企業單一登入的使用者在 Office 365 無法登入 Lync 線上從公司網路內

文章翻譯 文章翻譯
文章編號: 2839539 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

問題

請考慮如下案例:
  • 為企業、 教育的 Microsoft Office 365 或中型企業客戶的 Microsoft Office 365 的 Microsoft Office 365 設定單一登入 (SSO) 在 Active Directory 同盟服務 (AD FS) 2.0。
  • 聯盟連線從公司網路內的使用者無法登入 Lync 線上從 Lync 2013 並且收到下列錯誤訊息:
    無法登入,因為伺服器暫時無法使用。
附註這個問題只適用於企業 SSO 使用者登入 Microsoft Lync 線上使用 Microsoft Lync 2013 從公司網路內。這個問題不適用於 Microsoft Lync 2010,都不在線上 Lync 的使用者或從其公司網路外部連線的使用者上的使用者。

方案

重要請仔細遵循本章節中的步驟。如果您不當修改登錄,可能會發生嚴重的問題。在修改前 備份還原登錄 萬一發生問題。

由於有許多可能的原因,最好在逐步使用所有下列的解決方案,並確認組態。
  1. 當您部署 AD FS 2.0 同盟伺服器陣列,您必須指定需要已註冊的 SPN,若要啟用 Kerberos 驗證,才能正確運作的網域為基礎的服務帳戶。如需詳細資訊,請參閱下列的 TechNet wiki:
    AD FS 2.0: 如何設定服務帳戶的 SPN (servicePrincipalName)
    您可能要手動設定 SPN,AD FS 2.0 的服務帳戶的原因如下所示:
    • SPN 註冊失敗期間的陣列初始設定。
    • 聯盟服務名稱已變更。
    • 已變更服務帳戶。
  2. 請確定 AD FS 2.0 服務已在先前步驟中所述的網域為基礎的服務帳戶下執行。例如,在下列影像中,TRLABV3 是內部主機名稱,而 ADFSSvc 是服務帳戶:

    摺疊此圖像展開此圖像
    螢幕擷取畫面的 AD FS 2.0 Windows 服務的內容,顯示網域為基礎的帳號

  3. 設定 AD FS 2.0 伺服器無法接受大於 40 位元組 (KB) 的要求標頭。您可能要執行這項操作,當使用者是許多 Active Directory 網域服務 (AD DS) 使用者群組的成員。當使用者是多個 AD DS 群組的成員時,會增加使用者的 Kerberos 驗證語彙基元的大小。

    使用者將傳送至網際網路資訊服務 (IIS) 伺服器的 HTTP 要求會包含在 WWW 驗證標頭中的 Kerberos 語彙基元。因此,標頭大小會隨著群組增加的數目。如果 HTTP 標頭或封包大小增加超過在 IIS 中設定的限制,IIS 可能會拒絕的要求,並為回應傳送錯誤。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    2020943 「 HTTP 400-錯誤的要求 (要求標頭太長) 」 的錯誤在網際網路資訊服務 (IIS)
    若要解決這個問題,請使用下列方法之一:
    1. 降低 AD DS 使用者群組的使用者所屬的成員數目。
    2. 變更 MaxFieldLength 和 MaxRequestBytes 登錄值,讓使用者的要求標頭被視為不太長,執行 IIS 的伺服器上。這些兩個登錄值位於下列登錄子機碼下:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. 如果您已經部署多個 AD FS 2.0 伺服器伺服陣列中的,並讓它們載入平衡、 Lync 2013 用戶端可能無法將要求導向到 AD FS 2.0 伺服器。加入項目為 AD FS 2.0 伺服器上直接指向 AD FS 2.0 的伺服器用戶端的主機檔案將會略過負載平衡器的虛擬 IP。
  5. 如果先前的解決方案沒有解決問題,降級到 Lync 2010 不可行,請依照下列這些步驟來解決這個問題。

    附註如果本機系統管理員帳戶不存在的電腦上,您必須建立一個用於此方案才能運作。
    1. 瀏覽至可執行檔在 Windows 檔案總管的 Lync 2013:
       C:\Program Files\Microsoft Office 15\root\office15
    2. 按住 Shift 鍵,並用滑鼠右鍵按一下 Lync.exe。
    3. 按一下不同的使用者身分執行]。
    4. 在電腦上,輸入本機系統管理員帳戶的認證,然後按 Enter 鍵。

更多資訊

這個問題通常發生是因為 AD FS 2.0 中有錯誤設定。儘管這種組態中,其他的服務,例如 Microsoft Exchange Online 可能正常運作。常見的原因如下:
  • ServicePrincipalName (SPN) 未正確設定。這樣做的原因包括:
    • SPN 註冊失敗期間的陣列初始設定。
    • 聯盟服務名稱已變更。
    • 已變更服務帳戶。
  • AD FS 2.0 服務不正確的服務帳戶下執行。
  • 要求標頭,從 Lync 2013 是拒絕 IIS 和 AD FS 所 2.0 的伺服器因為標頭太大。因為使用者帳戶是太多的 AD DS 使用者群組的成員,就可能發生這個問題。
  • AD FS 2.0 的伺服器陣列是負載平衡,並要求無法到達 AD FS 2.0 伺服器。
如需有關部署 AD FS 2.0 用於與辦公室 365 的 SSO,請參閱下列的 TechNet 網站:
規劃、 部署 AD FS,使用於單一登入
在的情況下時的使用者是太多的 AD DS 群組的成員下列項目輸入 Microsoft 線上服務登入小幫手] 的追蹤記錄檔 (這些記錄檔通常位於 C:\MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

還是需要協助嗎?移至 Office 365 社群 網站。

屬性

文章編號: 2839539 - 上次校閱: 2014年6月26日 - 版次: 10.0
這篇文章中的資訊適用於:
  • Microsoft Lync Online
關鍵字:?
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2839539
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com