ПРОБЛЕМА
Рассмотрим следующий сценарий.
-
Офис 365 для предприятий, Office 365 для образования, или Office 365 бизнес-клиент устанавливает единый регистрации (SSO) в Active Directory Federation Services (AD FS) 2.0.
-
Федеративные пользователи, которые подключаются из нутри своей корпоративной сети, не могут войти в Skype для Business Online (ранее Lync Online) с Lync 2013, и они получают следующее сообщение об ошибке:
Не удается войти, так как сервер временно недоступен.
Заметка Эта проблема распространяется только на пользователей Enterprise SSO, которые вписываются в Skype для Business Online, используя Lync 2013 из своей корпоративной сети. Проблема не распространяется на пользователей Microsoft Lync 2010, пользователей, которые не подключены к Skype для Business Online, или пользователей, которые подключаются из-за пределов своей корпоративной сети.
РЕШЕНИЕ
Важно Внимательно следуйте за шагами в этом разделе. Серьезные проблемы могут возникнуть, если вы измените реестр неправильно. Перед тем, как изменить его, резервное копирование реестра для восстановления в случае возникновения проблем. Поскольку существует множество возможных причин, лучше всего проработать все следующие решения, а затем проверить конфигурацию.
-
При развертывании фермы AD FS 2.0 Federation Server необходимо указать учетную запись службы домена, которая нуждается в зарегистрированной SPN, чтобы обеспечить правильную работу аутентификации Kerberos. Для получения дополнительной информации, см.
AD FS 2.0: Как настроить SPN (сервисPrincipalName) для учетной записи службыПричины, по которым вам, возможно, придется установить SPN вручную на учетную запись службы AD FS 2.0:
-
Регистрация SPN не удалась во время первоначальной конфигурации фермы.
-
Название службы Федерации было изменено.
-
Учетная запись сервиса была изменена.
-
-
Убедитесь, что служба AD FS 2.0 работает в рамках учетной записи службы домена, которая была упомянута на предыдущем этапе. Например, на следующем изображении TRLABV3 — это внутреннее имя хоста, а ADFSSvc — учетная запись службы:
-
Нанастройка сервера AD FS 2.0 для приема заголовков запросов размером более 40 килобайт (КБ). Возможно, вам придется сделать это, когда пользователь является членом многих активных групп доменов каталога (AD DS). Когда пользователь является членом многих групп AD DS, размер маркера проверки подлинности Kerberos для пользователя увеличивается. Запрос HTTP, который пользователь отправляет на сервер Информационных служб Интернета (IIS), содержит токен Kerberos в заголовке WWW-Authenticate. Таким образом, размер заголовка увеличивается по мере увеличения числа групп. Если размер заголовка HTTP или пакетов увеличивается за пределы, настроенные в IIS, IIS может отклонить запрос и отправить ошибку в качестве ответа. Для получения дополнительной информации, см.
2020943 "HTTP 400 - Плохой запрос (Запрос Заголовок слишком долго)" Ошибка в Интернет-информационных услуг (IIS)Чтобы обойти эту проблему, воспользуйтесь одним из описанных ниже методов.
-
Уменьшите количество групп пользователей AD DS, членом которого является пользователь.
-
Измените значения реестра MaxField Length и MaxRequestBytes на сервере, который работает с IIS, чтобы заголовки запросов пользователя не считались слишком длинными. Эти два значения реестра расположены в следующем подключке реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Если вы развернули несколько серверов AD FS 2.0 на ферме и увелиили их загрузку, клиент Lync 2013 может быть не в состоянии направить запрос на сервер AD FS 2.0. Добавление записи для сервера AD FS 2.0 в файл Хостов на клиенте, который указывает непосредственно на сервер AD FS 2.0, обойдет виртуальный IP-адреса балансиругов нагрузки.
-
Если предыдущие решения не решили проблему и понижение до Lync 2010 не вариант, следуйте этим шагам, чтобы обойти эту проблему. Заметка Если учетная запись локального администратора еще не существует на компьютере, необходимо создать учетную запись локального администратора для работы этого решения.
-
Просмотр Lync 2013 исполняемых в Windows Explorer:
C:\Program Files\Microsoft Office 15\root\office15
-
Удерживайте ключ Shift, а затем щелкните lync.exe вправо.
-
Нажмите Выполнить как другой пользователь.
-
Введите учетные данные для учетной записи локального администратора на компьютере, а затем нажмите Enter.
-
ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
Эта проблема обычно возникает из-за неправильной настройки в AD FS 2.0. Другие службы, такие как Microsoft Exchange Online, могут работать правильно, несмотря на эту конфигурацию. Обычные причины перечислены здесь:
-
Имя servicePrincipalName (SPN) настроено неправильно. Причины этого включают в себя следующие:
-
Регистрация SPN не удалась во время первоначальной конфигурации фермы.
-
Название службы Федерации было изменено.
-
Учетная запись сервиса была изменена.
-
-
Служба AD FS 2.0 не работает под правильной учетной записью обслуживания.
-
Заголовок запроса от Lync 2013 отклоняется IIS и сервером AD FS 2.0, поскольку заголовок слишком велик. Эта проблема может возникнуть из-за того, что учетная запись пользователя является членом слишком большого числа групп пользователей AD DS.
-
Ферма серверов AD FS 2.0 сбалансирована, и запрос не достигает сервера AD FS 2.0.
Для получения дополнительной помощи при развертывании AD FS 2.0 для использования с SSO в Office 365, см.
Планирование и развертывание AD FS для использования с одним ввозамВ случае, когда пользователь является членом слишком большого количества групп AD DS, следующая запись вводится в журналы отслеживания входа в microsoft Online Services (эти журналы обычно находятся в C: MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Требуется дополнительная помощь? Зайдите на сайт сообщества Майкрософт.
