рахунку

  3. Налаштувати на AD FS 2.0 сервер прийняти запит заголовки, які більше 40 КБ (). Можливо, доведеться робити це, якщо користувач є членом багатьох груп користувачів служб домену служба Active Directory (AD DS). Якщо користувач є членом багатьох груп AD DS, збільшується розмір маркеру автентифікації Kerberos для користувача.

    Користувач посилає на сервер інформаційних служб Інтернету (IIS) НТТР-запит містить заголовок WWW-Authenticate, маркер Kerberos. Тому розмір заголовка збільшує як кількість груп збільшується. Якщо заголовок HTTP або розмір пакета збільшує за межі, які ви настроїли у IIS, IIS може відхилити запит і відправити протокол IMAP про помилку як відповідь. Для отримання додаткових відомостей див. знань Microsoft Knowledge Base:
    2020943 "HTTP 400 - помилковий запит (запит заголовку надто довге)" помилка інформаційних служб Інтернету (IIS)
    Щоб вирішити цю проблему, використовуйте один з наступних методів:
    1. Зменшити кількість AD DS групи користувачів, які користувач є членом.
    2. Зміни в MaxFieldLength і MaxRequestBytes значень реєстру на сервер, на якому працює служба IIS, щоб заголовків запит на змінення користувача не є наближеними занадто довге. Ці два реєстра розташовані під такий підрозділ реєстру:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Якщо ви вже розгорнуто кілька Оголошень FS 2.0 серверів у фермі і мати їх завантажувати збалансованим, клієнта Lync 2013 буде в змозі направити запит на оголошення FS 2.0 сервера. запит на додавання елемента для оголошення FS 2.0 сервера до хост-файлу на клієнтський, що прямо вказує AD FS 2.0 сервер буде обходити віртуальної IP балансувальник навантаження.
  5. Якщо попередні рішення не вирішило проблему, зниження Lync 2010 не є варіантом виконайте такі інтерактивні елементи, щоб вирішити проблему.

    Примітка. Якщо обліковий запис А комп'ютера адміністратора локальної вже не існує на комп'ютері, ви повинні створити для цього рішення для роботи.
    1. Відкрийте Lync 2013 виконуваний файл у провіднику Windows:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Утримуйте натиснутою клавішу Shift а потім клацніть правою кнопкою миші Lync.exe.
    3. Виберіть Запуск від імені іншого користувача.
    4. Введіть облікові дані облікового запису адміністратора локальної на комп'ютері і натисніть клавішу Enter.

Додаткові відомості

Ця помилка зазвичай виникає через неправильна в AD FS 2.0. Інші застосунок-служба, такі як Microsoft Exchange Online може негативно позначитись на роботі незважаючи на такій конфігурації. Тут перераховані звичайні причини:
  • ServicePrincipalName (SPN) не настроєно належним чином. Причин для цього, належать:
    • Помилка реєстрація події SPN під Вільний час початкового настроювання ферми.
    • Федерація служба була перейменована.
    • обліковий запис А комп'ютера служби було змінено.
  • На AD FS 2.0 службу не запущено за рахунок правильного обслуговування.
  • Заголовку запит на змінення з Lync 2013 є відхиляють IIS і AD FS 2.0 сервер оскільки заголовок занадто великий. Ця проблема може виникнути тому, що обліковий запис А комп'ютера користувача є членом групи користувачів забагато AD DS.
  • AD FS 2.0 серверної ферми є навантаження, збалансований і запит не вдалося отримати доступ до оголошення FS 2.0 сервера.
Щоб отримати докладнішу інформацію розгортання AD FS 2.0 для сценарій виконання з єдиного входу у службі Office 365 побачити веб-сайту TechNet:У випадку, коли користувач входить до складу занадто багато груп AD DS, такий запис А вводиться в онлайн застосунок-служба входу помічником Microsoft журналів трасування (ці журнали зазвичай розташовані в C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Все ще потрібна допомога? Перейдіть до на Office 365 спільноти .

Властивості

Номер статті: 2839539 - Востаннє переглянуто: 26 червня 2014 р. - Редакція: 10.0
Застосовується до:
  • Microsoft Lync Online
Ключові слова: 
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2839539

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com