Entrar com a conta da Microsoft
Entrar ou criar uma conta.
Olá,
Selecionar uma conta diferente.
Você tem várias contas
Escolha a conta com a qual você deseja entrar.

PROBLEMA

Considere o seguinte cenário:

  • Um Office 365 para empresas, office 365 para educação, ou Office 365 cliente de negócios configura única inscrição (SSO) em Serviços da Federação de Diretório Ativo (AD FS) 2.0.

  • Usuários federados que se conectam de dentro de sua rede corporativa não podem entrar no Skype for Business Online (anteriormente Lync Online) da Lync 2013, e recebem a seguinte mensagem de erro:

    Não é possível entrar porque o servidor está temporariamente indisponível.

Nota Este problema só se aplica aos usuários do Enterprise SSO que entram no Skype for Business Online usando o Lync 2013 de dentro de sua rede corporativa. O problema não se aplica aos usuários do Microsoft Lync 2010, usuários que não estão no Skype para business online ou usuários que se conectam de fora de sua rede corporativa.

SOLUÇÃO

Importante Siga os passos nesta seção com cuidado. Problemas graves podem ocorrer se você modificar o registro incorretamente. Antes de modificá-lo, faça backup do registro para restauração no caso de problemas ocorrerem. Como há muitas causas possíveis, é melhor trabalhar com todas as seguintes soluções e, em seguida, verificar a configuração.

  1. Ao implantar uma fazenda de servidores da Federação AD FS 2.0, você deve especificar uma conta de serviço baseada em domínio que precisa de um SPN registrado para permitir que a autenticação do Kerberos funcione corretamente. Para mais informações, veja o seguinte TechNet wiki:

    AD FS 2.0: Como configurar o SPN (servicePrincipalName) para a conta de serviçoAs razões pelas quais você pode ter que definir o SPN manualmente na conta de serviço AD FS 2.0 são as seguintes:

    • O registro de SPN falhou durante a configuração inicial da fazenda.

    • O nome do Serviço da Federação foi alterado.

    • A conta de serviço foi alterada.

  2. Certifique-se de que o serviço AD FS 2.0 está sendo executado a conta de serviço baseada em domínio que foi mencionada na etapa anterior. Por exemplo, na imagem a seguir, trlabv3 é o nome de hospedeiro interno, e ADFSSvc é a conta de serviço:alternate text

  3. Configure o servidor AD FS 2.0 para aceitar cabeçalhos de solicitação que são maiores que 40 kilobytes (KB). Você pode ter que fazer isso quando o usuário é membro de muitos grupos de usuários de Serviços de Domínio de Direção Ativa (DS) de Direção Ativa. Quando um usuário é membro de muitos grupos DeD DS, o tamanho do token de autenticação Kerberos para o usuário aumenta. O pedido http que o usuário envia para o internet information services (IIS) servidor contém o token Kerberos no cabeçalho WWW-Authenticate. Portanto, o tamanho do cabeçalho aumenta à medida que o número de grupos aumenta. Se o tamanho do cabeçalho ou do pacote http aumentar além dos limites que estão configurados no IIS, o IIS pode rejeitar a solicitação e enviar um erro como resposta. Para mais informações, consulte o seguinte artigo da Base de Conhecimento da Microsoft:

    2020943 "HTTP 400 - Pedido Ruim (Pedido de Cabeçalho pedido por muito tempo)" erro em Serviços de Informação na Internet (IIS)Como solução alternativa para esse problema, use um dos seguintes métodos:

    1. Diminua o número de grupos de usuários de DS de DS de AD do que o usuário é membro.

    2. Alterar o MaxFieldLength e os valores de registro MaxRequestBytes no servidor que está executando o IIS para que os cabeçalhos de solicitação do usuário não sejam considerados muito longos. Estes dois valores de registro estão localizados o subchave do registro a seguir:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

  4. Se você implantou vários servidores AD FS 2.0 em uma fazenda e os equilibrou a carga, o cliente Lync 2013 pode não conseguir direcionar a solicitação para o servidor AD FS 2.0. Adicionar uma entrada para o servidor AD FS 2.0 ao arquivo Hosts no cliente que aponta diretamente para o servidor AD FS 2.0 ignorará o IP virtual do balanceador de carga.

  5. Se as soluções anteriores não resolvero problema e rebaixamento para Lync 2010 não é uma opção, siga essas etapas para contornar o problema. Nota Se uma conta de administrador local ainda não existir no computador, você terá que criar uma para que essa solução funcione.

    1. Procure o Lync 2013 executável no Windows Explorer:

       C:\Program Files\Microsoft Office 15\root\office15

    2. Segure a tecla Shift e, em seguida, clique direito Lync.exe.

    3. Clique em Correr como usuário diferente.

    4. Insira as credenciais para uma conta de administrador local no computador e, em seguida, pressione o Enter.

MAIS INFORMAÇÕES

Este problema geralmente ocorre por causa de uma configuração incorreta em AD FS 2.0. Outros serviços, como o Microsoft Exchange Online, podem funcionar corretamente apesar dessa configuração. As causas habituais estão listadas aqui:

  • O ServicePrincipalName (SPN) não está configurado corretamente. As razões para isso incluem o seguinte:

    • O registro de SPN falhou durante a configuração inicial da fazenda.

    • O nome do Serviço da Federação foi alterado.

    • A conta de serviço foi alterada.

  • O serviço AD FS 2.0 não está sendo executado a conta de serviço correta.

  • O cabeçalho pedido de Lync 2013 é rejeitado pelo IIS e o servidor AD FS 2.0 porque o cabeçalho é muito grande. Esse problema pode ocorrer porque a conta do usuário é membro de muitos grupos de usuários de DS de DS.

  • A fazenda de servidora AD FS 2.0 é balanceada em carga, e a solicitação não está atingindo o servidor AD FS 2.0.

Para obter mais ajuda na implantação do AD FS 2.0 para uso com o SSO no Office 365, consulte o seguinte site da TechNet:

Planeje e implante O FS de AD para uso com uma única inscriçãoNo caso em que o usuário é membro de muitos grupos DeD DS, a seguinte entrada é inserida nos registros de rastreamento do Microsoft Online Services Sign-In Assistant (esses logs geralmente estão localizados em C:\ MSOSSPtrace):

##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

Ainda precisa de ajuda? Acesse a Microsoft Community.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Descobrir Comunidade

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam você a fazer e responder perguntas, fazer comentários e ouvir especialistas com conhecimento avançado.

Perguntar à comunidade da Microsoft

Microsoft Tech Community

Windows Insiders

Insiders do Microsoft 365

Essas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade do idioma?
O que afetou sua experiência?
Ao pressionar enviar, seus comentários serão usados para aprimorar os produtos e serviços da Microsoft. Seu administrador de TI poderá coletar esses dados. Política de Privacidade.

Agradecemos seus comentários!

×