MASALAH
Pertimbangkan skenario berikut:
-
Office 365 untuk perusahaan, 365 Office untuk pendidikan, atau Office 365 bisnis pelanggan mengatur masuk tunggal (SSO) di Active Directory Federation Services (AD FS) 2,0.
-
Pengguna Federasi yang menyambung dari dalam jaringan korporat mereka tidak dapat masuk ke Skype untuk bisnis online (sebelumnya Lync online) dari Lync 2013, dan mereka menerima pesan galat berikut:
Tidak dapat masuk karena server untuk sementara tidak tersedia.
Catatan Masalah ini hanya berlaku untuk perusahaan SSO pengguna yang masuk ke Skype untuk bisnis online dengan menggunakan Lync 2013 dari dalam jaringan korporat mereka. Masalah tidak berlaku bagi pengguna di Microsoft Lync 2010, pengguna yang tidak di Skype untuk bisnis online, atau pengguna yang menyambung dari luar jaringan korporat mereka.
SOLUSI
Penting Ikuti langkah di bagian ini dengan cermat. Masalah serius dapat terjadi jika Anda salah memodifikasi registri. Sebelum Anda mengubahnya, membuat cadangan registri untuk pemulihan jika terjadi masalah. Karena ada banyak kemungkinan penyebab, yang terbaik untuk bekerja melalui semua solusi berikut, dan kemudian verifikasi konfigurasi.
-
Ketika Anda menyebarkan AD FS 2,0 Federation server Farm, Anda harus menetapkan akun layanan berbasis domain yang memerlukan SPN terdaftar untuk mengaktifkan otentikasi Kerberos berfungsi dengan benar. Untuk informasi lebih lanjut, lihat wiki TechNet berikut:
AD FS 2,0: cara mengkonfigurasi SPN (servicePrincipalName) untuk akun LayananAlasan bahwa Anda mungkin harus menetapkan SPN secara manual pada AD FS 2,0 layanan akun adalah sebagai berikut:
-
SPN registrasi gagal selama konfigurasi awal Farm.
-
Nama Layanan Federasi telah diubah.
-
Akun Layanan diubah.
-
-
Pastikan bahwa Layanan 2,0 AD FS berjalan di bawah account layanan berbasis domain yang disebutkan di langkah sebelumnya. Sebagai contoh, dalam gambar berikut, TRLABV3 adalah nama host internal, dan ADFSSvc adalah akun Layanan:
-
Mengkonfigurasi server 2,0 AD FS untuk menerima header permintaan yang lebih besar dari 40 kilobyte (KB). Anda mungkin harus melakukannya saat pengguna yang merupakan anggota dari grup pengguna layanan domain direktori aktif (AD DS). Ketika pengguna yang merupakan anggota dari Grup AD DS, ukuran token otentikasi Kerberos untuk meningkatkan pengguna. Permintaan HTTP yang mengirim pengguna ke server layanan informasi internet (IIS) berisi token Kerberos di kop autentikasi WWW. Oleh karena itu, ukuran header meningkat sebagai jumlah kelompok meningkat. Jika kop HTTP atau ukuran paket meningkat melampaui batas yang dikonfigurasi di IIS, IIS dapat menolak permintaan dan mengirim kesalahan sebagai respons. Untuk informasi lebih lanjut, lihat artikel Basis Pengetahuan Microsoft berikut ini:
2020943 "http 400-permintaan buruk (header permintaan terlalu panjang)" galat di layanan informasi internet (IIS)Untuk mengatasi masalah ini, gunakan salah satu dari metode berikut ini:
-
Mengurangi jumlah grup pengguna AD DS yang pengguna adalah anggota.
-
Mengubah MaxFieldLength dan nilai registri MaxRequestBytes di server yang menjalankan IIS sehingga header permintaan pengguna tidak dianggap terlalu lama. Nilai registri dua ini terletak di bawah subkunci registri berikut ini:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Jika Anda telah menyebarkan beberapa AD FS 2,0 server di daerah dan memiliki mereka memuat seimbang, Lync 2013 klien mungkin tidak dapat mengarahkan permintaan ke AD FS 2,0 server. Menambahkan entri untuk server 2,0 AD FS ke berkas tuan rumah di klien yang mengarah langsung ke AD FS 2,0 server akan bypass virtual IP penyeimbang beban.
-
Jika solusi sebelumnya tidak menyelesaikan masalah dan merendahkan untuk Lync 2010 tidak opsi, ikuti langkah berikut ini untuk mengatasi masalah. Catatan Jika akun administrator lokal belum ada di komputer, Anda harus membuat satu untuk solusi ini bekerja.
-
Browse ke Lync 2013 dieksekusi di Windows Explorer:
C:\Program Files\Microsoft Office 15\root\office15
-
Tahan tombol Shift, dan kemudian klik kanan Lync. exe.
-
Klik Jalankan sebagai pengguna yang berbeda.
-
Masukkan kredensial untuk akun administrator lokal di komputer, dan kemudian tekan Enter.
-
INFORMASI SELENGKAPNYA
Masalah ini biasanya terjadi karena misconfiguration di AD FS 2,0. Layanan lain seperti Microsoft Exchange Online mungkin bekerja dengan benar meskipun konfigurasi ini. Penyebab biasa tercantum di sini:
-
ServicePrincipalName (SPN) tidak dikonfigurasi dengan benar. Alasan untuk ini meliputi berikut ini:
-
SPN registrasi gagal selama konfigurasi awal Farm.
-
Nama Layanan Federasi telah diubah.
-
Akun Layanan diubah.
-
-
AD FS 2,0 layanan tidak berjalan di bawah account layanan yang benar.
-
Header permintaan dari Lync 2013 ditolak oleh IIS dan AD FS 2,0 server karena header terlalu besar. Masalah ini dapat terjadi karena akun pengguna adalah anggota dari grup pengguna AD DS terlalu banyak.
-
AD FS 2,0 server Farm adalah beban seimbang, dan permintaan tidak mencapai AD FS 2,0 server.
Untuk bantuan lebih lanjut dengan menyebarkan AD FS 2,0 untuk digunakan dengan SSO di Office 365, lihat situs web TechNet berikut:
Merencanakan dan menggunakan AD FS untuk digunakan dengan akses terusanDalam kasus ketika pengguna adalah anggota terlalu banyak AD DS kelompok, entri berikut ini dimasukkan dalam Microsoft Online Layanan sign-in Assistant log jejak (log ini biasanya terletak di C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Masih memerlukan bantuan? Buka Komunitas Microsoft.
