Entreprise signe utilisateurs unique dans Office 365 Impossible de se connecter sur Skype pour entreprise en ligne à partir d’à l’intérieur de leur réseau d’entreprise

PROBLÈME

Considérez le scénario suivant :
  • Un Office 365 pour entreprises, Office 365 pour l’éducation ou Office 365 pour client des entreprises de taille moyenne configure session unique (SSO) dans les Services de fédération Active Directory (Active Directory Federation Services) 2.0.
  • Les utilisateurs fédérés qui se connectent à partir de l’intérieur de leur réseau d’entreprise ne peut pas vous connecter à Skype pour Business Online (anciennement Lync Online) à partir de Lync 2013, et ils reçoivent le message d’erreur suivant :
    Connexion impossible car le serveur est temporairement indisponible.
Remarque  Ce problème concerne uniquement les utilisateurs de l’authentification unique de l’entreprise qui s’inscrivent à Skype pour entreprise en ligne à l’intérieur de leur réseau d’entreprise à l’aide de Lync 2013 à partir de. Le problème ne s’applique pas aux utilisateurs de Microsoft Lync 2010, les utilisateurs qui ne sont pas sur Skype pour Business Online ou les utilisateurs qui se connectent depuis l’extérieur de leur réseau d’entreprise.

Solution

Important Suivez les étapes décrites dans cette section avec soin. Des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Avant que vous modifiez, sauvegarder le Registre pour la restauration en cas de problèmes.

Dans la mesure où il existe plusieurs causes possibles, il est préférable à utiliser par le biais de toutes les solutions suivantes, puis vérifier la configuration.
  1. Lorsque vous déployez un AD FS 2.0 fédération de serveurs, vous devez spécifier un compte de service basé sur le domaine qui a besoin d’un SPN inscrit pour activer l’authentification Kerberos fonctionne correctement. Pour plus d’informations, consultez le wiki TechNet suivant :Les raisons qu’il se peut que vous deviez définir manuellement le SPN pour le compte de service 2.0 AD FS sont les suivantes :
    • Enregistrement du nom principal de service a échoué lors de la configuration initiale de la batterie de serveurs.
    • Le nom du Service de fédération a été modifié.
    • Le compte de service a été modifié.
  2. Veillez à ce que l’AD FS 2.0 service s’exécute sous le compte de service basé sur le domaine qui a été mentionné à l’étape précédente. Par exemple, dans l’image ci-dessous, TRLABV3 est le nom d’hôte interne, et ADFSSvc est le compte de service :

    Screen shot of the AD FS 2.0 Windows Service Properties, showing the domain-based account
  3. Configurer l’AD FS 2.0 serveur accepte les en-têtes de demande qui sont supérieurs à 40 kilo-octets (Ko). Il se peut que vous deviez faire lorsque l’utilisateur est membre de plusieurs groupes d’utilisateurs de Services de domaine Active Directory (AD DS). Lorsqu’un utilisateur est membre de plusieurs groupes de services AD DS, la taille du jeton d’authentification Kerberos pour l’utilisateur augmente.

    La demande HTTP que l’utilisateur envoie au serveur Internet Information Services (IIS) contient le jeton Kerberos dans l’en-tête WWW-Authenticate. Par conséquent, la taille de l’en-tête augmente avec le nombre de groupes augmente. Si l’en-tête HTTP ou une taille de paquet augmente au-delà des limites qui sont configurés dans IIS, IIS peut rejeter la demande et envoyer une erreur comme réponse. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :
    2020943 « HTTP 400 - Requête incorrecte (en-tête de requête trop long) » erreur dans Internet Information Services (IIS)
    Pour contourner ce problème, appliquez l’une des méthodes suivantes :
    1. Réduire le nombre de groupes d’utilisateurs AD DS que l’utilisateur est membre.
    2. Modifier le MaxFieldLength et les valeurs de Registre MaxRequestBytes sur le serveur qui exécute IIS afin que les en-têtes de demande de l’utilisateur ne sont pas considérées comme trop longs. Ces deux valeurs de Registre se trouvent sous la sous-clé de Registre suivante :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Si vous avez déployé plusieurs AD FS 2.0 des serveurs dans une batterie de serveurs et les ont à charge équilibrée, le client Lync 2013 peut être impossible de diriger la demande vers la publicité serveur FS 2.0. Ajout d’une entrée de la publicité serveur ADFS 2.0 au fichier Hosts sur le client qui pointe directement vers l’AD FS 2.0 server ignore l’adresse IP virtuelle de l’équilibreur de charge.
  5. Si les solutions précédentes ne résolvent le problème et mise à niveau vers Lync 2010 de n’est pas une option, procédez comme suit pour contourner le problème.

    Remarque Si un compte d’administrateur local n’existe pas déjà sur l’ordinateur, vous devrez en créer un pour cette solution puisse fonctionner.
    1. Recherchez l’exécutable dans l’Explorateur Windows Lync 2013 :
       C:\Program Files\Microsoft Office 15\root\office15 
    2. Maintenez la touche MAJ enfoncée, puis cliquez sur Lync.exe.
    3. Cliquez sur Exécuter en tant qu’utilisateur différent.
    4. Entrez les informations d’identification pour un compte d’administrateur local sur l’ordinateur et appuyez sur ENTRÉE.

Plus d'informations

Ce problème se produit généralement en raison d’une erreur de configuration dans AD FS 2.0. Autres services tels que Microsoft Exchange Online peuvent fonctionner correctement malgré cette configuration. Causes habituelles sont répertoriés ici :
  • Le nom principal de service (SPN) n’est pas configuré correctement. Les raisons sont les suivantes :
    • Enregistrement du nom principal de service a échoué lors de la configuration initiale de la batterie de serveurs.
    • Le nom du Service de fédération a été modifié.
    • Le compte de service a été modifié.
  • AD FS 2.0 service n’est pas en cours d’exécution sous le compte service correct.
  • L’en-tête de demande de Lync 2013 est rejetée par IIS et l’AD FS 2.0 server parce que l’en-tête est trop grande. Ce problème peut se produire car le compte d’utilisateur est membre de trop nombreux groupes d’utilisateurs AD DS.
  • La batterie de serveurs ADFS 2.0 server est l’équilibrage de la charge et la demande n’est pas atteindre la publicité serveur FS 2.0.
Pour obtenir de l’aide au déploiement AD FS 2.0 pour une utilisation avec authentification unique dans Office 365, voir le site Web TechNet suivant :Dans le cas lorsque l’utilisateur est membre de trop nombreux groupes AD DS, l’entrée suivante est entrée dans les journaux de suivi de Microsoft Online Services Assistant de connexion (ces journaux est généralement situés dans C:\ MSOSSPTrace) :
##TestHook: URL-
https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Besoin d’aide ? Atteindre la Communauté Microsoft.
Propriétés

ID d'article : 2839539 - Dernière mise à jour : 26 janv. 2017 - Révision : 1

Skype for Business Online

Commentaires