PROBLEEM
Neem het volgende scenario:
-
Een Office 365 voor ondernemingen, Office 365 voor onderwijs of Office 365 zakelijke klant stelt eenmalige aanmelding (SSO) in Active Directory Federation Services (AD FS) 2,0.
-
Federatieve gebruikers die verbinding maken vanuit hun bedrijfsnetwerk kunnen niet aanmelden bij Skype voor Business Online (voorheen Lync online) van Lync 2013 en wordt het volgende foutbericht weergegeven:
Kan niet aanmelden omdat de server tijdelijk niet beschikbaar is.
Opmerking Dit probleem geldt alleen voor Enterprise SSO-gebruikers die zich aanmelden bij Skype voor Business Online met behulp van Lync 2013 vanuit hun bedrijfsnetwerk. Het probleem is niet van toepassing op gebruikers op Microsoft Lync 2010, gebruikers die niet op Skype voor Business Online of gebruikers die verbinding van buiten hun bedrijfsnetwerk maken.
OPLOSSING
Belangrijk Volg de stappen in deze sectie zorgvuldig. Er kunnen ernstige problemen optreden als u het register onjuist wijzigt. Voordat u deze wijzigt, back-up van het register voor herstel in geval problemen optreden. Omdat er veel mogelijke oorzaken zijn, u het beste door alle volgende oplossingen werken en vervolgens de configuratie controleren.
-
Wanneer u een AD FS 2,0 Federation-server farm implementeert, moet u een serviceaccount op basis van een domein dat een geregistreerde SPN nodig om Kerberos-verificatie goed te laten functioneren. Zie de volgende TechNet-wiki voor meer informatie:
AD FS 2,0: het configureren van de SPN (servicePrincipalName) voor het service accountDe redenen dat u wellicht de SPN handmatig instellen op de AD FS 2,0 Service-account zijn als volgt:
-
SPN-registratie is mislukt tijdens de initiële configuratie van de farm.
-
De naam van de Federation-service is gewijzigd.
-
Het serviceaccount is gewijzigd.
-
-
Zorg ervoor dat de AD FS 2,0-service wordt uitgevoerd onder de serviceaccount op basis van een domein dat is vermeld in de vorige stap. Bijvoorbeeld, in de volgende afbeelding, TRLABV3 is de interne hostnaam en ADFSSvc is de serviceaccount:
-
Configureer de AD FS 2,0-server voor het accepteren van aanvraagheaders die groter zijn dan 40 kilobytes (KB). Mogelijk moet u dit doen wanneer de gebruiker lid is van een groot aantal AD DS-gebruikers groepen (Active Directory Domain Services). Wanneer een gebruiker lid is van veel AD DS-groepen, neemt de grootte van het Kerberos-verificatietoken voor de gebruiker toe. De HTTP-aanvraag die de gebruiker naar de Internet Information Services (IIS)-server verzendt, bevat het Kerberos-token in de header WWW-Authenticate. Daarom neemt de header grootte toe naarmate het aantal groepen toeneemt. Als de HTTP-header of pakketgrootte groter is dan de limieten die zijn geconfigureerd in IIS, kan IIS de aanvraag afwijzen en een fout als antwoord verzenden. Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie:
2020943 ' http 400-ongeldige aanvraag (aanvraag header te lang) ' fout in Internet Information Services (IIS)Om dit probleem te omzeilen, kunt u een van de volgende methoden gebruiken:
-
Verminder het aantal AD DS-gebruikers groepen waarvan de gebruiker lid is.
-
Wijzig de registerwaarden MaxFieldLength en MaxRequestBytes op de server waarop IIS wordt uitgevoerd, zodat de aanvraagheaders van de gebruiker niet te lang worden beschouwd. Deze twee registerwaarden bevinden zich onder de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Als u meerdere AD FS 2,0-servers in een farm hebt geïmplementeerd en ze in evenwicht hebt geladen, is de Lync 2013-client mogelijk niet de aanvraag naar de AD FS 2,0-server te richten. Een vermelding voor de AD FS 2,0-server toevoegen aan het hosts-bestand op de client die rechtstreeks naar de AD FS 2,0-server verwijst, wordt het virtuele IP-adres van de Load Balancer overgeslagen.
-
Als het probleem niet is opgelost met de vorige oplossingen en downgraden naar Lync 2010 is geen optie, volg deze stappen om het probleem te omzeilen. Opmerking Als er nog geen lokale Administrator-account op de computer bestaat, moet u er een maken om deze oplossing te laten werken.
-
Blader naar het uitvoerbare bestand Lync 2013 in Windows Verkenner:
C:\Program Files\Microsoft Office 15\root\office15
-
Houd de Shift-toets ingedrukt en klik met de rechtermuisknop op Lync. exe.
-
Klik op uitvoeren als andere gebruiker.
-
Voer de referenties voor een lokale Administrator-account op de computer en druk vervolgens op ENTER.
-
MEER INFORMATIE
Dit probleem treedt meestal op vanwege een onjuiste configuratie in AD FS 2,0. Andere services, zoals Microsoft Exchange Online werken mogelijk correct ondanks deze configuratie. De gebruikelijke oorzaken worden hier vermeld:
-
De ServicePrincipalName (SPN) is niet correct geconfigureerd. De redenen hiervoor zijn de volgende:
-
SPN-registratie is mislukt tijdens de initiële configuratie van de farm.
-
De naam van de Federation-service is gewijzigd.
-
Het serviceaccount is gewijzigd.
-
-
De AD FS 2,0-service wordt niet uitgevoerd onder de juiste serviceaccount.
-
De aanvraagheader van Lync 2013 wordt geweigerd door IIS en de AD FS 2,0-server omdat de header te groot is. Dit probleem kan optreden omdat de gebruikersaccount lid is van te veel AD DS-gebruikers groepen.
-
De AD FS 2,0-serverfarm is verdeeld en de aanvraag is niet het bereiken van de AD FS 2,0-server.
Zie de volgende TechNet-website voor meer hulp bij het implementeren van AD FS 2,0 voor gebruik met SSO in Office 365:
AD FS plannen en implementeren voor gebruik met eenmalige aanmeldingIn het geval wanneer de gebruiker lid is van te veel AD DS-groepen, wordt de volgende vermelding ingevoerd in de traceerlogboeken van Microsoft Online Services Sign-in Assistant (deze logboeken bevinden zich meestal in C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Meer hulp nodig? Ga naar Microsoft Community.