Enterprise utenti single sign-on in Office 365 Impossibile accedere a Skype per Business Online all'interno della rete aziendale

PROBLEMA

Si consideri lo scenario seguente:
  • Un Office 365 per Office 365 per clienti di medie dimensioni, Office 365 per l'istruzione o le imprese Configura servizio single sign-on (SSO) in Active Directory Federation Services (ADFS) 2.0.
  • Utenti federati che si connettono da all'interno della rete aziendale non possono accedere a Skype per Business Online (in precedenza Lync Online) da Lync 2013 e ricevere il seguente messaggio di errore:
    Impossibile accedere perché il server è temporaneamente non disponibile.
Nota: Questo problema si applica solo agli utenti di Enterprise SSO che accedere a Skype per Business Online utilizzando Lync 2013 all'interno della rete aziendale. Il problema non si applica agli utenti di Microsoft Lync 2010, gli utenti che non sono su Skype per Business Online o gli utenti che si connettono dall'esterno della rete aziendale.

SOLUZIONE

Importante Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare problemi gravi. Prima di modificarla, eseguire il backup del Registro di sistema per il ripristino in caso di problemi.

Poiché esistono molte cause, si consiglia di lavorare attraverso le seguenti soluzioni e quindi verificare la configurazione.
  1. Quando si distribuisce un annuncio farm di Server federativo di ADFS 2.0, è necessario specificare un account di servizio basato sul dominio che richiede un nome SPN registrato per abilitare l'autenticazione Kerberos funzionare correttamente. Per ulteriori informazioni, vedere il wiki di TechNet seguente:I motivi che è necessario impostare manualmente il SPN dell'account di servizio 2.0 ADFS sono i seguenti:
    • Registrazione SPN non riuscita durante la configurazione iniziale della farm.
    • È stato modificato il nome del servizio federativo.
    • L'account del servizio è stato modificato.
  2. Assicurarsi che l'annuncio di servizio ADFS 2.0 è in esecuzione con l'account di servizio basato su dominio indicato nel passaggio precedente. Nell'immagine seguente, ad esempio, TRLABV3 è il nome host interno, e ADFSSvc è l'account del servizio:

    Screen shot of the AD FS 2.0 Windows Service Properties, showing the domain-based account
  3. Configurare l'annuncio FS 2.0 server per accettare le intestazioni di richiesta che sono maggiori di 40 kilobyte (KB). Potrebbe essere necessario eseguire questa operazione quando l'utente è un membro di numerosi gruppi di utenti di servizi di dominio Active Directory (AD DS). Quando un utente è un membro di molti gruppi di dominio Active Directory, si aumenta la dimensione del token di autenticazione Kerberos per l'utente.

    La richiesta HTTP che l'utente invia al server Internet Information Services (IIS) contiene il token Kerberos nell'intestazione WWW-Authenticate. Pertanto, la dimensione di intestazione aumenta il numero di gruppi. Se l'intestazione HTTP o del pacchetto aumenta oltre i limiti che vengono configurati in IIS, IIS può rifiutare la richiesta e inviare un errore in risposta. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
    2020943 "HTTP 400 - richiesta non valida (intestazione della richiesta troppo lungo)" errore in Internet Information Services (IIS)
    Per risolvere questo problema, utilizzare uno dei seguenti metodi:
    1. Ridurre il numero di gruppi di utenti di dominio Active Directory che l'utente è un membro di.
    2. Modificare il MaxFieldLength e i valori di MaxRequestBytes del Registro di sistema sul server che esegue IIS in modo che le intestazioni di richiesta dell'utente non sono considerate troppo lunghe. Questi valori del Registro di sistema si trovano nella seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Se è stato distribuito più AD FS 2.0 Server della farm e siano a carico bilanciato, il client Lync 2013 potrebbe non essere possibile indirizzare le richieste ad Active Directory server ADFS 2.0. Aggiunta di una voce per l'annuncio server ADFS 2.0 al file Hosts sul client che punta direttamente a di AD FS 2.0 server ignora l'indirizzo IP virtuale del sistema di bilanciamento del carico.
  5. Se le soluzioni precedenti non risolve il problema e il downgrade a Lync 2010 non è possibile, seguire questi passaggi per risolvere il problema.

    Nota: Se un account di amministratore locale non esiste già nel computer, sarà necessario crearne uno per il funzionamento della soluzione.
    1. Individuare l'eseguibile in Esplora risorse di Lync 2013:
       C:\Program Files\Microsoft Office 15\root\office15 
    2. Tenere premuto il tasto MAIUSC e fare clic su Lync.exe.
    3. Fare clic su Esegui come diverso utente.
    4. Immettere le credenziali per un account di amministratore locale sul computer e quindi premere INVIO.

ULTERIORI INFORMAZIONI

Questo problema si verifica in genere a causa di una configurazione errata AD FS 2.0. Altri servizi quali Microsoft Exchange Online potrebbero funzionare correttamente nonostante questa configurazione. Cause comuni sono elencate di seguito:
  • il SPN (ServicePrincipalName) non è configurato correttamente. Di seguito sono elencate le ragioni:
    • Registrazione SPN non riuscita durante la configurazione iniziale della farm.
    • È stato modificato il nome del servizio federativo.
    • L'account del servizio è stato modificato.
  • L'annuncio di servizio ADFS 2.0 non è in esecuzione con l'account di servizio corretto.
  • L'intestazione di richiesta da Lync 2013 è rifiutato da IIS e di AD FS 2.0 server perché l'intestazione è troppo grande. Questo problema può verificarsi perché l'account utente è un membro di troppi gruppi di utenti di dominio Active Directory.
  • La farm di server 2.0 ADFS è il bilanciamento del carico e la richiesta non raggiunge l'annuncio server ADFS 2.0.
Per ulteriori informazioni della Guida alla distribuzione di ADFS 2.0 per l'utilizzo con Office 365 SSO, vedere il seguente sito Web di TechNet:Nel caso quando l'utente è un membro di troppi gruppi di dominio Active Directory, la seguente voce viene immessa nei registri di traccia Assistente Microsoft Online Services segno aggiuntivo (questi registri sono spesso collocati in C:\ MSOSSPTrace):
##TestHook: URL-
https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Ulteriore assistenza? Vai alla Comunità Microsoft.
Proprietà

ID articolo: 2839539 - Ultima revisione: 29 gen 2017 - Revisione: 1

Feedback