Doanh nghiệp một lần kí nhập người dùng trong Office 365 không thể kí nhập vào Skype kinh doanh trực tuyến từ bên trong mạng công ty của họ

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2839539
VẤN ĐỀ
Xem xét tình huống sau:
  • Office 365 dành cho doanh nghiệp, Office 365 dành cho giáo dục hoặc Office 365 dành cho khách hàng doanh nghiệp độ thiết lập kí nhập một lần (SSO) trong bản ghi dịch vụ liên kết Thư mục Họat động (AD FS) 2.0.
  • Liên kết người dùng kết nối từ bên trong mạng công ty của họ không thể kí nhập vào Skype dành cho doanh nghiệp Online(formerly Lync Online) từ Lync 2013 và họ nhận được thông báo lỗi sau:
    Không thể kí nhập vì máy chủ tạm thời không khả dụng.
Lưu ý: Sự cố này chỉ áp dụng cho doanh nghiệp SSO người dùng kí nhập vào Skype kinh doanh trực tuyến bằng cách sử dụng Lync 2013 từ bên trong mạng công ty của họ. Sự cố này không áp dụng cho người dùng Microsoft Lync 2010, người dùng không Skype cho kinh doanh trực tuyến hoặc người dùng kết nối từ bên ngoài mạng doanh nghiệp của họ.
GIẢI PHÁP
Quan trọng Làm theo các bước trong phần này một cách cẩn thận. Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ kiểm nhập không đúng. Trước khi bạn sửa đổi sao lưu sổ kiểm nhập để khôi phục trong trường hợp xảy ra sự cố.

Vì có nhiều nguyên nhân, nó là tốt nhất để làm việc thông qua tất cả các giải pháp sau, và sau đó kiểm tra cấu hình.
  1. Khi bạn triển khai một AD FS 2.0 liên kết chủ nhóm, bạn phải chỉ định tài khoản bản ghi dịch vụ dựa trên miền cần kiểm nhập SPN cho phép xác thực Kerberos hoạt động chính xác. Để biết thêm thông tin, hãy xem TechNet wiki sau:Lý do bạn có thể phải đặt SPN theo cách thủ công trên tài khoản bản ghi dịch vụ 2.0 AD FS là như sau:
    • kiểm nhập SPN không thành công trong cấu hình ban đầu của nhóm.
    • Đổi tên bản ghi dịch vụ liên kết.
    • Tài khoản bản ghi dịch vụ đã được thay đổi.
  2. Đảm bảo rằng AD FS 2.0 bản ghi dịch vụ đang chạy dưới tài khoản bản ghi dịch vụ dựa trên miền được đề cập ở bước trước. Ví dụ: trong hình dưới đây, TRLABV3 là tên máy (ứng dụng) phục vụ nội bộ và ADFSSvc là tài khoản Dịch vụ:

    Màn hình ảnh quảng cáo FS 2.0 bản ghi dịch vụ thuộc tính của Windows, Hiển thị tài khoản dựa trên miền
  3. Cấu hình AD FS 2.0 chủ để chấp nhận tiêu đề yêu cầu lớn hơn 40 kilobyte (KB). Bạn có thể phải thực hiện việc này khi người dùng là thành viên của Nhóm người dùng nhiều bản ghi dịch vụ miền danh mục hiện hoạt (AD DS). Khi người dùng là thành viên của nhóm AD DS nhiều, tăng kích thước của mã thông báo xác thực Kerberos dành cho người dùng.

    Yêu cầu HTTP người dùng gửi đến máy chủ bản ghi dịch vụ thông tin Internet (IIS) chứa mã thông báo Kerberos trong tiêu đề xác thực WWW. Do đó, kích thước tiêu đề tăng số nhóm tăng. Nếu phần đầu HTTP hoặc gói kích thước tăng vượt quá giới hạn được cấu hình trong IIS, IIS có thể từ chối yêu cầu và gửi lỗi phản hồi. Để biết thêm thông tin, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:
    2020943 Lỗi "HTTP 400 - Bad (yêu cầu tiêu đề yêu cầu quá dài)" trong bản ghi dịch vụ thông tin Internet (IIS)
    Để khắc phục sự cố này, sử dụng một trong các phương pháp sau:
    1. Giảm số Nhóm người dùng AD DS người dùng là thành viên.
    2. Thay đổi MaxFieldLength và giá trị kiểm nhập MaxRequestBytes trên máy chủ đang chạy IIS để tiêu đề yêu cầu người dùng không được coi là quá dài. Các giá trị kiểm nhập hai nằm trong khoá con kiểm nhập sau:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Nếu bạn đã triển khai nhiều AD FS 2.0 máy chủ trong nhóm và yêu cầu họ cân bằng tải, Lync 2013 khách hàng có thể không trực tiếp yêu cầu quảng cáo FS 2.0 máy chủ. Thêm mục nhập cho quảng cáo FS 2.0 máy chủ tập tin lưu trữ trên máy tính khách điểm trực tiếp với AD FS 2.0 máy chủ sẽ bỏ qua IP ảo cân bằng tải.
  5. Nếu giải pháp trước đó không giải quyết sự cố và hạ cấp Lync 2010 không phải là một tùy chọn, làm theo các bước sau để khắc phục sự cố.

    Lưu ý: Nếu tài khoản quản trị viên viên cục bộ đã không tồn tại trên máy tính, bạn sẽ phải tạo một giải pháp này để làm việc.
    1. Duyệt Lync 2013 thực thi trong Windows Explorer:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Giữ phím SHIFT, và sau đó bấm chuột phải vào Lync.exe.
    3. Nhấp vào chạy như người dùng khác.
    4. Nhập uỷ nhiệm tài khoản quản trị viên viên cục bộ trên máy tính, và sau đó nhấn Enter.
THÔNG TIN
Vấn đề này thường xảy ra do sai trong AD FS 2.0. Các bản ghi dịch vụ trực tuyến của Microsoft Exchange có thể hoạt động bình thường mặc dù cấu hình này. Nguyên nhân thường được liệt kê dưới đây:
  • Thuộc tính ServicePrincipalName (SPN) không được cấu hình đúng. Những lý do này bao gồm:
    • kiểm nhập SPN không thành công trong cấu hình ban đầu của nhóm.
    • Đổi tên bản ghi dịch vụ liên kết.
    • Tài khoản bản ghi dịch vụ đã được thay đổi.
  • Quảng cáo FS 2.0 bản ghi dịch vụ không chạy trong tài khoản bản ghi dịch vụ chính xác.
  • Tiêu đề yêu cầu từ Lync 2013 từ chối bởi IIS và AD FS 2.0 chủ vì tiêu đề quá lớn. Sự cố này có thể xảy ra vì tài khoản người dùng là thành viên của Nhóm người dùng AD DS quá nhiều.
  • Nhóm 2.0 máy chủ AD FS là cân bằng tải và yêu cầu không đến quảng cáo máy chủ FS 2.0.
Thêm trợ giúp triển khai AD FS 2.0 để sử dụng với SSO trong Office 365, hãy số xem theo web site TechNet sau đây:Trong trường hợp khi người dùng là thành viên của nhóm AD DS quá nhiều, các mục sau đây được nhập vào Nhật ký theo dõi Microsoft Online Services Sign In hỗ trợ (Nhật ký này thường nằm trong C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

Bạn vẫn cần trợ giúp? Truy cập vào Cộng đồng Office 365 .

Cảnh báo: Bài viết này được dịch tự động

属性

文章 ID:2839539 - 上次审阅时间:05/01/2015 17:41:00 - 修订版本: 11.0

Skype for Business Online

  • o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtvi
反馈