Office 365 中的企业单一登录用户无法从公司网络内登录到 Skype 业务联机

问题

请考虑以下情况：

• Office 365 用于企业、Office 365 教育或 Office 365 业务客户在活动目录联合服务 （AD FS） 2.0 中设置单一登录 （SSO）。

• 从公司网络内部连接的联合用户无法从 Lync 2013 登录到 Skype 业务联机（以前是 Lync Online），并且会收到以下错误消息：

  无法登录，因为服务器暂时不可用。

备注此问题仅适用于企业 SSO 用户谁登录到 Skype 业务在线使用 Lync 2013 从他们的企业网络内。此问题不适用于 Microsoft Lync 2010 上的用户、不在 Skype 上进行业务联机的用户或从公司网络外部连接的用户。

解决 方案

重要 请仔细操作本节中的步骤。如果注册表修改不正确，则可能会出现严重问题。在修改之前，请备份注册表以进行还原，以防出现问题。由于有许多可能的原因，因此最好使用以下所有解决方案，然后验证配置。

1. 部署 AD FS 2.0 联合服务器场时，必须指定需要注册 SPN 才能使 Kerberos 身份验证正常运行的基于域的服务帐户。有关详细信息，请参阅以下 TechNet wiki：

   AD FS 2.0：如何为服务帐户配置 SPN（服务主体名称）您可能需要在 AD FS 2.0 服务帐户上手动设置 SPN 的原因如下：

   • 在服务器场的初始配置期间，SPN 注册失败。

   • 联合身份验证服务名称已更改。

   • 服务帐户已更改。

2. 确保 AD FS 2.0 服务在上一步中提到的基于域的服务帐户下运行。例如，在下图中，TRLABV3 是内部主机名，ADFSSvc 是服务帐户：

3. 配置 AD FS 2.0 服务器以接受大于 40 KB 的请求标头。当用户是许多活动目录域服务 （AD DS） 用户组的成员时，您可能需要执行此操作。当用户是许多 AD DS 组的成员时，用户的 Kerberos 身份验证令牌的大小会增加。用户发送到 Internet 信息服务 （IIS） 服务器的 HTTP 请求包含 WWW 身份验证标头中的 Kerberos 令牌。因此，标头大小会随着组数的增加而增加。如果 HTTP 标头或数据包大小超过 IIS 中配置的限制，IIS 可能会拒绝请求并发送错误作为响应。有关详细信息，请参阅以下 Microsoft 知识库文章：

   2020943 "HTTP 400 - 错误请求（请求头太长）"错误在互联网信息服务 （IIS）若要解决此问题，请使用以下某种方法：

   1. 减少用户所组成的 AD DS 用户组的数量。

   2. 更改运行 IIS 的服务器上的 MaxFieldLength 和 MaxRequestBytes 注册表值，以便不会将用户的请求标头视为太长。这两个注册表值位于以下注册表子项下：

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters

4. 如果您在服务器场中部署了多个 AD FS 2.0 服务器，并使它们负载平衡，Lync 2013 客户端可能无法将请求定向到 AD FS 2.0 服务器。将 AD FS 2.0 服务器的条目添加到客户端上直接指向 AD FS 2.0 服务器的主机文件中将绕过负载均衡器的虚拟 IP。

5. 如果以前的解决方案没有解决问题，并且降级到 Lync 2010 不是一个选项，请按照以下步骤解决问题。备注如果计算机上不存在本地管理员帐户，则必须创建一个此解决方案才能正常工作。

   1. 浏览到 Windows 资源管理器中的 Lync 2013 可执行文件：

       C:\Program Files\Microsoft Office 15\root\office15 

   2. 按住 Shift 键，然后单击 Lync.exe。

   3. 单击"以不同用户身份运行"。

   4. 在计算机上输入本地管理员帐户的凭据，然后按 Enter。

更多信息

此问题通常是由于 AD FS 2.0 中的配置错误而发生的。尽管有此配置，其他服务（如 Microsoft Exchange Online）可能仍可以正常工作。常见原因列于此处：

• 服务主体名称 （SPN） 配置不正确。原因包括：

  • 在服务器场的初始配置期间，SPN 注册失败。

  • 联合身份验证服务名称已更改。

  • 服务帐户已更改。

• AD FS 2.0 服务未在正确的服务帐户下运行。

• Lync 2013 的请求标头被 IIS 和 AD FS 2.0 服务器拒绝，因为标头太大。由于用户帐户是太多 AD DS 用户组的成员，因此可能会出现此问题。

• AD FS 2.0 服务器场是负载平衡的，并且请求未到达 AD FS 2.0 服务器。

有关在 Office 365 中部署与 SSO 配合使用 AD FS 2.0 的更多帮助，请参阅以下 TechNet 网站：

规划和部署 AD FS，以便与单一登录一起使用如果用户是太多 AD DS 组的成员，则在 Microsoft 在线服务登录助理跟踪日志中输入以下条目（这些日志通常位于 C：*MSOSSPTrace）：

##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML> 

仍然需要帮助？ 请转到 Microsoft 社区。