PROBLEM

Rozpatrzmy następujący scenariusz:

  • Office 365 dla przedsiębiorstw, Office 365 dla szkół i uczelni lub Office 365 klienta biznesowego konfiguruje rejestracji jednokrotnej (SSO) w Active Directory Federation Services (AD FS) 2,0.

  • Użytkowników federacyjnych, którzy łączą się z wewnątrz sieci firmowej nie można zalogować się do programu Skype dla firm Online (formerly Lync online) z 2013 Lync i otrzymują następujący komunikat o błędzie:

    Nie można się zalogować, ponieważ serwer jest tymczasowo niedostępny.

Uwaga Ten problem dotyczy tylko użytkowników usługi rejestracji jednokrotnej w przedsiębiorstwie, którzy logują się do programu Skype dla firm Online przy użyciu programu Lync 2013 z wewnątrz sieci firmowej. Ten problem nie dotyczy użytkowników programu Microsoft Lync 2010, użytkowników, którzy nie są w programie Skype dla firm Online lub użytkowników, którzy łączą się spoza sieci firmowej.

ROZWIĄZANIE

Ważne Postępuj zgodnie z instrukcjami w tej sekcji ostrożnie. Niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. Przed przystąpieniem do modyfikacji, należy wykonać kopię zapasową rejestru w celu przywrócenia w przypadku wystąpienia problemów. Ponieważ istnieje wiele możliwych przyczyn, najlepiej jest pracować przez wszystkie następujące rozwiązania, a następnie sprawdź konfigurację.

  1. Podczas wdrażania farmy serwerów federacyjnych programu AD FS 2,0 należy określić konto usługi oparte na domenie, które wymaga zarejestrowanej nazwy SPN, aby włączyć uwierzytelnianie Kerberos do poprawnego działania. Aby uzyskać więcej informacji, zobacz następującą wiki TechNet:

    2,0 usług AD FS: jak skonfigurować nazwę SPN (servicePrincipalName) dla konta usługiPrzyczyny, które należy ręcznie ustawić nazwę SPN na koncie usługi AD FS 2,0 są następujące:

    • Rejestracja nazwy SPN nie powiodła się podczas wstępnej konfiguracji farmy.

    • Zmieniono nazwę usługi federacyjnej.

    • Konto usługi zostało zmienione.

  2. Upewnij się, że Usługa AD FS 2,0 jest uruchomiona na koncie usługi opartej na domenie, który został wymieniony w poprzednim kroku. Na przykład na poniższej ilustracji TRLABV3 jest nazwą hosta wewnętrznego, a ADFSSvc jest kontem usługi:alternate text

  3. Skonfiguruj serwer 2,0 AD FS do akceptowania nagłówków żądań, które są większe niż 40 kilobajtów (KB). Być może trzeba to zrobić, gdy użytkownik jest członkiem wielu grup użytkowników usług domenowych w usłudze Active Directory (AD DS). Gdy użytkownik jest członkiem wielu grup AD DS, wzrasta rozmiar tokenu uwierzytelniania Kerberos dla użytkownika. Żądanie HTTP, które użytkownik wysyła do serwera Internet Information Services (IIS) zawiera token protokołu Kerberos w nagłówku WWW-Authenticate. W związku z tym rozmiar nagłówka wzrasta wraz ze wzrostem liczby grup. Jeśli rozmiar nagłówka lub pakietu HTTP wzrasta poza limity, które są skonfigurowane w usługach IIS, usługi IIS mogą odrzucić żądanie i wysłać błąd jako odpowiedź. Aby uzyskać więcej informacji zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:

    2020943 błąd "http 400-złe żądanie (nagłówek żądania zbyt długo)" w Internet Information Services (IIS)Aby obejść ten problem, użyj jednej z następujących metod:

    1. Zmniejsz liczbę grup użytkowników AD DS, które użytkownik jest członkiem.

    2. Zmień MaxFieldLength i MaxRequestBytes wartości rejestru na serwerze, na którym działa program IIS tak, aby nagłówki żądania użytkownika nie są uważane za zbyt długa. Te dwie wartości rejestru znajdują się w następującym podkluczu rejestru:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

  4. Jeśli wdrożono wiele serwerów 2,0 AD FS w farmie i ich obciążenia zrównoważone, klient Lync 2013 może być niemożliwe do kierowania żądania do serwera programu AD FS 2,0. Dodanie wpisu dla serwera 2,0 AD FS do pliku Hosts na kliencie, który wskazuje bezpośrednio na serwerze AD FS 2,0 będzie pomijać wirtualnego adresu IP modułu równoważenia obciążenia.

  5. Jeśli poprzednie rozwiązania nie rozwiązało problemu i obniżenie do 2010 Lync nie jest opcją, wykonaj następujące kroki, aby obejść ten problem. Uwaga Jeśli konto administratora lokalnego jeszcze nie istnieje na komputerze, należy utworzyć dla tego rozwiązania do pracy.

    1. Przejdź do pliku wykonywalnego programu Lync 2013 w Eksploratorze Windows:

       C:\Program Files\Microsoft Office 15\root\office15 
    2. Przytrzymaj wciśnięty SHIFT klucz, a następnie kliknij prawym przyciskiem myszy Lync. exe.

    3. Kliknij przycisk Uruchom jako inny użytkownik.

    4. Wprowadź poświadczenia dla konta administratora lokalnego na komputerze, a następnie naciśnij Enter.

WIĘCEJ INFORMACJI

Ten problem zazwyczaj występuje z powodu błędnych konfiguracji w programie AD FS 2,0. Inne usługi, takie jak Microsoft Exchange Online może działać poprawnie Pomimo tej konfiguracji. Typowe przyczyny są wymienione tutaj:

  • ServicePrincipalName (SPN) nie jest poprawnie skonfigurowany. Przyczyny tego są następujące:

    • Rejestracja nazwy SPN nie powiodła się podczas wstępnej konfiguracji farmy.

    • Zmieniono nazwę usługi federacyjnej.

    • Konto usługi zostało zmienione.

  • Usługa AD FS 2,0 nie jest uruchomiona w ramach konta poprawne usługi.

  • Nagłówek żądania z 2013 Lync jest odrzucany przez usługi IIS i serwer 2,0 usług AD FS, ponieważ nagłówek jest zbyt duży. Ten problem może wystąpić, ponieważ konto użytkownika jest członkiem zbyt wielu grup użytkowników AD DS.

  • Farma serwerów 2,0 AD FS jest równoważona z obciążeniem, a żądanie nie dociera do serwera 2,0 programu AD FS.

Aby uzyskać dalszą pomoc dotyczącą wdrażania programu AD FS 2,0 do użytku z SSO w pakiecie Office 365, zobacz następującą witrynę sieci Web TechNet:

Planowanie i wdrażanie programu AD FS do użytku z rejestracji jednokrotnejW przypadku, gdy użytkownik jest członkiem zbyt wielu grup usług AD DS, następujący wpis jest wprowadzany w dziennikach śledzenia Asystenta logowania w witrynie Microsoft Online Services (dzienniki te zazwyczaj znajdują się w C:\ MSOSSPTrace):

##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML> 

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×