PROBLEMA
Considerare lo scenario seguente:
-
Un cliente di Office 365 per le aziende, Office 365 per l'istruzione o Office 365 Business configura Single Sign-On (SSO) in Active Directory Federation Services (ADFS) 2.0.
-
Gli utenti federati che si connettono dall'interno della rete aziendale non possono accedere a Skype per Business Online (in precedenza Lync Online) da Lync 2013 e ricevono il seguente messaggio di errore:
Impossibile accedere perché il server è temporaneamente non disponibile.
Nota: Questo problema si applica solo agli utenti Di SSO enterprise che accedono a Skype per Business Online utilizzando Lync 2013 dall'interno della rete aziendale. Il problema non si applica agli utenti in Microsoft Lync 2010, agli utenti che non sono in Skype for Business online o agli utenti che si connettono dall'esterno della rete aziendale.
SOLUZIONE
Importante Seguire attentamente i passaggi descritti in questa sezione. Se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Prima di modificarlo, eseguire il backup del Registro di sistema per il ripristino in caso di problemi. Poiché esistono molte cause possibili, è consigliabile utilizzare tutte le soluzioni seguenti e quindi verificare la configurazione.
-
Quando si distribuisce una farm di AD FS 2.0 Federation Server, è necessario specificare un account di servizio basato su dominio che richiede un SPN registrato per consentire il corretto funzionamento dell'autenticazione Kerberos. Per ulteriori informazioni, vedere il seguente wiki TechNet:
AD FS 2.0: Come configurare il nome SPN (servicePrincipalName) per l'account del servizioI motivi per cui potrebbe essere necessario impostare manualmente il nome SPN nell'account del servizio ADFS 2.0 sono i seguenti:
-
Registrazione del nome SPN non riuscita durante la configurazione iniziale della farm.
-
Il nome del servizio federativo è stato modificato.
-
L'account del servizio è stato modificato.
-
-
Assicurarsi che il servizio ADFS 2.0 sia in esecuzione con l'account di servizio basato su dominio menzionato nel passaggio precedente. Ad esempio, nell'immagine seguente, TRLABV3 è il nome host interno e ADFSSvc è l'account del servizio:
-
Configurare il server ADFS 2.0 per accettare intestazioni di richiesta superiori a 40 kilobyte (KB). Potrebbe essere necessario eseguire questa operazione quando l'utente è membro di molti gruppi di utenti di servizi di dominio Active Directory (AD DS). Quando un utente è membro di molti gruppi di dominio Active Directory, la dimensione del token di autenticazione Kerberos per l'utente aumenta. La richiesta HTTP inviata dall'utente al server Internet Information Services (IIS) contiene il token Kerberos nell'intestazione WWW-Authenticate. Pertanto, la dimensione dell'intestazione aumenta con l'aumentare del numero di gruppi. Se l'intestazione HTTP o la dimensione del pacchetto aumenta oltre i limiti configurati in IIS, IIS può rifiutare la richiesta e inviare un errore come risposta. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
2020943 errore "HTTP 400 - richiesta non valida (intestazione richiesta troppo lunga)" in Internet Information Services (IIS)Per ovviare a questo problema, utilizzare uno dei seguenti metodi:
-
Diminuire il numero di gruppi di utenti di Servizi di dominio Active Directory di cui l'utente è membro.
-
Modificare i valori del Registro di sistema MaxFieldLength e MaxRequestBytes sul server che esegue IIS in modo che le intestazioni delle richieste dell'utente non siano considerate troppo lunghe. Questi due valori del Registro di sistema si trovano nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Se sono stati distribuiti più server AD FS 2.0 in una farm e il carico bilanciato è stato distribuito, il client Lync 2013 potrebbe non essere in grado di indirizzare la richiesta al server ADFS 2.0. L'aggiunta di una voce per il server ADFS 2.0 al file Hosts sul client che punta direttamente al server ADFS 2.0 ignorerà l'IP virtuale del servizio di bilanciamento del carico.
-
Se le soluzioni precedenti non risolvono il problema e il downgrade a Lync 2010 non è un'opzione, attenersi alla seguente procedura per risolvere il problema. Nota: Se nel computer non esiste già un account amministratore locale, sarà necessario crearne uno per il funzionamento di questa soluzione.
-
Passare all'eseguibile di Lync 2013 in Esplora risorse:
C:\Program Files\Microsoft Office 15\root\office15
-
Tenere premuto il tasto MAIUSC e quindi fare clic con il pulsante destro del mouse su Lync.exe.
-
Fare clic su Esegui come utente diverso.
-
Immettere le credenziali per un account amministratore locale nel computer e quindi premere INVIO.
-
ULTERIORI INFORMAZIONI
Questo problema si verifica in genere a causa di una configurazione errata in ADFS 2.0. Altri servizi, ad esempio Microsoft Exchange Online potrebbero funzionare correttamente nonostante questa configurazione. Le cause abituali sono elencate qui:
-
ServicePrincipalName (SPN) non è configurato correttamente. I motivi sono i seguenti:
-
Registrazione del nome SPN non riuscita durante la configurazione iniziale della farm.
-
Il nome del servizio federativo è stato modificato.
-
L'account del servizio è stato modificato.
-
-
Il servizio ADFS 2.0 non è in esecuzione con l'account di servizio corretto.
-
L'intestazione della richiesta da Lync 2013 viene rifiutata da IIS e dal server ADFS 2.0 perché l'intestazione è troppo grande. Questo problema può verificarsi perché l'account utente è un membro di troppi gruppi di utenti di dominio Active Directory.
-
La server farm ADFS 2.0 è con carico bilanciato e la richiesta non raggiunge il server ADFS 2.0.
Per ulteriori informazioni sulla distribuzione di ADFS 2.0 per l'utilizzo con SSO in Office 365, vedere il seguente sito Web TechNet:
Pianificare e distribuire ADFS per l'utilizzo con Single Sign-OnNel caso in cui l'utente è membro di un numero di gruppi di Dominio Active Directory, viene immessa la seguente voce nei registri di traccia di Microsoft Online Services Assistente (questi registri si trovano in genere in C: MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Ulteriore assistenza Visitare la community Microsoft.