Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Проблем

Помислете за следния сценарий:

  • Office 365 за предприятия, Office 365 за образование или Office 365 бизнес клиент създава еднократна регистрация (SSO) в Active Directory федерация услуги (AD FS) 2,0.

  • Външни потребители, които се свързват от своята корпоративна мрежа не може да влезете в Skype за бизнес онлайн (бивш Lync Online) от Lync 2013 и получават следното съобщение за грешка:

    Не може да се влезе, защото сървърът е временно недостъпен.

Забележка: Този проблем се отнася само за Enterprise SSO потребители, които влязат в Skype за бизнес онлайн чрез Lync 2013 от вътрешната им корпоративна мрежа. Проблемът не се отнася за потребители на Microsoft Lync 2010, потребители, които не са на Skype за бизнес онлайн или потребители, които се свързват извън корпоративната си мрежа.

Решение

Важно Следвайте внимателно стъпките в този раздел. Сериозни проблеми могат да възникнат, ако модифицирате системния регистър неправилно. Преди да го модифицирате, архивирате системния регистър за възстановяване при възникване на проблеми. Тъй като има много възможни причини, най-добре е да работите чрез всички следните решения и след това да проверите конфигурацията.

  1. Когато разположите AD FS 2,0 федерация сървърна група, трябва да укажете домейн базиран сервизен акаунт, който се нуждае от регистриран SPN да разрешите Kerberos удостоверяване да функционира правилно. За повече информация вижте следния TechNet Wiki:

    AD FS 2,0: как да конфигурирате SPN (Услукиме) за услугата акаунтПричините, които може да се наложи да зададете SPN ръчно на AD FS 2,0 услуга акаунт са както следва:

    • SPN регистрация е неуспешна по време на първоначалната конфигурация на сървърната група.

    • Името на услугата на Федерацията е променено.

    • Акаунтът на услугата е променен.

  2. Уверете се, че AD FS 2,0 услугата се изпълнява под домейн базиран акаунт за услуги, който е споменат в предишната стъпка. Например в изображението по-долу TRLABV3 е вътрешното име на хоста и ADFSSvc е сервизен акаунт:alternate text

  3. Конфигуриране на AD FS 2,0 сървър да приемат заглавки на заявки, които са по-големи от 40 килобайта (KB). Може да се наложи да направите това, когато потребителят е член на много потребители на Active Directory домейн услуги (AD DS) потребителски групи. Когато потребител е член на много AD DS групи, размерът на маркер за удостоверяване Kerberos за потребителя се увеличава. HTTP заявката, която потребителят изпраща към сървъра на интернет информационни услуги (IIS) съдържа маркер Kerberos в заглавката на WWW удостоверяване. Следователно размерът на заглавката се увеличава като броят на групите се увеличава. Ако HTTP заглавка или размер на пакета се увеличава извън границите, които са конфигурирани в IIS, IIS може да отхвърли искането и изпрати грешка като отговор. За повече информация вижте следната статия в базата знания на Microsoft:

    2020943 "HTTP 400 – неправилна заявка (заглавка на заявка твърде дълго)" грешка в интернет информационни услуги (IIS)За да решите проблема по заобиколен начин, използвайте един от следните методи:

    1. Намаляване на броя на AD DS потребителски групи, които потребителят е член на.

    2. Промяна на maxполето дължина и Maxзаявете байта стойностите на системния регистър на сървъра, който изпълнява IIS, че заглавката на заявката на потребителя не се считат за твърде дълго. Тези две стойности в системния регистър се намират в следния подключ на системния регистър:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

  4. Ако сте разположили няколко AD FS 2,0 сървъри в група и да ги заредите балансирано, Lync 2013 клиент може да не може да насочи заявката към AD FS 2,0 сървър. Добавяне на запис за AD FS 2,0 сървър хост файл на клиента, който сочи директно към AD FS 2,0 сървър ще заобиколи виртуалния IP на балансиране на натоварването.

  5. Ако предишните решения не разреши проблема и понижаването на Lync 2010 не е опция, изпълнете следните стъпки, за да заобиколите проблема. Забележка: Ако вече не съществува акаунт на локален администратор на компютъра, ще трябва да създадете такъв, за да работи това решение.

    1. Преминете към Lync 2013 изпълнимия файл в Windows Explorer:

       C:\Program Files\Microsoft Office 15\root\office15

    2. Задръжте натиснат клавиша SHIFT и щракнете с десния бутон върху Lync. exe.

    3. Щракнете върху Изпълнявай като различен потребител.

    4. Въведете идентификационните данни за акаунт на локален администратор на компютъра и след това натиснете ENTER.

ПОВЕЧЕ ИНФОРМАЦИЯ

Този проблем обикновено възниква поради неправилна конфигурация в AD FS 2,0. Други услуги като Microsoft Exchange Online може да работи правилно въпреки тази конфигурация. Обичайните причини са изброени тук:

  • Сервизното име (SPN) не е конфигуриран правилно. Причините за това включват следното:

    • SPN регистрация е неуспешна по време на първоначалната конфигурация на сървърната група.

    • Името на услугата на Федерацията е променено.

    • Акаунтът на услугата е променен.

  • AD FS 2,0 услугата не се изпълнява под правилния акаунт за обслужване.

  • Заглавката на заявката от Lync 2013 е отхвърлен от IIS и AD FS 2,0 сървър, защото заглавният блок е твърде голям. Този проблем може да възникне, защото потребителският акаунт е член на твърде много AD DS потребителски групи.

  • AD FS 2,0 сървърна група се зарежда балансирано и заявката не достига AD FS 2,0 сървър.

За повече помощ при разполагане на AD FS 2,0 за използване с SSO в Office 365 вижте следния уеб сайт на TechNet:

Планирайте и разположите AD FS за използване с еднократна регистрацияВ случай, когато потребителят е член на твърде много AD DS групи, се въвежда следният запис в регистрационните файлове на Microsoft онлайн услуги за влизане в помощника за проследяване (тези регистрационни файлове обикновено се намират в C:\ :

##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

Все още имаш нужда от помощ? Отидете в Общността на Microsoft.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×