Восстановление IIS и очистка Active Directory при удалении службы федерации Active Directory (AD FS) 2.0

  • Статья

В этой статье описывается восстановление служб IIS и очистка Active Directory при удалении службы федерации Active Directory (AD FS) 2.0.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 982813

Введение

Мастер удаления службы федерации Active Directory (AD FS) 2.0 (AD FS 2.0) удаляет AD FS 2.0 с компьютера. Однако вам все равно может потребоваться вручную восстановить или очистить параметры в любой из следующих ситуаций:

  • При удалении AD FS 2.0 с сервера федерации или прокси-сервера федерации мастер удаления не восстанавливает iis в исходное состояние.
  • При удалении AD FS 2.0 с последнего добавленного сервера федерации в ферме серверов федерации процесс удаления не удаляет контейнер общего доступа к сертификатам, созданный в Active Directory.

Если запустить мастер настройки сервера федерации AD FS 2.0 после переустановки AD FS 2.0, но вы не очистили предыдущую конфигурацию AD FS 2.0 из IIS, может возникнуть один из следующих симптомов:

  • На странице Результаты конфигурации может отображаться компонент Развертывание веб-сайта входа в браузер с состоянием Настройка завершена с предупреждениями. При выборе состояния может появилось следующее предупреждение:

    Обнаружен существующий веб-сайт. Таким образом, веб-сайт не был переустановлен. Если вы пытаетесь повторно развернуть веб-сайты AD FS 2.0 по умолчанию, см http://go.microsoft.com/fwlink/?LinkId=181110 . дополнительные сведения.

  • На странице Результаты конфигурации может отображаться компонент Развертывание веб-сайта входа в браузер с состоянием Настройка компонентов... при отображении следующего сообщения об ошибке:

    Не удается скопировать файлы веб-сайта в C:\inetpub\adfs\ls, так как каталог уже существует. Удалите каталог и повторно запустите мастер настройки или обновите существующий веб-сайт вручную.

Для очистки или восстановления исходной конфигурации можно использовать следующие методы:

Восстановление IIS на сервере федерации или компьютере-посреднике сервера федерации

При установке AD FS 2.0 на компьютере, настроенном для роли сервера федерации или прокси-сервера федерации, он создаст виртуальные каталоги /adfs и /adfs/ls в IIS. AD FS 2.0 также создаст пул приложений с именем ADFSAppPool. При удалении AD FS 2.0 с сервера федерации или прокси-сервера федерации эти виртуальные каталоги не удаляются. Кроме того, пул приложений не удаляется. Это может привести к проблемам, если AD FS 2.0 будет снова установлен на том же компьютере.

Чтобы вручную удалить эти каталоги с списанного сервера федерации или прокси-сервера федерации, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите Администрирование, а затем — Диспетчер IIS.

  2. Разверните узел имя сервера, узел Сайты, а затем выберите Веб-сайт по умолчанию.

  3. В области Действия выберите Просмотр приложений.

    Примечание.

    Вы увидите следующие два виртуальных каталога, связанных с AD FS 2.0:

    • /Adfs
    • /adfs/ls

  4. Щелкните правой кнопкой мыши приложение AD FS 2.0, которое находится в каждом виртуальном каталоге, и выберите команду Удалить.

  5. В области Действия выберите Пулы приложений.

    Примечание.

    Вы увидите пул приложений с именем ADFSAppPool.

  6. Щелкните правой кнопкой мыши ADFSAppPool и выберите команду Удалить.

    Примечание.

    В следующих двух шагах показано, как удалить каталог \adfs из каталога inetpub. Если вы внесли пользовательские изменения в содержимое в этом каталоге, рекомендуется создать резервную копию этого содержимого в другом расположении перед удалением каталога.

  7. В Windows Обозреватель перейдите к каталогу inetpub. Этот каталог расположен по следующему пути:
    %systemdrive%\inetpub

  8. Щелкните правой кнопкой мыши каталог Adfs и выберите команду Удалить.

Удаление контейнера общего доступа к сертификатам в Active Directory

При установке AD FS 2.0 и использовании мастера настройки сервера федерации для создания нового сервера федерации в новой ферме серверов федерации мастер создаст контейнер общего доступа к сертификатам в Active Directory. Этот контейнер используется всеми серверами федерации в ферме. При удалении AD FS 2.0 с последнего добавленного сервера федерации в ферме этот контейнер не удаляется из Active Directory.

Чтобы вручную удалить этот контейнер в Active Directory, выполните следующие действия.

  1. Перед удалением AD FS 2.0 с последнего сервера федерации в ферме выполните следующие команды PowerShell в AD FS 2.0 STS, чтобы определить расположение контейнера общего доступа к сертификатам в Active Directory:

    Add-PsSnapin Microsoft.Adfs.Powershell  
Get-AdfsProperties

  2. Обратите внимание на свойство CertificateSharingContainer в выходных данных предыдущего шага.

  3. Войдите на сервер, где установлено средство ADSIEdit (ADSIEdit.msc).

  4. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите ADSIEdit.msc, а затем нажмите клавишу ВВОД.

  5. В средстве ADSIEdit подключитесь к контексту именования по умолчанию, выполнив следующие действия.

    1. Щелкните правой кнопкой мыши элемент Редактирование ADSI и выберите подключиться к.
    2. В разделе Точка подключения щелкните Выбрать известный контекст именования, а затем выберите Контекст именования по умолчанию.
    3. Нажмите кнопку OK.

  6. Разверните следующий узел:
    Контекст именования по умолчанию, {раздел домена}, CN=Program Data, CN=Microsoft, CN=ADFS

    Примечание.

    В разделе CN=ADFS вы увидите контейнер с именем CN={GUID} для каждой развернутой фермы AD FS 2.0, где {GUID} соответствует свойству CertificateSharingContainer , записанное с помощью Get-AdfsProperties команды PowerShell на шаге 1.

  7. Щелкните правой кнопкой мыши соответствующий контейнер {GUID} , а затем выберите Удалить.