Problēma
Apsveriet šādu situāciju:
-
Office 365 uzņēmumiem, Office 365 izglītības vai Office 365 uzņēmuma klients izveido vienotās pierakstīšanās (SSO) Active Directory Federācijas pakalpojums (AD FS) 2,0.
-
Federatīva lietotājiem izveidot savienojumu no sava uzņēmuma tīkla nevar pierakstīties Skype Online Business (formerly Lync Online) no Lync 2013 un tie tiek parādīts šāds kļūdas ziņojums:
Nevar pierakstīties, jo serveris īslaicīgi nav pieejams.
Ņemiet vērā Šī problēma attiecas tikai uz Enterprise SSO lietotājiem, kuri pierakstīties Skype biznesa tiešsaistē, izmantojot Lync 2013 no sava uzņēmuma tīklā. Šī problēma neattiecas uz lietotājiem Microsoft Lync 2010, lietotājiem, kuri nav Skype biznesa tiešsaistē vai lietotājiem, kas savieno ārpus uzņēmuma tīklā.
Risinājums
Svarīgam Rūpīgi izpildiet šajā sadaļā aprakstītās darbības. Ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Pirms modificējat, dublējiet reģistru atjaunošanai gadījumam, ja rodas problēmas. Tā kā pastāv daudzi iespējamie cēloņi, vislabāk ir strādāt ar visiem tālāk minētajiem risinājumiem un pēc tam pārbaudīt konfigurāciju.
-
Ieviešot AD FS 2,0 Federācijas serveru ferma, jānorāda domēna sistēma pakalpojuma konts ir reģistrēts SPN iespējot Kerberos autentifikācija darbotos pareizi. Lai iegūtu papildinformāciju, skatiet šo TechNet Wiki:
AD FS 2,0: kā konfigurēt SPN (servicePrincipalName) pakalpojuma kontamIemesli, iespējams, ir jāiestata SPN manuāli AD FS 2,0 pakalpojuma kontā ir šādi:
-
Sākotnējās fermas konfigurācijas SPN reģistrācija neizdevās.
-
Federācijas pakalpojuma nosaukums ir mainīts.
-
Pakalpojuma konts ir mainīts.
-
-
Pārliecinieties, ka AD FS 2,0 pakalpojums darbojas saskaņā ar domēnu sistēma pakalpojuma kontu, kas tika minēts iepriekšējā darbībā. Piemēram, nākamajā attēlā TRLABV3 ir iekšējais resursdatora nosaukums, un ADFSSvc ir pakalpojuma konts:
-
Konfigurējiet AD FS 2,0 serverim pieņemt pieprasījumu galvenes, kas ir lielāki par 40 kilobaiti (KB). Tas var būt jādara, ja lietotājs ir daudz domēna pakalpojumā Active Directory (AD DS) lietotāju grupas dalībniekam. Ja lietotājs ir daudz AD DS grupas dalībnieks, palielina lietotāja Kerberos autentifikācijas marķiera lielumu. HTTP pieprasījumu, lietotājs nosūta interneta informācijas pakalpojumi (IIS) serveris ir Kerberos pilnvara WWW autentificētu galvenē. Tādēļ galvenes lielumu palielina grupu skaits palielinās. Ja HTTP galvenes vai paketes lielumu palielina ārpus ierobežojumiem, kas ir konfigurēts IIS, IIS var noraidīt pieprasījumu un nosūtīt kļūdas atbildi. Lai iegūtu papildinformāciju, skatiet šo Microsoft zināšanu bāzes rakstu:
2020943 "HTTP 400-nederīgs pieprasījums (pieprasījuma galvene ir pārāk gara)" kļūda interneta informācijas pakalpojumos (IIS)Lai šo problēmu atrisinātu, izmantojiet kādu no šīm metodēm:
-
Samaziniet AD DS lietotāju grupu skaitu, kuras dalībnieks ir lietotājs.
-
Mainiet MaxFieldLength un MaxRequestBytes reģistra vērtības serverī, kurā darbojas IIS, lai lietotāja pieprasījuma galvenes netiek uzskatīti par pārāk ilgi. Šīs divas reģistra vērtības atrodas šajā reģistra apakšatslēgā:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Ja esat izvietojis vairākas AD FS 2,0 serveru fermas un tos slodzes līdzsvaroti, Lync 2013 klients var nevar virzīt pieprasījumu AD FS 2,0 serverim. Pievienojot AD FS 2,0 servera ierakstu failā Hosts klientam, kas norāda tieši uz AD FS 2,0 servera apiet virtuālā IP slodzes līdzsvarotāja.
-
Ja iepriekšējā risinājumi nav atrisināt problēmu un pazemināt Lync 2010 nav opciju, veiciet tālāk norādītās darbības, lai novērstu šo problēmu. Ņemiet vērā Ja lokālais administratora konts datorā vēl nepastāv, jums tas būs jāizveido, lai šis risinājums darbotos.
-
Atrodiet Windows Explorer Lync 2013 izpildāmo failu:
C:\Program Files\Microsoft Office 15\root\office15
-
Turiet nospiestu taustiņu SHIFT un pēc tam ar peles labo pogu noklikšķiniet uz Lync. exe.
-
Noklikšķiniet uz Palaist kā cits lietotājs.
-
Datorā ievadiet lokālā administratora konta akreditācijas datus un pēc tam nospiediet taustiņu ENTER.
-
Papildinformācija
Šī problēma parasti rodas, jo AD FS 2,0 nepareiza konfigurācija. Citi pakalpojumi, piemēram, Microsoft Exchange Online var darboties pareizi, neraugoties uz šo konfigurāciju. Parastie cēloņi ir uzskaitīti šeit:
-
ServicePrincipalName (SPN) nav konfigurēts pareizi. To iemesli ir šādi:
-
Sākotnējās fermas konfigurācijas SPN reģistrācija neizdevās.
-
Federācijas pakalpojuma nosaukums ir mainīts.
-
Pakalpojuma konts ir mainīts.
-
-
AD FS 2,0 pakalpojums nav darbojas pareizi pakalpojuma kontu.
-
Pieprasījuma galvenes no Lync 2013 tiek noraidīts, IIS un AD FS 2,0 serveri, jo galvene ir pārāk liels. Šī problēma var rasties, jo lietotāja konts ir pārāk daudz AD DS lietotāju grupas dalībnieks.
-
AD FS 2,0 serveru ferma ir līdzsvarotas slodzes un pieprasījums nav sasniedzot AD FS 2,0 serveri.
Lai saņemtu papildu palīdzību saistībā ar AD FS 2,0 izvietošanu lietošanai ar SSO Office 365, skatiet TechNet vietnē:
Plānot un izvietot AD FS izmantošanai vienotā pierakstīšanāsGadījumā, ja lietotājs ir pārāk daudz AD DS grupas dalībnieks, šo ierakstu tiek ievadīts Microsoft Online Services pierakstīšanās palīgs trasēšanas žurnālos (šie žurnāli parasti atrodas C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Joprojām ir nepieciešama palīdzība? Dodieties uz Microsoft Community.
