Problema
Įsivaizduokite tokią situaciją:
-
Office 365 įmonėms, Office 365 švietimo arba Office 365 verslo klientas nustato bendrosios autentifikacijos (SSO) Active Directory susiejimo tarnyba (AD FS) 2,0.
-
Išorinių vartotojų, kurie jungiasi iš savo įmonės tinklo viduje negali prisijungti prie "Skype" Business Online (anksčiau Lync Online) iš "Lync" 2013, ir jie gauna tokį klaidos pranešimą:
Nepavyksta prisijungti, nes serveris laikinai nepasiekiamas.
Pastaboje Ši problema taikoma tik įmonės SSO vartotojams, kurie prisijungti prie "Skype" Business Online naudojant "Lync" 2013 iš savo įmonės tinklo viduje. Problema nėra taikoma vartotojams Microsoft Lync 2010, vartotojams, kurie nėra "Skype" Business Online, arba vartotojai, kurie jungiasi ne savo įmonės tinkle.
Tirpalas
Svarbioms Atidžiai vykdykite šiame skyriuje nurodytus veiksmus. Jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Prieš keisdami jį, sukurkite atsarginę registro kopiją, jei kiltų problemų. Nes yra daug galimų priežasčių, tai geriausia dirbti per visus šiuos sprendimus, ir tada patikrinkite konfigūraciją.
-
Kai diegiate AD FS 2,0 susiejimo serverio ūkio, turite nurodyti domeno tarnybos abonementą, reikia registruoti SPN įgalinti Kerberos autentifikavimas tinkamai veikti. Daugiau informacijos rasite šioje "TechNet" wiki:
AD FS 2,0: kaip sukonfigūruoti tarnybos abonemento SPN (servicePrincipalName)Priežasčių, kad jums gali tekti nustatyti SPN rankiniu būdu AD FS 2,0 tarnybos abonementas yra šie:
-
Pirminio konfigūracijos ūkyje nepavyko užregistruoti SPN.
-
Susiejimo tarnybos pavadinimas buvo pakeistas.
-
Tarnybos abonementas buvo pakeistas.
-
-
Įsitikinkite, kad AD FS 2,0 tarnyba veikia domeno pagrindu tarnybos abonementą, kuris buvo paminėtas ankstesniame veiksme. Pavyzdžiui, šis paveikslėlis, TRLABV3 yra vidinis pagrindinio kompiuterio vardą ir ADFSSvc yra tarnybos abonementas:
-
Konfigūruoti AD FS 2,0 serverio priimti užklausų antraštes, kurios yra didesni nei 40 kilobaitų (KB). Jums gali tekti tai padaryti, kai vartotojas yra daug Active Directory domenų tarnyba (AD DS) vartotojų grupės narys. Kai vartotojas yra daug AD DS grupių narys, padidina Kerberos autentifikavimo atpažinimo ženklo dydis vartotojui. HTTP užklausą, vartotojas siunčia interneto informacijos tarnybų (IIS) serveryje yra Kerberos atpažinimo ženklas WWW autentifikuoti antraštės. Todėl antraštės dydis padidėja didėjant grupių skaičius. Jei HTTP antraštės arba paketo dydis padidėja daugiau nei sukonfigūruotų IIS, IIS gali atmesti užklausą ir siųsti klaidos atsakymą. Daugiau informacijos ieškokite šiame "Microsoft" žinių bazės straipsnyje:
2020943 "http 400 – bloga užklausa (užklausos antraštė per ilga)" klaida interneto informacijos tarnybų (IIS)Norėdami išspręsti šią problemą, naudokite vieną iš šių būdų:
-
Sumažinkite AD DS vartotojų grupių, vartotojas yra narys, skaičių.
-
Pakeisti MaxFieldLength ir MaxRequestBytes registro reikšmes serveryje, kuriame veikia IIS, kad vartotojo užklausų antraštės nėra laikomi per ilgas. Šių dviejų registro reikšmių yra pagal šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Jei įdiegėte keletą AD FS 2,0 serverių ūkyje ir juos apkrovos subalansuotas, "Lync" 2013 klientas gali nepavykti nukreipti prašymą AD FS 2,0 serveryje. Įtraukti įrašą AD FS 2,0 serverio pagrindinio kompiuterio failą į kliento, kuris nurodo tiesiogiai į AD FS 2,0 serverio apeis virtualus IP apkrovos išlyginimo priemonės.
-
Jei ankstesnius sprendimus nepadėjo išspręsti problemos ir pažeminimas į "Lync" 2010 nėra parinkties, atlikite šiuos veiksmus, Norėdami išspręsti šią problemą. Pastaboje Jei vietinio administratoriaus abonementas kompiuteryje jau nėra, turėsite sukurti šį sprendimą darbui.
-
Pereikite prie "Lync" 2013 vykdomąjį Windows Explorer:
C:\Program Files\Microsoft Office 15\root\office15
-
Laikykite nuspaudę klavišą SHIFT, tada dešiniuoju pelės mygtuku spustelėkite Lync. exe.
-
Spustelėkite paleisti kaip kitą vartotoją.
-
Įveskite vietinio administratoriaus abonemento kredencialus kompiuteryje, ir tada paspauskite ENTER.
-
DAUGIAU INFORMACIJOS
Ši problema paprastai kyla dėl neteisingo konfigūracija AD FS 2,0. Nepaisant šios konfigūracijos, kitos paslaugos, pvz., "Microsoft Exchange Online", gali veikti tinkamai. Įprastos priežastys pateikiamos čia:
-
ServicePrincipalName (SPN) nėra tinkamai sukonfigūruotas. Šios priežastys yra šios:
-
Pirminio konfigūracijos ūkyje nepavyko užregistruoti SPN.
-
Susiejimo tarnybos pavadinimas buvo pakeistas.
-
Tarnybos abonementas buvo pakeistas.
-
-
AD FS 2,0 tarnyba veikia ne pagal tinkamą tarnybos abonementą.
-
Užklausos antraštę iš "Lync" 2013 atmetė IIS ir AD FS 2,0 serverį, nes antraštė yra per didelis. Ši problema gali kilti dėl to, kad vartotojo abonementas yra per daug AD DS vartotojų grupės narys.
-
AD FS 2,0 serverių ūkis yra apkrovos subalansuotas ir užklausa nepasiekia AD FS 2,0 serverio.
Norėdami gauti daugiau pagalbos diegiant AD FS 2,0 naudoti su SSO Office 365, ieškokite šioje "TechNet" svetainėje:
Planuoti ir diegti AD FS naudoti su bendrosios autentifikacijosTuo atveju, kai vartotojas yra per daug AD DS grupių narys, į Microsoft Online Services prisijungimo asistentas sekimo žurnalai įvedamas Šis įrašas (šie žurnalai paprastai yra C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Vis tiek reikia pagalbos? Eikite į "Microsoft" bendruomenė.
