Проблема
Розглянемо таку ситуацію:
-
Office 365 для підприємств, Office 365, для освіти або Office 365 бізнес-клієнт встановлює єдиного входу (SSO) у Active Directory (AD FS) об'єднання Services 2,0.
-
Федеративні користувачі, які підключаються зсередини корпоративної мережі не вдалося ввійти до Skype для бізнесу Інтернет (раніше Lync Online) з Lync 2013 і з'являється таке повідомлення про помилку:
Не вдалося ввійти в тому, що сервер тимчасово недоступний.
Зверніть увагу Ця проблема стосується лише Enterprise єдиного входу користувачів, які входу до Skype для бізнесу онлайн за допомогою Lync 2013, усередині корпоративної мережі. Ця проблема не стосується користувачів Microsoft Lync 2010, користувачі, які не на Skype для бізнесу онлайн або користувачів, які підключаються за межами корпоративної мережі.
Рішення
Важливе значення Уважно Виконуйте кроки, описані в цьому розділі. Неправильне внесення змін до реєстру може призвести до серйозних проблем. Перш ніж вносити зміни, резервну копію реєстру для відновлення у разі виникнення проблем. Через те, що є багато можливих причин, краще працювати через всі наступні рішення, а потім перевірити конфігурацію.
-
Під час розгортання AD FS-2,0 об'єднання серверної ферми, потрібно вказати обліковий запис служби на основі домену, який потребує зареєстрованих SPN, щоб увімкнути автентифікацію Kerberos, щоб функціонувати належним чином. Щоб отримати додаткові відомості див.
AD FS 2,0: як налаштувати SPN (Послугім'я) для облікового запису службиПричини, які, можливо, доведеться настроїти SPN вручну, на обліковий запис служби AD FS 2,0 наведено нижче.
-
Не вдалося виконати реєстрацію SPN під час початкової конфігурації ферми.
-
Назву служби об'єднання було змінено.
-
Змінено обліковий запис служби.
-
-
Переконайтеся, що служба AD FS 2,0 працює під обліковим записом служби на основі домену, описане в попередньому кроці. Наприклад, на наведеному нижче зображенні TRLABV3-це внутрішнє ім'я хоста, а ADFSSvc – це обліковий запис служби:
-
Настроювання AD FS 2,0 сервер прийняти запит заголовки, які перевищують 40 кілобайт (КБ). Ви, можливо, доведеться зробити це, коли користувач входить багато груп користувачів служби доменів Active Directory (AD DS). Коли користувач входить до складу багатьох AD DS груп, збільшується розмір маркера автентифікації Kerberos для користувача. Запит HTTP, який користувач надсилає на сервері інформаційних служб Інтернету (IIS), містить маркер Kerberos в заголовку WWW-автентифікації. Таким чином, розмір заголовка збільшується, як кількість груп збільшується. Якщо заголовок HTTP або розмір пакета збільшується за межі, налаштовані у службах IIS, IIS може відхилити запит і надіслати повідомлення про помилку, як відповідь. Щоб отримати додаткові відомості, зверніться до такої статті в базі знань Майкрософт:
2020943 "http 400-помилковий запит (задовгий заголовок запиту)" помилка в інформаційних службах Інтернету (IIS)Щоб вирішити цю проблему, скористайтесь одним із запропонованих нижче способів.
-
Зменшення кількості AD DS груп користувачів, що користувач є членом.
-
Змініть довжину Maxполів і значення реєстру Maxfieldlength на сервері, на якому працює служба IIS, щоб заголовки запитів користувача не вважатись занадто довгими. Ці два значення реєстру, які розміщуються в такому підрозділі реєстру:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
Якщо ви розгорнули кілька серверів AD FS 2,0 ферми і їх навантаження збалансоване, клієнт Lync 2013 може бути не вдається направити запит на AD FS 2,0 сервера. Додавання запису для AD FS 2,0 сервера хост-файл на клієнтському комп'ютері, який вказує безпосередньо на AD FS 2,0 сервер буде обходити віртуального IP балансування навантаження.
-
Якщо попередні рішення не вирішує проблему і зниження Lync 2010, не є параметр, виконайте такі дії, щоб вирішити цю проблему. Зверніть увагу Якщо на комп'ютері не існує локального облікового запису адміністратора, вам доведеться створити його для роботи.
-
Перейдіть до Lync 2013 виконуваний файл провідника Windows:
C:\Program Files\Microsoft Office 15\root\office15
-
Утримуйте натиснутою клавішу Shift і клацніть правою кнопкою миші Lync. exe.
-
Виберіть пункт Запуск із правами іншого користувача.
-
Введіть облікові дані для облікового запису локального адміністратора на комп'ютері і натисніть клавішу ENTER.
-
БІЛЬШ ДЕТАЛЬНУ ІНФОРМАЦІЮ
Ця проблема зазвичай виникає через неправильне конфігурації в AD FS 2,0. Інші служби, наприклад Microsoft Exchange Online, можуть працювати належним чином, незважаючи на цю конфігурацію. Тут перераховані звичайні причини:
-
Ім'я _ сервісу (SPN) не настроєно належним чином. До таких причин належать:
-
Не вдалося виконати реєстрацію SPN під час початкової конфігурації ферми.
-
Назву служби об'єднання було змінено.
-
Змінено обліковий запис служби.
-
-
AD FS 2,0 служби не працює в обліковий запис правильні служби.
-
Заголовок запиту з Lync 2013 відхилено IIS і сервер AD FS 2,0, оскільки заголовок завеликий. Ця проблема може виникати через те, що обліковий запис користувача є членом забагато AD DS груп користувачів.
-
AD FS 2,0 серверної ферми навантаження збалансоване, і запит не досягає AD FS 2,0 сервера.
Щоб дізнатися більше про розгортання AD FS 2,0 для використання з єдиного входу в Office 365, див.
Планування та розгортання AD FS для використання з єдиного входуУ випадку, коли користувач є членом забагато AD DS груп, у Microsoft Online служби входу помічника журнали трасування реєструється такий запис (ці журнали, як правило, розташовані в c + + MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
Все ще потрібна допомога? Перейдіть до спільноти Microsoft.
