Problem
Tänk dig följande situation:
-
Ett Office 365 för företag, Office 365 för utbildning eller Office 365 Business Customer ställer in enkel inloggning (SSO) i Active Directory Federation Services (AD FS) 2,0.
-
Federerade användare som ansluter inifrån sina företagsnätverk kan inte logga in på Skype för Business Online (formerly Lync Online) från Lync 2013 och de visas följande felmeddelande:
Det går inte att logga in eftersom servern inte är tillgänglig för tillfället.
Notera Det här problemet gäller endast för Enterprise SSO-användare som loggar in på Skype för Business Online med hjälp av Lync 2013 inifrån företagets nätverk. Problemet gäller inte för användare på Microsoft Lync 2010, användare som inte är på Skype för Business Online eller användare som ansluter från utanför företagets nätverk.
Lösning
Viktiga Följ anvisningarna i det här avsnittet noggrant. Allvarliga problem kan uppstå om du ändrar registret felaktigt. Innan du ändrar den säkerhetskopierar du registret för återställning om det uppstår problem. Eftersom det finns många möjliga orsaker, är det bäst att arbeta igenom alla följande lösningar och sedan kontrollera konfigurationen.
-
När du distribuerar en AD FS 2,0 Federations Server gruppen måste du ange ett domänbaserat tjänstkonto som behöver ett registrerat SPN för att aktivera Kerberos-autentisering ska fungera korrekt. Mer information finns i följande TechNet wiki:
AD FS 2,0: hur du konfigurerar SPN (servicePrincipalName) för tjänstkontotAnledningarna till att du kan behöva ange SPN manuellt på kontot AD FS 2,0 Service är följande:
-
SPN-registrering misslyckades under den inledande konfigurationen av servergruppen.
-
Federationstjänstens namn ändrades.
-
Tjänstkontot har ändrats.
-
-
Kontrollera att tjänsten AD FS 2,0 körs under det domänbaserade tjänstkontot som nämndes i föregående steg. I följande bild är till exempel TRLABV3 det interna värdnamnet och ADFSSvc är tjänstkontot:
-
Konfigurera AD FS 2,0-servern för att acceptera begärandehuvuden som är större än 40 kilobyte (KB). Du kan behöva göra detta när användaren är medlem i många Active Directory Domain Services (AD DS) användargrupper. När en användare är medlem i många AD DS-grupper, ökar storleken på Kerberos-autentiseringstoken för användaren. HTTP-begäran som användaren skickar till Internet Information Services (IIS)-servern innehåller Kerberos-token i WWW-Authenticate-huvudet. Därför ökar sidhuvud storleken när antalet grupper ökar. Om HTTP-huvudet eller paketstorleken ökar utöver de gränser som har konfigurerats i IIS, kan IIS avvisa begäran och skicka ett fel som svar. Mer information finns i följande artikel i Microsoft Knowledge Base:
2020943 "http 400-Felaktig begäran (begärans huvud för lång)" fel i Internet Information Services (IIS)Använd någon av följande metoder för att lösa problemet:
-
Minska antalet AD DS-användargrupper som användaren är medlem i.
-
Ändra registervärdena MaxFieldLength och MaxRequestBytes på den server som kör IIS så att användarens begärandehuvuden inte anses vara för långa. Dessa två registervärden finns under följande registerundernyckel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Om du har distribuerat flera AD FS 2,0 servrar i en servergrupp och få dem belastningsutjämnade Lync 2013-klienten kan inte dirigera begäran till AD FS 2,0-servern. Lägga till en post för AD FS 2,0 server till hosts-filen på klienten som pekar direkt till AD FS 2,0 servern kommer att kringgå den virtuella IP-adressen för belastningsutjämnaren.
-
Om de tidigare lösningarna inte löste problemet och nedgradering till Lync 2010 inte är ett alternativ, följer du dessa steg för att lösa problemet. Notera Om det inte redan finns ett lokalt administratörskonto på datorn måste du skapa ett för att den här lösningen ska fungera.
-
Bläddra till den körbara filen för Lync 2013 i Utforskaren:
C:\Program Files\Microsoft Office 15\root\office15
-
Håll ned SKIFT-tangenten och högerklicka sedan på Lync. exe.
-
Klicka på Kör som en annan användare.
-
Ange autentiseringsuppgifterna för ett lokalt administratörskonto på datorn och tryck sedan på RETUR.
-
MER INFORMATION
Det här problemet uppstår vanligtvis på grund av en felaktig konfiguration i AD FS 2,0. Andra tjänster som Microsoft Exchange Online kan fungera korrekt trots den här konfigurationen. De vanliga orsakerna listas här:
-
ServicePrincipalName (SPN) är inte korrekt konfigurerad. Skälen till detta är bland annat följande:
-
SPN-registrering misslyckades under den inledande konfigurationen av servergruppen.
-
Federationstjänstens namn ändrades.
-
Tjänstkontot har ändrats.
-
-
Tjänsten AD FS 2,0 körs inte under rätt tjänstkonto.
-
Begärans huvud från Lync 2013 avvisas av IIS och AD FS 2,0-servern eftersom huvudet är för stort. Det här problemet kan uppstå eftersom användarkontot är medlem i för många AD DS-användargrupper.
-
AD FS 2,0 servergruppen är belastningsutjämnad och begäran inte når AD FS 2,0-servern.
Mer hjälp med att distribuera AD FS 2,0 för användning med SSO i Office 365 finns i följande TechNet-webbplats:
Planera för och distribuera AD FS för användning med enkel inloggningI de fall då användaren är medlem i för många AD DS-grupper, anges följande post i spårningsloggarna för Microsoft Online Services Sign-in Assistant (dessa loggar finns vanligtvis i C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Behöver du fortfarande hjälp? Gå till Microsoft Community.
