Probleem
Kujutage järgmist stsenaariumi:
-
Office 365 ettevõtetele, Office 365 hariduse või Office 365 Äriklient seab ühekordse sisselogimise (SSO) Active Directory Federation Services (AD FS) 2,0.
-
Välise kasutajad, kes ühenduse sees oma ettevõtte võrgus ei saa sisse logida Skype ' i Business Online (endine Lync Online) Lync 2013 ja kuvatakse järgmine tõrketeade:
Ei saa sisse logida, kuna server pole ajutiselt saadaval.
Märkus See probleem kehtib ainult Enterprise SSO kasutajatele, kes sisse logida Skype ' i Business Online, kasutades Lync 2013 sees oma ettevõtte võrgus. Probleem ei kehti kasutajatele Microsoft Lync 2010, kasutajad, kes ei ole Skype Business Online või kasutajad, kes ühenduse väljaspool oma ettevõtte võrku.
Lahendus
Tähtis Järgige juhiseid selles jaotises hoolikalt. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Enne selle muutmist varundage registri taastamine juhuks, kui probleemid ilmnevad. Kuna on palju võimalikke põhjuseid, see on kõige parem töötada läbi kõik järgmised lahendused ja seejärel kontrollige konfiguratsiooni.
-
AD FS 2,0 Föderatsiooni server pargi juurutamisel peate määrama domeeni põhinev teenusekonto, mis vajab registreeritud SPN Kerberose autentimise õigeks toimimiseks. Lisateabe saamiseks lugege järgmist TechNeti wiki:
AD FS 2,0: konfigureerimine teenuse konto SPN (servicePrincipalName)Põhjused, miks peate seadistama SPN käsitsi AD FS 2,0 teenusekonto on järgmised:
-
SPN registreerimine nurjus pargi algse konfiguratsiooni ajal.
-
Föderatsiooni teenuse nimi on muudetud.
-
Teenusekontot muudeti.
-
-
Veenduge, et AD FS 2,0 teenus töötab domeeni põhinev teenusekonto, mis on mainitud eelmises etapis. Näiteks järgmine pilt TRLABV3 on sisemine hosti nimi ja ADFSSvc on teenusekonto:
-
Konfigureerige AD FS 2,0 server aktsepteerida taotluse päised, mis on suuremad kui 40 kilobaiti (KB). Võimalik, et peate seda tegema, kui kasutaja on paljude Active Directory domeeniteenused (AD DS) kasutajagruppide liige. Kui kasutaja on palju AD DS-i rühmad, kasutaja suurendab Kerberose autentimine luba suurus. HTTP-taotluse, et kasutaja saadab Internet Information Services (IIS) server sisaldab Kerberose luba WWW-Authenticate päises. Seetõttu päise suurus suureneb rühmade arvu suureneb. Kui HTTP-päise või paketi maht suureneb väljaspool piire, mis on konfigureeritud IIS-i, IIS-i võib taotluse tagasi lükata ja saata tõrke vastuseks. Lisateabe saamiseks lugege järgmist Microsofti teabebaasi (Knowledge Base) artiklit:
2020943 "http 400 – vigane päring (taotluse päis liiga pikk)" tõrge Internet Information Services (IIS)Probleemi lahendamiseks kasutage ühte järgmistest meetoditest.
-
AD DS kasutajagruppide arvu vähendada kasutaja on liige.
-
Muutke MaxFieldLength ja MaxRequestBytes registriväärtused serveris, kus töötab IIS-i, et kasutaja taotluse päised ei peeta liiga pikk. Need kaks registriväärtused asuvad järgmises registri alamvõtmes:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Kui olete juurutanud mitu AD FS 2,0 serverid pargi ja on need koormus tasakaalustatud, Lync 2013 klient ei saa suunata taotluse AD FS 2,0 server. Lisades kirje AD FS 2,0 server hosts-faili kliendi, mis suunab otse AD FS 2,0 server mööduda virtuaalne IP Load koormusetasakaalustusteenuse.
-
Kui eelmised lahendused ei lahenda probleemi ja alandada klassi Lync 2010 ei ole võimalust, toimige probleemi lahendamiseks. Märkus Kui kohalikus administraatorikonto pole arvutis juba olemas, peate selle lahenduse jaoks looma ühe.
-
Sirvige Lync 2013 käivitatava Windows Exploreris:
C:\Program Files\Microsoft Office 15\root\office15
-
Hoidke all tõstuklahvi (SHIFT) ja seejärel paremklõpsake Lync. exe.
-
Klõpsake nuppu Käivita teise kasutajana.
-
Sisestage arvutisse kohaliku administraatorikonto mandaat ja vajutage sisestusklahvi (ENTER).
-
Lisateave
See probleem ilmneb tavaliselt vale konfiguratsiooni AD FS 2,0. Muud teenused, näiteks Microsoft Exchange Online võib õigesti töötada vaatamata sellele konfiguratsioonile. Tavalised põhjused on loetletud siin:
-
ServicePrincipalName (SPN) pole õigesti konfigureeritud. Selle põhjused on järgmised:
-
SPN registreerimine nurjus pargi algse konfiguratsiooni ajal.
-
Föderatsiooni teenuse nimi on muudetud.
-
Teenusekontot muudeti.
-
-
AD FS 2,0 teenus ei tööta õige teenusekonto all.
-
Lync 2013 taotluse päis lükatakse IIS-i ja AD FS 2,0 server, kuna päis on liiga suur. See probleem võib ilmneda seetõttu, et kasutaja konto on liiga palju AD DS-i kasutajagruppide liige.
-
AD FS 2,0 serveripargi laadimine on tasakaalustatud ja taotlus ei jõudnud AD FS 2,0 server.
Rohkem abi juurutamine AD FS 2,0 kasutamiseks SSO Office 365, lugege järgmist TechNeti veebisaiti:
Kavandada ja juurutada AD FS kasutamiseks ühekordse sisselogimiseJuhul, kui kasutaja on liiga palju AD DS-i rühmade liige, sisestatakse järgmine kirje Microsoft Online Services sisselogimisabimees trace logid (need logid asuvad tavaliselt C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Vajad ikka veel abi? Minge Microsofti kogukonna.
