Ошибка ADFS 3.0 / веб-приложения Proxy Server 2012 R2

Question

Ошибка ADFS 3.0 / веб-приложения Proxy Server 2012 R2

У меня работает работающий сервер ADFS 3.0 (2012 R2). Он успешно работает для входа в Office365 как внутри, так и за ее пределами.

Я пытаюсь установить роль прокси-сервера веб-приложения на втором компьютере для прокси-сервера Sharepoint 2013. Я застреваю с сообщением об ошибке:

An error occurred when attempting to create the proxy trust certificate.

Мой сервер ADFS - это ферма с одним сервером. Имя хоста сервера - adfs-host.domain.local, а имя ADFS - adfs.domain.org.

    PS C:\Windows\system32> Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'
cmdlet Install-WebApplicationProxy at command pipeline position 1
Supply values for the following parameters:
FederationServiceTrustCredential
Install-WebApplicationProxy : An error occurred when attempting to create the proxy trust certificate.
At line:1 char:1
+ Install-WebApplicationProxy -CertificateThumbprint 'xxxxxxxxxxxxxxxxxxxxxxx ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Install-WebApplicationProxy], ProxyTrustException
    + FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Management.Proxy.Commands.InstallProxyCommand


Message                                 Context                                                                  Status
-------                                 -------                                                                  ------
An error occurred while attempting t... DeploymentTask                                                            Error

У меня есть точка записи DNS A adfs.domain.org с тем же IP-адресом, что и adfs-host.domain.local.

Мой прокси-сервер веб-приложений называется wap-host.domain.local. Я скопировал сертификат GoDaddy на обе машины с закрытым ключом и установил его в хранилище личных сертификатов локальной машины. Он устанавливается в качестве сертификата служебной связи. Я установил полную цепочку сертификатов на обе машины. Это сертификат UCC с 5-ю альтернативными именами - главное не adfs.domain.org, но он работает для ADFS.

Я попытался с включенным и выключенным межсетевым экраном, и я запустил wireshark- похоже, что он терпит неудачу на более раннем этапе, так как я не видел попытки трафика на IP моего сервера ADFS.

Учетные данные, которые я попытался указать, - как локальная учетная запись с правами администратора на сервере ADFS, так и учетная запись администратора домена.

0

windows-server-2012-r2 adfs sharepoint-2013 web-application-proxy

Источник

Quinten 19 июн '14 в 18:36

4 ответа

Решение

Мой файл microsoft.identityServer.proxyservice.exe.config был пустым.

Мне не удалось решить эту проблему без отката веб-сервера до более ранней контрольной точки, где работало соединение. После этого я создал резервную копию файла c:\Windows\ADFS\Config\microsoft.identityServer.proxyservice.exe.config, а затем применил обновления к серверу и перезапустил его. В этот момент сервер сообщит об ошибке и не запустит веб-прокси. Затем сработала следующая команда (ранее они выдавали ошибку выше):

Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'

Только с пустым файлом microsoft.identityServer.proxyservice.exe.config я не смог заставить работать команду Install-WebApplicationProxy.

0

Источник

John H 10 сен '18 в 15:02

У меня есть точка записи DNS A adfs.domain.org с тем же IP-адресом, что и adfs-host.domain.local.

Ваша запись DNS A должна указывать adfs.domain.org на IP-адрес WAP (wap-host.domain.local). Эта веб-страница объясняет почти все о сертификатах WAP:

Клиентские машины в Интернете (или за пределами вашей внутренней локальной сети) разрешают имя adfsresource.treyresearch.net в IP-адрес adfsproxy.treyresearch.net. Важно помнить, что вы не будете указывать имя adfsproxy.treyresearch.net в вашей настройке. Веб-сайт на этом сервере должен иметь сертификат, выданный на имя adfsresource.treyresearch.net.

Наконец, ваш прокси должен разрешить adfs.domain.org на машине adfs-host.domain.local, но только ваш прокси должен знать об этой записи DNS.

0

Источник

Michael 30 июн '14 в 10:07

У меня точно такая же проблема с одним из наших WAP-серверов, но я использую WAP-кластер, и обновления не решают проблему.

Есть еще какой-нибудь намек?

Я в основном следовал всем советам, которые нашел в Интернете. Остаётся только полностью удалить сервер и создать новый...

0

Источник

Bruno Martins 16 мар '22 в 15:51

Другие вопросы по тегам windows-server-2012-r2 adfs sharepoint-2013 web-application-proxy

Quinten 02 июл '14 в 19:52 2014-07-02 19:52 · Accepted Answer · 2014-07-02 19:52

Я не совсем уверен, какой именно триггер был, но я установил последний раунд обновлений на моем сервере ADFS и на моем WAP-сервере. Тогда это начало работать.

Я думаю, что, возможно, Windows 2012 R2 Update 1 что-то сломал, и более новое обновление исправило это.