문제
다음 시나리오를 고려하세요.
-
기업을 위한 Office 365, 교육을 위한 Office 365 또는 Office 365 비즈니스 고객은 AD FS(Active Directory Federation Services) 2.0에서 단일 사인온(SSO)을 설정합니다.
-
회사 네트워크 내부에서 연결하는 페더레이션 된 사용자는 Lync 2013에서 비즈니스 용 Skype 온라인 (이전 Lync Online)에 로그인 할 수 없으며 다음과 같은 오류 메시지가 나타납니다.
서버를 일시적으로 사용할 수 없으므로 로그인할 수 없습니다.
참고 사항 이 문제는 회사 네트워크 내부에서 Lync 2013을 사용하여 비즈니스 용 Skype 온라인에 로그인한 엔터프라이즈 SSO 사용자에게만 적용됩니다. 이 문제는 Microsoft Lync 2010의 사용자, 비즈니스 용 Skype 온라인 에 없는 사용자 또는 회사 네트워크 외부에서 연결하는 사용자에게는 적용되지 않습니다.
솔루션
중요 사항 이 섹션의 단계를 주의 깊게 따르십시오. 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 수정하기 전에 문제가 발생할 경우 레지스트리를 백업하여 복원하십시오. 여러 가지 가능한 원인이 있으므로 다음 모든 솔루션을 통해 작업한 다음 구성을 확인하는 것이 가장 좋습니다.
-
AD FS 2.0 페더레이션 서버 팜을 배포할 때 Kerberos 인증이 올바르게 작동하도록 하려면 등록된 SPN이 필요한 도메인 기반 서비스 계정을 지정해야 합니다. 자세한 내용은 다음 TechNet 위키를 참조하십시오.
AD FS 2.0: 서비스 계정에 대 한 SPN (servicePrincipalName) 구성 하는 방법AD FS 2.0 서비스 계정에서 SPN을 수동으로 설정해야 하는 이유는 다음과 같습니다.
-
팜의 초기 구성 중에 SPN 등록에 실패했습니다.
-
페더레이션 서비스 이름이 변경되었습니다.
-
서비스 계정이 변경되었습니다.
-
-
AD FS 2.0 서비스가 이전 단계에서 언급한 도메인 기반 서비스 계정에서 실행되고 있는지 확인합니다. 예를 들어 다음 이미지에서 TRLABV3는 내부 호스트 이름이며 ADFSSvc는 서비스 계정입니다.
-
40KB(KB)를 초과하는 요청 헤더를 수락하도록 AD FS 2.0 서버를 구성합니다. 사용자가 여러 Active Directory 도메인 서비스(AD DS) 사용자 그룹의 구성원인 경우 이 작업을 수행해야 할 수 있습니다. 사용자가 여러 AD DS 그룹의 구성원인 경우 사용자에 대한 Kerberos 인증 토큰의 크기가 증가합니다. 사용자가 IIS(인터넷 정보 서비스) 서버로 보내는 HTTP 요청에는 WWW-인증 헤더에 Kerberos 토큰이 포함되어 있습니다. 따라서 그룹 수가 증가함에 따라 헤더 크기가 증가합니다. HTTP 헤더 또는 패킷 크기가 IIS에서 구성된 제한을 초과하여 증가하면 IIS는 요청을 거부하고 응답으로 오류를 보낼 수 있습니다. 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하십시오.
2020943 "HTTP 400 - 잘못된 요청(헤더 너무 길게 요청)" 인터넷 정보 서비스(IIS)의 오류이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.
-
사용자가 속한 AD DS 사용자 그룹의 수를 줄입니다.
-
사용자의 요청 헤더가 너무 오래 간주되지 않도록 IIS를 실행하는 서버에서 MaxFieldLength 및 MaxRequestBytes 레지스트리 값을 변경합니다. 이 두 레지스트리 값은 다음 레지스트리 하위 키 아래에 있습니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
팜에 여러 개의 AD FS 2.0 서버를 배포하고 로드 균형을 조정한 경우 Lync 2013 클라이언트가 AD FS 2.0 서버로 요청을 지시하지 못할 수 있습니다. AD FS 2.0 서버를 직접 가리키는 클라이언트의 호스트 파일에 AD FS 2.0 서버에 대한 항목을 추가하면 로드 밸런서의 가상 IP를 우회합니다.
-
이전 솔루션이 문제를 해결하지 못하고 Lync 2010으로 다운그레이드하는 것이 옵션이 아닌 경우 다음 단계를 수행하여 문제를 해결하십시오. 참고 사항 로컬 관리자 계정이 컴퓨터에 아직 없는 경우 이 솔루션이 작동하려면 계정을 만들어야 합니다.
-
Windows 탐색기에서 Lync 2013 실행 을 찾아보십시오.
C:\Program Files\Microsoft Office 15\root\office15
-
Shift 키를 길게 누린 다음 Lync.exe를 마우스 오른쪽 단추로 클릭합니다.
-
다른 사용자로 실행을클릭합니다.
-
컴퓨터에서 로컬 관리자 계정에 대한 자격 증명을 입력한 다음 Enter를 누릅니다.
-
추가 정보
이 문제는 일반적으로 AD FS 2.0의 구성이 잘못되어 발생합니다. 이 구성에도 불구하고 Microsoft Exchange Online과 같은 다른 서비스가 올바르게 작동할 수 있습니다. 일반적인 원인은 다음과 같습니다.
-
SPN(서비스 수명)이 올바르게 구성되지 않았습니다. 그 이유는 다음과 같습니다.
-
팜의 초기 구성 중에 SPN 등록에 실패했습니다.
-
페더레이션 서비스 이름이 변경되었습니다.
-
서비스 계정이 변경되었습니다.
-
-
AD FS 2.0 서비스가 올바른 서비스 계정에서 실행되고 있지 않습니다.
-
Lync 2013의 요청 헤더는 헤더가 너무 커서 IIS 및 AD FS 2.0 서버에서 거부됩니다. 사용자 계정이 너무 많은 AD DS 사용자 그룹의 구성원이기 때문에 이 문제가 발생할 수 있습니다.
-
AD FS 2.0 서버 팜은 로드 밸런스가 조정되며 요청이 AD FS 2.0 서버에 도달하지 않습니다.
Office 365에서 SSO와 함께 사용할 수 있도록 AD FS 2.0배포에 대한 자세한 내용은 다음 TechNet 웹 사이트를 참조하십시오.
단일 사인온으로 사용할 AD FS 를 계획하고 배포합니다.사용자가 너무 많은 AD DS 그룹의 구성원인 경우 Microsoft 온라인 서비스 로그인 도우미 추적 로그에 다음 항목이 입력됩니다(이러한 로그는 일반적으로 C:\ MSOSSPTrace:
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
여전히 도움이 필요하십니까? 마이크로 소프트 커뮤니티로이동합니다.
