Doanh nghiệp đăng nhập một người dùng trong Office 365 không thể đăng nhập vào Skype dành cho doanh nghiệp trực tuyến từ bên trong mạng doanh nghiệp của họ

Vấn đề

Hãy xem xét tình huống sau:

• Văn phòng 365 cho doanh nghiệp, Office 365 cho giáo dục hoặc Office 365 khách hàng doanh nghiệp thiết lập đăng nhập một (SSO) trong dịch vụ liên kết Active Directory (AD FS) 2,0.

• Liên kết người dùng nối từ bên trong mạng công ty của họ không thể đăng nhập vào Skype dành cho doanh nghiệp trực tuyến (trước đây Lync Online) từ Lync 2013 và họ nhận được thông báo lỗi sau:

  Không thể đăng nhập vì máy chủ tạm thời không khả dụng.

Lưu ý Sự cố này chỉ áp dụng cho doanh nghiệp SSO người dùng đăng nhập vào Skype dành cho doanh nghiệp trực tuyến bằng cách sử dụng Lync 2013 từ bên trong mạng công ty của họ. Sự cố không áp dụng cho người dùng trên Microsoft Lync 2010, người dùng không Skype dành cho doanh nghiệp trực tuyến hoặc người dùng kết nối từ bên ngoài mạng công ty của họ.

Giải pháp

Quan trọng Làm theo các bước trong phần này một cách cẩn thận. Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Trước khi bạn sửa đổi, sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra sự cố. Vì có nhiều nguyên nhân có thể, tốt nhất là làm việc thông qua tất cả các giải pháp sau, và sau đó kiểm tra cấu hình.

1. Khi bạn triển khai một nhóm AD FS 2,0 liên kết máy chủ, bạn phải chỉ định tài khoản Dịch vụ dựa trên miền cần đăng ký SPN cho phép xác thực Kerberos hoạt động bình thường. Để biết thêm thông tin, hãy xem TechNet wiki sau đây:

   AD FS 2,0: làm thế nào để cấu hình SPN (servicePrincipalName) cho tài khoản Dịch vụLý do mà bạn có thể phải đặt SPN theo cách thủ công trên tài khoản Dịch vụ AD FS 2,0 là như sau:

   • Đăng ký SPN không thành công trong quá trình cấu hình ban đầu của nhóm.

   • Tên dịch vụ liên kết được thay đổi.

   • Tài khoản Dịch vụ đã được thay đổi.

2. Đảm bảo rằng dịch vụ AD FS 2,0 đang chạy trong tài khoản Dịch vụ dựa trên miền được đề cập trong bước trước. Ví dụ, trong hình dưới đây, TRLABV3 là tên máy chủ nội bộ, và ADFSSvc là tài khoản Dịch vụ:

3. Cấu hình máy chủ AD FS 2,0 để chấp nhận tiêu đề yêu cầu lớn hơn 40 kilobyte (KB). Bạn có thể phải thực hiện việc này khi người dùng là thành viên của nhóm người dùng nhiều dịch vụ miền Active Directory (AD DS). Khi người dùng là thành viên của nhiều nhóm AD DS, kích thước của mã thông báo xác thực Kerberos cho người dùng tăng. Yêu cầu HTTP người dùng gửi đến máy chủ Dịch vụ thông tin Internet (IIS) có thẻ Kerberos trong tiêu đề xác thực WWW. Do đó, kích thước tiêu đề tăng số lượng nhóm tăng. Nếu tiêu đề HTTP hoặc gói kích thước tăng vượt quá giới hạn được cấu hình trong IIS, IIS có thể từ chối yêu cầu và gửi lỗi như phản hồi. Để biết thêm thông tin, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:

   2020943 "http 400-yêu cầu không thật (tiêu đề yêu cầu quá dài)" lỗi trong dịch vụ thông tin Internet (IIS)Để khắc phục sự cố này, hãy sử dụng một trong các phương pháp sau:

   1. Giảm số lượng nhóm người dùng AD DS mà người dùng là thành viên.

   2. Thay đổi MaxFieldLength và giá trị đăng ký MaxRequestBytes trên máy chủ đang chạy IIS để tiêu đề yêu cầu của người dùng không được coi là quá dài. Các giá trị đăng ký hai nằm trong khoá con đăng ký sau:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

4. Nếu bạn đã triển khai nhiều AD FS 2,0 máy chủ trong nhóm và có chúng cân bằng tải, khách hàng Lync 2013 có thể không thể chuyển yêu cầu đến máy chủ AD FS 2,0. Thêm mục nhập cho máy chủ AD FS 2,0 tệp lưu trữ trên máy khách trỏ trực tiếp đến máy chủ AD FS 2,0 sẽ bỏ qua IP ảo của cân bằng tải.

5. Nếu các giải pháp trước đó không giải quyết sự cố và hạ cấp Lync 2010 không phải là một lựa chọn, hãy làm theo các bước sau để khắc phục sự cố. Lưu ý Nếu tài khoản quản trị viên cục bộ đã không tồn tại trên máy tính, bạn sẽ phải tạo một cho giải pháp này để làm việc.

   1. Duyệt Lync 2013 thực thi trong Windows Explorer:

       C:\Program Files\Microsoft Office 15\root\office15 

   2. Giữ phím Shift, và sau đó bấm chuột phải vào Lync. exe.

   3. Nhấp vào chạy như người dùng khác.

   4. Nhập thông tin đăng nhập cho tài khoản quản trị viên cục bộ trên máy tính, và sau đó nhấn Enter.

THÔNG TIN BỔ SUNG

Vấn đề này thường xảy ra vì một sai trong AD FS 2,0. Các dịch vụ khác như Microsoft Exchange Online có thể hoạt động đúng mặc dù cấu hình này. Các nguyên nhân thông thường được liệt kê ở đây:

• ServicePrincipalName (SPN) không được cấu hình đúng. Lý do cho điều này bao gồm những điều sau đây:

  • Đăng ký SPN không thành công trong quá trình cấu hình ban đầu của nhóm.

  • Tên dịch vụ liên kết được thay đổi.

  • Tài khoản Dịch vụ đã được thay đổi.

• Dịch vụ AD FS 2,0 không chạy trong tài khoản Dịch vụ chính xác.

• Tiêu đề yêu cầu từ Lync 2013 bị từ chối bởi IIS và máy chủ AD FS 2,0 vì tiêu đề quá lớn. Sự cố này có thể xảy ra vì tài khoản người dùng là thành viên của nhóm người dùng AD DS quá nhiều.

• Nhóm máy chủ AD FS 2,0 được cân bằng tải và yêu cầu không tiếp cận máy chủ AD FS 2,0.

Để được trợ giúp thêm về triển khai AD FS 2,0 để sử dụng với SSO trong Office 365, hãy xem trang web TechNet sau đây:

Lập kế hoạch và triển khai AD FS để sử dụng với đăng nhập một đơnTrong trường hợp khi người dùng là thành viên của nhóm AD DS quá nhiều, các mục sau đây được nhập trong Nhật ký theo dõi dịch vụ trực tuyến Microsoft sign-in Assistant (các bản ghi thường nằm trong C:\ MSOSSPTrace):

##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML> 

Vẫn cần giúp đỡ? Truy cập vào cộng đồng Microsoft.