企业单一登录的用户在 Office 365 无法登录 Lync Online 从内部公司网络

文章翻译 文章翻译
文章编号: 2839539 - 查看本文应用于的产品
展开全部 | 关闭全部

问题

请考虑以下情形:
  • 企业、 Microsoft Office 365 的教育,或 Microsoft Office 365 的中型企业客户的 Microsoft Office 365 设置单一登录 (SSO) 在 活动目录的联合身份验证服务 (AD FS) 2.0。
  • 连接从公司网络中的联合的用户不能登录 Lync Online 从 Lync 2013,他们会收到以下错误消息:
    无法登录,因为服务器暂时不可用。
注意此问题仅适用于企业 SSO 用户登录 Lync Online 的 Microsoft 公司网络内使用来自 Microsoft Lync 2013。此问题不适用于 Microsoft Lync 2010、 Lync online,没有用户或从其企业网络外部连接的用户的用户。

本地

重要提示仔细按照本节中的步骤。如果错误地修改了注册表,可能会出现严重问题。之前修改它, 有关还原注册表备份 在种情况下会出现问题。

因为有许多可能的原因,则最好通过以下的所有解决方案,工作然后检查配置。
  1. 当您部署 AD FS 2.0 联合服务器场中,必须指定基于域的服务帐户所需注册的 SPN 启用 Kerberos 身份验证,才能正常工作。有关详细信息,请参阅以下 TechNet wik:
    AD FS 2.0: 如何为服务帐户配置 SPN (servicePrincipalName)
    您可能需要手动对 AD FS 2.0 的服务帐户设置 SPN 的原因如下所示:
    • SPN 注册失败的服务器场的初始配置过程中。
    • 联合身份验证服务名称已更改。
    • 服务帐户已更改。
  2. 请确保 AD FS 2.0 服务在上一步中提到的基于域的服务帐户下运行。例如,在下面的图像中,TRLABV3 是内部的主机名,而 ADFSSvc 是服务帐户:

    收起这个图片展开这个图片
    屏幕抓图的 AD FS 2.0 Windows 服务属性,显示的基于域的帐户

  3. 配置 AD FS 2.0 服务器以接受大于 40 千字节 (KB) 的请求标头。您可能需要执行此操作时用户是许多 活动目录(AD) 域服务 (AD DS) 用户组的成员。如果用户是多个 AD DS 组的成员,Kerberos 身份验证令牌,用户都会增大。

    用户向 Internet Information Services (IIS) 服务器发送的 HTTP 请求包含 WWW 身份验证标头中的 Kerberos 令牌。因此,标头大小随着组增加的数量。如果 HTTP 标头或数据包大小已增加到超过在 IIS 中配置的限制,IIS 可能会拒绝的请求,并作为响应发送错误。有关详细信息,请参阅下面的 Microsoft 知识库文章:
    2020943 "HTTP 400-错误的请求 (请求标题太长)"错误在 Internet Information Services (IIS)
    若要变通解决此问题,请使用下列方法之一:
    1. 降低 AD DS 用户组的成员的用户数。
    2. 更改 MaxFieldLength 和 MaxRequestBytes 注册表值,以便用户的请求标头不会被认为太长,运行 IIS 的服务器上。这些两个注册表值位于以下注册表子项下:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. 如果您已经部署了多个 AD FS 2.0 服务器场中的并将其负载平衡,Lync 2013 客户端可能无法将请求指向广告 FS 2.0 服务器。将项添加为 AD FS 2.0 服务器直接指向 AD FS 2.0 服务器客户端上的主机文件将绕过虚拟的负载平衡器 IP。
  5. 如果以前的解决方案没有解决问题,Lync 2010 年降级不是一个选项,请按照下列步骤来解决此问题。

    注意如果计算机上不存在本地管理员帐户,您必须为使用该解决方案创建一个。
    1. 浏览到 Lync 2013 在 Windows 资源管理器可执行文件:
       C:\Program Files\Microsoft Office 15\root\office15
    2. 按住 Shift 键,然后右键单击 Lync.exe。
    3. 单击作为不同用户运行
    4. 输入的凭据的计算机上,本地管理员帐户,然后按 enter 键。

详细信息

由于错误配置 AD FS 2.0 中,通常会发生此问题。尽管这种配置,其他服务 (如 Microsoft Exchange Online 可能正常工作。下面列出了常见的原因:
  • ServicePrincipalName (SPN) 的配置不正确。此问题的原因包括:
    • SPN 注册失败的服务器场的初始配置过程中。
    • 联合身份验证服务名称已更改。
    • 服务帐户已更改。
  • AD FS 2.0 服务没有正确的服务帐户下运行。
  • 从 Lync 2013 的请求标头被拒绝的 IIS 和 AD FS 2.0 服务器因为头太大。因为用户帐户是 AD DS 用户组太多的成员,则会出现此问题。
  • AD FS 2.0 服务器场是负载平衡,并且请求不到达 AD FS 2.0 服务器。
部署 AD FS 2.0 使用获 sso Office 365 中的更多帮助,请参阅以下 TechNet 网站:
规划和配置 AD FS 使用单一登录
在这种情况在用户过多的 AD DS 组的成员时以下条目将进入 Microsoft 联机服务登录助手 (这些日志通常位于 C:\ 的跟踪日志MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

仍需要帮助吗?请转到 Office 365 社区 网站。

属性

文章编号: 2839539 - 最后修改: 2014年6月26日 - 修订: 10.0
这篇文章中的信息适用于:
  • Microsoft Lync Online
关键字:?
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2839539
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com