问题
请考虑以下情况:
-
Office 365 用于企业、Office 365 教育或 Office 365 业务客户在活动目录联合服务 (AD FS) 2.0 中设置单一登录 (SSO)。
-
从公司网络内部连接的联合用户无法从 Lync 2013 登录到 Skype 业务联机(以前是 Lync Online),并且会收到以下错误消息:
无法登录,因为服务器暂时不可用。
备注此问题仅适用于企业 SSO 用户谁登录到 Skype 业务在线使用 Lync 2013 从他们的企业网络内。此问题不适用于 Microsoft Lync 2010 上的用户、不在 Skype 上进行业务联机的用户或从公司网络外部连接的用户。
解决 方案
重要 请仔细操作本节中的步骤。如果注册表修改不正确,则可能会出现严重问题。在修改之前,请备份注册表以进行还原,以防出现问题。由于有许多可能的原因,因此最好使用以下所有解决方案,然后验证配置。
-
部署 AD FS 2.0 联合服务器场时,必须指定需要注册 SPN 才能使 Kerberos 身份验证正常运行的基于域的服务帐户。有关详细信息,请参阅以下 TechNet wiki:
AD FS 2.0:如何为服务帐户配置 SPN(服务主体名称)您可能需要在 AD FS 2.0 服务帐户上手动设置 SPN 的原因如下:
-
在服务器场的初始配置期间,SPN 注册失败。
-
联合身份验证服务名称已更改。
-
服务帐户已更改。
-
-
确保 AD FS 2.0 服务在上一步中提到的基于域的服务帐户下运行。例如,在下图中,TRLABV3 是内部主机名,ADFSSvc 是服务帐户:
-
配置 AD FS 2.0 服务器以接受大于 40 KB 的请求标头。当用户是许多活动目录域服务 (AD DS) 用户组的成员时,您可能需要执行此操作。当用户是许多 AD DS 组的成员时,用户的 Kerberos 身份验证令牌的大小会增加。用户发送到 Internet 信息服务 (IIS) 服务器的 HTTP 请求包含 WWW 身份验证标头中的 Kerberos 令牌。因此,标头大小会随着组数的增加而增加。如果 HTTP 标头或数据包大小超过 IIS 中配置的限制,IIS 可能会拒绝请求并发送错误作为响应。有关详细信息,请参阅以下 Microsoft 知识库文章:
2020943 "HTTP 400 - 错误请求(请求头太长)"错误在互联网信息服务 (IIS)若要解决此问题,请使用以下某种方法:
-
减少用户所组成的 AD DS 用户组的数量。
-
更改运行 IIS 的服务器上的 MaxFieldLength 和 MaxRequestBytes 注册表值,以便不会将用户的请求标头视为太长。这两个注册表值位于以下注册表子项下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
-
-
如果您在服务器场中部署了多个 AD FS 2.0 服务器,并使它们负载平衡,Lync 2013 客户端可能无法将请求定向到 AD FS 2.0 服务器。将 AD FS 2.0 服务器的条目添加到客户端上直接指向 AD FS 2.0 服务器的主机文件中将绕过负载均衡器的虚拟 IP。
-
如果以前的解决方案没有解决问题,并且降级到 Lync 2010 不是一个选项,请按照以下步骤解决问题。备注如果计算机上不存在本地管理员帐户,则必须创建一个此解决方案才能正常工作。
-
浏览到 Windows 资源管理器中的 Lync 2013 可执行文件:
C:\Program Files\Microsoft Office 15\root\office15
-
按住 Shift 键,然后单击 Lync.exe。
-
单击"以不同用户身份运行"。
-
在计算机上输入本地管理员帐户的凭据,然后按 Enter。
-
更多信息
此问题通常是由于 AD FS 2.0 中的配置错误而发生的。尽管有此配置,其他服务(如 Microsoft Exchange Online)可能仍可以正常工作。常见原因列于此处:
-
服务主体名称 (SPN) 配置不正确。原因包括:
-
在服务器场的初始配置期间,SPN 注册失败。
-
联合身份验证服务名称已更改。
-
服务帐户已更改。
-
-
AD FS 2.0 服务未在正确的服务帐户下运行。
-
Lync 2013 的请求标头被 IIS 和 AD FS 2.0 服务器拒绝,因为标头太大。由于用户帐户是太多 AD DS 用户组的成员,因此可能会出现此问题。
-
AD FS 2.0 服务器场是负载平衡的,并且请求未到达 AD FS 2.0 服务器。
有关在 Office 365 中部署与 SSO 配合使用 AD FS 2.0 的更多帮助,请参阅以下 TechNet 网站:
规划和部署 AD FS,以便与单一登录一起使用如果用户是太多 AD DS 组的成员,则在 Microsoft 在线服务登录助理跟踪日志中输入以下条目(这些日志通常位于 C:*MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>
仍然需要帮助? 请转到 Microsoft 社区。