Empresa única sesión los usuarios de Office 365 no pueden iniciar sesión Skype para los negocios en línea desde dentro de su red corporativa

PROBLEMA

Imagine el siguiente escenario:
  • Un Office 365 para empresas, Office 365 para educación o Office 365 para clientes de empresas de tamaño mediano configura el inicio de sesión único (SSO) en los servicios de federación de Active Directory (AD FS) 2.0.
  • Los usuarios federados que se conectan desde dentro de su red corporativa no pueden iniciar sesión en Skype para los negocios en línea (anteriormente Lync Online) desde 2013 de Lync y reciben el mensaje de error siguiente:
    No se puede iniciar sesión en el servidor porque no está disponible temporalmente.
Nota: Este problema sólo se aplica a los usuarios de SSO empresarial que iniciar sesión Skype para los negocios en línea con Lync 2013 desde dentro de su red corporativa. El problema no se aplica a los usuarios de Microsoft Lync 2010, los usuarios que no están en Skype para los negocios en línea o los usuarios que se conectan desde fuera de su red corporativa.

SOLUCIÓN

Importante: siga cuidadosamente los pasos de esta sección. Pueden producirse problemas graves si modifica incorrectamente el registro. Antes, modificarla, copia de seguridad del registro de restauración en caso de producirse problemas.

Porque hay muchas causas posibles, es mejor trabajar a través de las siguientes soluciones y, a continuación, compruebe la configuración.
  1. Cuando se implementa un AD FS 2.0 federación de servidores, debe especificar una cuenta de servicio basado en el dominio que necesita un SPN registrado para habilitar la autenticación Kerberos funcione correctamente. Para obtener más información, vea el wiki de TechNet siguiente:Los motivos que tenga que establecer el SPN manualmente en la cuenta de servicio 2.0 de AD FS son los siguientes:
    • Error en el registro SPN durante la configuración inicial del conjunto de servidores.
    • Se cambió el nombre del servicio de federación.
    • Se cambió la cuenta de servicio.
  2. Asegúrese de que los AD FS 2.0 servicio se ejecuta bajo la cuenta de servicio basado en el dominio que se menciona en el paso anterior. Por ejemplo, en la siguiente imagen, TRLABV3 es el nombre de host interno y ADFSSvc es la cuenta de servicio:

    Screen shot of the AD FS 2.0 Windows Service Properties, showing the domain-based account
  3. Configurar AD FS 2.0 server acepte los encabezados de solicitud más de 40 kilobytes (KB). Tendrá que hacerlo cuando el usuario es miembro de muchos grupos de usuario de los servicios de dominio de Active Directory (AD DS). Cuando un usuario es miembro de muchos grupos de AD DS, se aumenta el tamaño del símbolo de autenticación de Kerberos para el usuario.

    La solicitud HTTP que se envía al usuario al servidor de servicios de Internet Information Server (IIS) contiene el token de Kerberos en el encabezado WWW-Authenticate. Por lo tanto, aumenta el tamaño de encabezado como el número de grupos aumenta. Si el encabezado HTTP o tamaño de paquete aumenta más allá de los límites configurados en IIS, IIS puede rechazar la solicitud y envía un error como respuesta. Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
    2020943 "HTTP 400 - Solicitud incorrecta (encabezado de solicitud demasiado larga)" error en servicios de Internet Information Server (IIS)
    Para evitar este problema, utilice uno de los métodos siguientes:
    1. Disminuir el número de grupos de usuarios de AD DS que el usuario es un miembro de.
    2. Cambiar el MaxFieldLength y los valores de registro MaxRequestBytes en el servidor que ejecuta IIS para que los encabezados de la solicitud del usuario no se consideran demasiado largos. Estos dos valores se encuentran bajo la siguiente subclave del registro:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Si ha implementado varios AD FS 2.0 los servidores y pídales que carga equilibrada, el cliente Lync 2013 no pueda dirigir la solicitud a AD FS 2.0 server. Agregar una entrada para AD FS 2.0 server al archivo Hosts en el cliente que señala directamente a la de AD FS 2.0 server omitirá la dirección IP virtual del equilibrador de carga.
  5. Si las soluciones anteriores no resuelven el problema y degradar a Lync 2010 no es una opción, siga estos pasos para solucionar el problema.

    Nota: Si ya no existe una cuenta de administrador local en el equipo, deberás crear una para que funcione esta solución.
    1. Busque el archivo ejecutable en el Explorador de Windows de 2013 Lync:
       C:\Program Files\Microsoft Office 15\root\office15 
    2. Mantenga presionada la tecla MAYÚS y, a continuación, haga clic en Lync.exe.
    3. Haga clic en Ejecutar como usuario diferente.
    4. Escriba las credenciales para una cuenta de administrador local en el equipo y, a continuación, presione ENTRAR.

MÁS INFORMACIÓN

Normalmente, este problema se produce debido a un error de configuración de AD FS 2.0. Otros servicios como Microsoft Exchange Online pueden funcionar correctamente a pesar de esta configuración. Las causas habituales son los siguientes:
  • ServicePrincipalName (SPN) no está configurado correctamente. Las razones para ello son las siguientes:
    • Error en el registro SPN durante la configuración inicial del conjunto de servidores.
    • Se cambió el nombre del servicio de federación.
    • Se cambió la cuenta de servicio.
  • AD FS 2.0 servicio no se está ejecutando bajo la cuenta servicio correcto.
  • El encabezado de la solicitud de 2013 Lync es rechazado por IIS y la de AD FS 2.0 server porque el encabezado es demasiado grande. Este problema puede producirse porque la cuenta de usuario es miembro de muchos grupos de usuario de AD DS.
  • El conjunto de servidores de AD FS 2.0 server tiene la carga equilibrada y la solicitud no está alcanzando el AD FS 2.0 server.
Para obtener más ayuda con la implementación de AD FS 2.0 para su uso con SSO en Office 365, consulte el siguiente sitio Web de TechNet:En el caso cuando el usuario es miembro de muchos grupos de AD DS, la entrada siguiente se escribe en los registros de seguimiento Asistente Microsoft Online Services inicio de sesión (estos registros están situados normalmente en C:\ MSOSSPTrace):
##TestHook: URL-
https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

¿Sigue necesitando ayuda? Vaya a la Comunidad de Microsoft.
Propiedades

Id. de artículo: 2839539 - Última revisión: 24 ene. 2017 - Revisión: 1

Comentarios