企业单一登录用户在 Office 365 中的不能登录到 Skype 的业务在线从内部公司网络

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 2839539
问题
请考虑下面的方案:
  • 为企业、 为教育,Office 365 或 Office 365 的中型企业客户的 Office 365 设置单一登录 (SSO) 在 活动目录的联合身份验证服务 (AD FS) 2.0。
  • 连接从公司网络中的联合的用户不能登录到 Skype 的业务 Online(formerly Lync Online) 从 Lync 2013,他们会收到下面的错误消息:
    无法登录,因为服务器暂时不可用。
注意:此问题仅适用于登录到 Skype 的在线业务在公司网络内部使用 Lync 2013 从企业 SSO 用户。此问题不适用于在 Microsoft Lync 2010、 不在 Skype 的在线业务的用户或从公司网络外部连接的用户的用户。
本地
重要:仔细按照本节中的步骤操作。如果错误地修改了注册表,可能会出现严重问题。在修改之前, 有关还原注册表备份 避免出现问题

因为有许多可能的原因,则最好通过以下的所有解决方案,而工作,然后检查配置。
  1. 当您部署 AD FS 2.0 联合服务器场中,必须指定基于域的服务帐户需要注册的 SPN 启用 Kerberos 身份验证,才能正常工作。有关详细信息,请参阅以下 TechNet wiki:您可能需要手动对 AD FS 2.0 的服务帐户设置 SPN 的原因如下所示:
    • SPN 注册失败的服务器场的初始配置过程。
    • 联合身份验证服务名称已更改。
    • 服务帐户已更改。
  2. 请确保 AD FS 2.0 服务在上一步中提到的基于域的服务帐户下运行。例如,在下面的图像中,TRLABV3 是内部主机的名称,而 ADFSSvc 是服务帐户:

    屏幕抓图的 AD FS 2.0 Windows 服务属性,显示基于域的帐户
  3. 配置 AD FS 2.0 服务器以接受大于 40 千字节 (KB) 的请求标头。您可能需要执行此操作时用户是许多 活动目录(AD) 域服务 (AD DS) 用户组的成员。如果用户是多个 AD DS 组的成员,Kerberos 身份验证令牌,用户都会增大。

    用户发送到 Internet Information Services (IIS) 服务器的 HTTP 请求包含 WWW 身份验证标头中的 Kerberos 令牌。因此,标头大小随着组增加的数量。如果 HTTP 标头或数据包大小已增加到超过在 IIS 中配置的限制,IIS 可能会拒绝的请求,并作为响应发送错误。有关详细信息,请参阅下面的 Microsoft 知识库文章:
    2020943 "400-HTTP 错误的请求 (请求标题太长)"错误在 Internet Information Services (IIS)
    若要变通解决此问题,请使用下列方法之一:
    1. 减少 AD DS 用户组的成员的用户的数。
    2. 更改 MaxFieldLength 和 MaxRequestBytes 注册表值,以便用户的请求标头不会被认为太长,运行 IIS 的服务器上。这些两个注册表值位于以下注册表子项下:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. 如果您已经部署了多个 AD FS 2.0 服务器场中的并进行负载平衡,Lync 2013 客户端可能无法将请求指向 AD FS 2.0 服务器。将项添加为 AD FS 2.0 服务器上直接指向 AD FS 2.0 服务器的客户机 Hosts 文件将绕过虚拟的负载平衡器 IP。
  5. 如果以前的解决方案不能解决问题,Lync 2010 年降级不是一个选项,请按照下列步骤来解决此问题。

    注意:如果在计算机上的本地管理员帐户尚不存在,必须创建一个使用该解决方案。
    1. 浏览到 Lync 2013 在 Windows 资源管理器可执行文件:
       C:\Program Files\Microsoft Office 15\root\office15
    2. 按住 Shift 键,然后右键单击 Lync.exe。
    3. 单击作为不同用户运行
    4. 在计算机上,输入本地管理员帐户的凭据,然后按 enter 键。
详细信息
此问题通常发生在 AD FS 2.0 配置不正确。尽管这种配置,其他服务 (如 Microsoft Exchange Online 可能正常工作。下面列出了常见原因:
  • ServicePrincipalName (SPN) 的配置不正确。原因如下:
    • SPN 注册失败的服务器场的初始配置过程。
    • 联合身份验证服务名称已更改。
    • 服务帐户已更改。
  • AD FS 2.0 服务没有正确的服务帐户下运行。
  • 从 Lync 2013 的请求标头是由 IIS 和 AD FS 2.0 服务器由于拒绝标头是太大。因为太多的 AD DS 用户组的成员的用户帐户,则会出现此问题。
  • AD FS 2.0 服务器场是负载平衡,并请求未达到 AD FS 2.0 服务器。
有关与部署 AD FS 2.0 使用获 sso Office 365 中的更多帮助,请参阅以下 TechNet 网站:在这种情况太多的 AD DS 组的成员用户时以下条目输入 (这些日志通常位于 C:\ 的 Microsoft 联机服务注册助理程序跟踪日志中MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

仍需要帮助吗?请转到 Office 365 社区 网站。

警告:本文已自动翻译

属性

文章 ID:2839539 - 上次审阅时间:05/01/2015 00:03:00 - 修订版本: 11.0

Skype for Business Online

  • o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtzh
反馈