Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Liczba użytkowników rejestracji pojedynczej w usłudze Office 365 Enterprise nie można logować się Skype dla firm Online z wewnątrz sieci firmowej

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 2839539
PROBLEM
Rozważ następujący scenariusz:
  • Usługi Office 365 dla przedsiębiorstw, usługi Office 365 dla edukacji lub Office 365 dla średnich firm odbiorcy ustawia rejestracji jednokrotnej (SSO) w programie Active Directory Federation Services (AD FS) 2.0.
  • Użytkownikom federacyjnym, którzy łączą się z wewnątrz sieci firmowej nie można logować się Skype dla Online(formerly Lync Online) biznesowych z Lync 2013, a oni otrzymać następujący komunikat o błędzie:
    Nie można zarejestrować, ponieważ serwer jest tymczasowo niedostępny.
Uwaga: Ten problem dotyczy tylko użytkowników usługi rejestracji Jednokrotnej w przedsiębiorstwie, którzy zarejestrować się w programie Skype dla firm Online przy użyciu programu Lync 2013 od wewnątrz sieci firmowej. Problem nie dotyczy użytkowników na Microsoft Lync 2010, użytkownicy, którzy nie są w Skype dla firm Online lub użytkowników, którzy łączą się z zewnątrz sieci firmowej.
ROZWIĄZANIE
Ważne: Uważnie należy wykonać kroki opisane w tej sekcji. Niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Przed przystąpieniem do modyfikacji, wykonać kopię zapasową rejestru w celu przywrócenia w przypadku, gdy wystąpią problemy.

Ponieważ istnieje wiele możliwych przyczyn, najlepiej do pracy ze względu na następujące rozwiązania, a następnie sprawdź konfigurację.
  1. Przy wdrażaniu AD farmy serwer federacyjny FS 2.0, należy określić konto usługi opartych na domenie, wymagającego zarejestrowaną nazwę SPN, aby włączyć uwierzytelnianie Kerberos działało poprawnie. Aby uzyskać więcej informacji zobacz następujące TechNet wiki:Przyczyny, że może trzeba ręcznie ustawić nazwy SPN na rachunek 2.0 z programu AD FS są następujące:
    • Rejestracja nazwy SPN nie powiodła się podczas początkowej konfiguracji farmy.
    • Zmieniono nazwę usługi federacyjnej.
    • Konto usługi zostało zmienione.
  2. Upewnij się, że AD FS 2.0 jest uruchomiona na koncie usługi opartych na domenie, która została wymieniona w poprzednim kroku. Na przykład na poniższym obrazie TRLABV3 jest nazwą hosta wewnętrznego i ADFSSvc jest konto usługi:

    Ekran strzał AD FS 2.0 systemu Windows właściwości usługi wyświetlono opartych na domenie konta
  3. Skonfiguruj AD FS 2.0 serwera do akceptowania nagłówków żądania, które są większe niż 40 kilobajtów (KB). Należy to zrobić, jeśli użytkownik jest członkiem wielu grup użytkowników Usługi domenowe w usłudze Active Directory (AD DS). Gdy użytkownik jest członkiem wielu grup AD DS, zwiększa rozmiar token uwierzytelniania Kerberos dla użytkownika.

    Żądania HTTP, które użytkownik wysyła do serwera Internet Information Services (IIS) zawiera tokenu Kerberos w nagłówka WWW-Authenticate. W związku z tym zwiększa się rozmiar nagłówka jako liczba wzrasta grup. Jeśli nagłówek HTTP lub rozmiar pakietu wzrasta poza granicami, które są skonfigurowane w usługach IIS, usługi IIS może odrzucić wniosek i wysłać błąd jako odpowiedź. Aby uzyskać więcej informacji zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    2020943 Błąd "HTTP 400 - Złe żądanie (żądanie nagłówka za długi)" w programie Internet Information Services (IIS)
    Aby obejść ten problem, użyj jednej z następujących metod:
    1. Zmniejsz liczbę grup użytkowników AD DS, których użytkownik jest członkiem.
    2. Zmień wartości rejestru MaxRequestBytes na serwerze, na którym działa program IIS, tak aby nagłówki żądania użytkownika nie są uważane za zbyt długo i MaxFieldLength. Wartości te dwa rejestru znajdują się w następującym podkluczu rejestru:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Jeśli już wdrożono wiele AD FS 2.0 serwerów w farmie i ich objęty równoważeniem obciążenia, klient Lync 2013 może być nie można skierować żądanie do programu AD FS 2.0 serwera. Dodanie wpisu dla AD FS 2.0 serwera do pliku Hosts na komputerze klienckim, który wskazuje bezpośrednio do programu AD FS 2.0 serwer będzie obwodnica wirtualnych IP usługi równoważenia obciążenia.
  5. Jeśli opcja obniżenia do programu Lync 2010 nie poprzednie rozwiązania nie rozwiąże problemu, wykonaj następujące kroki w celu obejścia tego problemu.

    Uwaga: Jeśli konto administratora lokalnego nie istnieje na tym komputerze, musisz utworzyć dla tego rozwiązania do pracy.
    1. Przejdź do 2013 Lync wykonywalne w Eksploratorze Windows:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Naciśnij i przytrzymaj klawisz Shift, a następnie kliknij prawym przyciskiem myszy Lync.exe.
    3. Kliknij przycisk Uruchom jako inny użytkownik.
    4. Wprowadź poświadczenia dla konta administratora lokalnego na komputerze, a następnie naciśnij klawisz Enter.
WIĘCEJ INFORMACJI
Ten problem zwykle występuje z powodu złej konfiguracji w programie AD FS 2.0. Inne usługi Microsoft Exchange online może działać poprawnie, pomimo tej konfiguracji. Częste przyczyny są tutaj wymienione:
  • ServicePrincipalName (SPN) nie jest poprawnie skonfigurowany. Przyczyny tego są następujące:
    • Rejestracja nazwy SPN nie powiodła się podczas początkowej konfiguracji farmy.
    • Zmieniono nazwę usługi federacyjnej.
    • Konto usługi zostało zmienione.
  • AD FS 2.0 usługa nie jest uruchomiona w ramach konta poprawna usługa.
  • Nagłówek z Lync 2013 jest odrzucony przez usługi IIS i program AD FS 2.0 serwera, ponieważ nagłówek jest za duży. Ten problem może wystąpić, ponieważ konto użytkownika jest członkiem zbyt wielu grup użytkowników AD DS.
  • Program AD FS 2.0 farmy jest równoważone, a żądanie nie jest osiągnięcie AD FS 2.0 serwera.
Aby uzyskać pomoc z wdrażania programu AD FS 2.0 do użytku z usługi rejestracji Jednokrotnej w usłudze Office 365 zobacz następującą witrynę sieci Web TechNet:W przypadku gdy użytkownik jest członkiem zbyt wielu grup AD DS, następujący wpis wprowadza się w Microsoft Online Services Asystenta logowania w witrynie dzienniki śledzenia (te dzienniki są zazwyczaj znajduje się w C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

Nadal potrzebujesz pomocy? Przejdź do Społeczności użytkowników usługi Office 365 .

Ostrzeżenie: ten artykuł przetłumaczono automatycznie

Właściwości

Identyfikator artykułu: 2839539 — ostatni przegląd: 05/01/2015 18:04:00 — zmiana: 11.0

Skype for Business Online

  • o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtpl
Opinia