Problém

Uvažujme o nasledovnom scenári:

  • Office 365 pre podniky, Office 365 pre vzdelávanie alebo Office 365 Business zákazník nastaví jediného prihlásenia (SSO) v Active Directory Federation Services (AD FS) 2,0.

  • Federovaní používatelia, ktorí sa pripájajú zvnútra ich podnikovej siete nemôžete prihlásiť Skype Business online (predtým Lync Online) z Lync 2013 a zobrazí nasledujúce chybové hlásenie:

    Nedá sa prihlásiť, pretože server je dočasne nedostupný.

Poznámka: Tento problém sa vzťahuje len na používateľov Enterprise SSO, ktorí sa prihlásiť na Skype Business Online pomocou Lync 2013 zvnútra ich podnikovej siete. Tento problém sa nevzťahuje na používateľov programu Microsoft Lync 2010, používatelia, ktorí nie sú na Skype Business online alebo používateľov, ktorí sa pripájajú z mimo ich podnikovej siete.

Riešenie

Dôležité Postupujte podľa pokynov v tejto časti opatrne. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Pred úpravou, zálohovať databázu Registry pre obnovu v prípade problémov nastať. Pretože existuje mnoho možných príčin, je najlepšie pracovať cez všetky nasledujúce riešenia a potom overiť konfiguráciu.

  1. Pri nasadzovaní AD FS 2,0 federácia serverovej farmy, musíte zadať doménu-založené konto služby, ktoré potrebuje registrovaný SPN umožniť overenie protokolom Kerberos správne fungovať. Ďalšie informácie nájdete v nasledujúcich TechNet Wiki:

    AD FS 2,0: ako nakonfigurovať SPN (servicePrincipalName) pre konto službyDôvody, ktoré možno budete musieť nastaviť SPN manuálne AD FS 2,0 konto služby sú nasledovné:

    • SPN registrácia zlyhala počas počiatočnej konfigurácie farmy.

    • Názov federácie služby bol zmenený.

    • Konto služby sa zmenilo.

  2. Uistite sa, že služba AD FS 2,0 je spustená v doméne služby konto, ktoré bolo spomenuté v predchádzajúcom kroku. Napríklad na nasledujúcom obrázku, TRLABV3 je interný názov hostiteľa a ADFSSvc je konto služby:alternate text

  3. Konfigurácia AD FS 2,0 Server prijať žiadosť hlavičky, ktoré sú väčšie ako 40 kilobajtov (KB). Možno budete musieť urobiť, keď používateľ je členom mnohých používateľských skupín doménové služby Active Directory (AD DS). Keď používateľ je členom mnohých AD DS skupiny, veľkosť overovací token Kerberos pre používateľa zvyšuje. Požiadavka HTTP, že používateľ odošle na server Internet Information Services (IIS) obsahuje token Kerberos v hlavičke WWW-overenie. Preto veľkosť hlavičky zvyšuje počet skupín zvyšuje. Ak hlavičky HTTP alebo veľkosť paketu zvyšuje nad limity, ktoré sú nakonfigurované v službe IIS, IIS môže zamietnuť požiadavku a odoslať chybu ako odpoveď. Ďalšie informácie nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:

    2020943 "HTTP 400 – Nesprávna požiadavka (hlavička požiadavky je príliš dlhá)" chyba v Internet Information Services (IIS)Ak chcete obísť tento problém, použite jednu z uvedených metód:

    1. Znížte počet používateľských skupín AD DS, ktorých je používateľ členom.

    2. Zmeniť MaxFieldLength a MaxRequestBytes hodnoty databázy Registry na serveri so spustenou službou IIS tak, že žiadosť hlavičky používateľa nie sú považované za príliš dlho. Tieto dve hodnoty databázy Registry sa nachádzajú v nasledovnom podkľúči databázy Registry:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

  4. Ak ste nasadili viaceré AD FS 2,0 servery farmy a ich zaťaženia vyvážený, Lync 2013 klient môže byť schopný nasmerovať požiadavku na server AD FS 2,0. Pridanie položky pre server AD FS 2,0 do súboru Hosts na klientovi, ktorý odkazuje priamo na server AD FS 2,0 bude obísť virtuálne IP load balancer.

  5. Ak predchádzajúce riešenia nevyriešil problém a downtriedenie Lync 2010 nie je možnosť, postupujte nasledovne obísť problém. Poznámka: Ak lokálne konto správcu už v počítači neexistuje, budete musieť vytvoriť jeden pre toto riešenie pracovať.

    1. Prejdite na Lync 2013 spustiteľný v programe Windows Prieskumník:

       C:\Program Files\Microsoft Office 15\root\office15 
    2. Podržte stlačený kláves SHIFT a kliknite pravým tlačidlom myši na Lync. exe.

    3. Kliknite na položku Spustiť ako iný používateľ.

    4. Zadajte poverenia pre lokálne konto správcu v počítači a stlačte kláves ENTER.

ĎALŠIE INFORMÁCIE

Tento problém sa zvyčajne vyskytuje z dôvodu nesprávneho konfigurácie v AD FS 2,0. Iné služby, ako napríklad Microsoft Exchange Online môže pracovať správne napriek tejto konfigurácii. Obvyklé príčiny sú uvedené tu:

  • ServicePrincipalName (SPN) nie je správne nakonfigurovaný. Dôvody pre to zahŕňajú nasledovné:

    • SPN registrácia zlyhala počas počiatočnej konfigurácie farmy.

    • Názov federácie služby bol zmenený.

    • Konto služby sa zmenilo.

  • Služba AD FS 2,0 nie je spustená v správnom konte služby.

  • Žiadosť hlavičky z Lync 2013 je odmietnutý IIS a AD FS 2,0 Server, pretože hlavička je príliš veľký. Tento problém sa môže vyskytnúť, pretože používateľské konto je členom príliš veľa skupín používateľov AD DS.

  • AD FS 2,0 serverová farma je vyrovnaná a požiadavka nedosahuje AD FS 2,0 Server.

Ďalšie pomoc s nasadením AD FS 2,0 pre použitie s SSO v balíku Office 365, nájdete na nasledujúcej webovej lokalite TechNet:

Plánovanie a nasadenie AD FS na použitie s jediným prihlásenímV prípade, že používateľ je členom príliš veľa AD DS skupiny, nasledujúca položka je zadaná v Microsoft Online služby Sign-in Asistent sledovania denníky (tieto denníky sa zvyčajne nachádzajú v C:\ MSOSSPTrace):

##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML> 

Stále potrebujete pomoc? Prejdite na Microsoft Community.

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Aká je podľa vás kvalita prekladu?
Čo sa vám páčilo a čo nie?

Ďakujem za vaše pripomienky!

×