您目前已離線,請等候您的網際網路重新連線

企業單一登入的使用者在 Office 365 無法登入 Skype 從線上商務的公司網路內

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:2839539
問題
請考慮下列情況:
  • 為企業、 教育的 Office 365 或中型企業客戶的辦公室 365 Office 365 設定單一登入 (SSO) 在 Active Directory 同盟服務 (AD FS) 2.0。
  • 從連接公司網路內的聯盟的使用者無法登入 Skype 的商務 Online(formerly Lync Online) Lync 2013 從和他們收到下列錯誤訊息:
    無法登入,因為伺服器暫時無法使用。
注意這個問題只適用於企業 SSO 使用者登入 Skype 線上商務的公司網路內使用從 Lync 2013。這個問題不適用於 Microsoft Lync 2010,都不在線上商務 Skype 的使用者或從其公司網路外部連線的使用者上的使用者。
方案
重要請仔細遵循本章節中的步驟。如果您不當修改登錄,可能會發生嚴重的問題。在修改前 備份還原登錄 以免發生問題。

由於有許多可能的原因,最好在逐步使用所有下列的解決方案,並確認組態。
  1. 當您部署 AD FS 2.0 同盟伺服器陣列,您必須指定需要已註冊的 SPN,若要啟用 Kerberos 驗證,才能正確運作的網域為基礎的服務帳戶。如需詳細資訊,請參閱下列的 TechNet wiki:您可能要手動設定 SPN,AD FS 2.0 的服務帳戶的原因如下所示:
    • SPN 註冊失敗期間的陣列初始設定。
    • 聯盟服務名稱已變更。
    • 已變更服務帳戶。
  2. 請確定 AD FS 2.0 服務已在先前步驟中所述的網域為基礎的服務帳戶下執行。例如,在下列影像中,TRLABV3 是內部主機名稱,而 ADFSSvc 是服務帳戶:

    螢幕擷取畫面的 AD FS 2.0 Windows 服務的內容,顯示網域為基礎的帳號
  3. 設定 AD FS 2.0 伺服器無法接受大於 40 位元組 (KB) 的要求標頭。您可能要執行這項操作,當使用者是許多 Active Directory 網域服務 (AD DS) 使用者群組的成員。當使用者是多個 AD DS 群組的成員時,會增加使用者的 Kerberos 驗證語彙基元的大小。

    使用者將傳送至網際網路資訊服務 (IIS) 伺服器的 HTTP 要求會包含在 WWW 驗證標頭中的 Kerberos 語彙基元。因此,標頭大小會隨著群組增加的數目。如果 HTTP 標頭或封包大小增加超過在 IIS 中設定的限制,IIS 可能會拒絕的要求,並為回應傳送錯誤。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    2020943 「 HTTP 400-錯誤的要求 (要求標頭太長) 」 的錯誤在網際網路資訊服務 (IIS)
    若要解決這個問題,請使用下列方法之一:
    1. 降低 AD DS 使用者群組的使用者所屬的成員數目。
    2. 變更 MaxFieldLength 和 MaxRequestBytes 登錄值,讓使用者的要求標頭被視為不太長,執行 IIS 的伺服器上。這些兩個登錄值位於下列登錄子機碼下:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. 如果您已經部署多個 AD FS 2.0 伺服器伺服陣列中的,並讓它們載入平衡、 Lync 2013 用戶端可能無法將要求導向到 AD FS 2.0 伺服器。加入項目為 AD FS 2.0 伺服器上直接指向 AD FS 2.0 的伺服器用戶端的主機檔案將會略過負載平衡器的虛擬 IP。
  5. 如果先前的解決方案沒有解決問題,降級到 Lync 2010 不可行,請依照下列這些步驟來解決這個問題。

    注意如果本機系統管理員帳戶不存在的電腦上,您必須建立一個用於此方案才能運作。
    1. 瀏覽至可執行檔在 Windows 檔案總管的 Lync 2013:
       C:\Program Files\Microsoft Office 15\root\office15
    2. 按住 Shift 鍵,並用滑鼠右鍵按一下 Lync.exe。
    3. 按一下不同的使用者身分執行]。
    4. 在電腦上,輸入本機系統管理員帳戶的認證,然後按 Enter 鍵。
更多的資訊
這個問題通常發生是因為 AD FS 2.0 中有錯誤設定。儘管這種組態中,其他的服務,例如 Microsoft Exchange Online 可能正常運作。常見的原因如下:
  • ServicePrincipalName (SPN) 未正確設定。這樣做的原因包括:
    • SPN 註冊失敗期間的陣列初始設定。
    • 聯盟服務名稱已變更。
    • 已變更服務帳戶。
  • AD FS 2.0 服務不正確的服務帳戶下執行。
  • 要求標頭,從 Lync 2013 是拒絕 IIS 和 AD FS 所 2.0 的伺服器因為標頭太大。因為使用者帳戶是太多的 AD DS 使用者群組的成員,就可能發生這個問題。
  • AD FS 2.0 的伺服器陣列是負載平衡,並要求無法到達 AD FS 2.0 伺服器。
如需有關部署 AD FS 2.0 用於與辦公室 365 的 SSO,請參閱下列的 TechNet 網站:在的情況下時的使用者是太多的 AD DS 群組的成員下列項目輸入 Microsoft 線上服務登入小幫手] 的追蹤記錄檔 (這些記錄檔通常位於 C:\MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

還是需要協助嗎?移至 Office 365 社群 網站。

警告:本文為自動翻譯

內容

文章識別碼:2839539 - 最後檢閱時間:05/01/2015 00:00:00 - 修訂: 11.0

Skype for Business Online

  • o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtzh
意見反應