Certificate
ADFS 事件 329 - 無法解密證書
使用 MS 腳本,我嘗試將 ADFS 2.0 配置(在 Windows 2008R2 上)遷移到新的 ADFS 伺服器(Windows 2016)伺服器。我的事件日誌中有警告,這些警告似乎通過錯誤中的指紋連結到令牌解密和令牌簽名證書。
EventID 為:329。錯誤為:“無法使用 X.509 證書私鑰共享的密鑰解密由指紋 ‘xxxxxx’ 標識的證書。MSIS7708:X.509 證書私鑰共享組與可分辨名稱 ‘yyyyyy’ 不存在。”
如何解決這些警告?
您是我在 reddit 上註意到按照我的指示報告他們的服務帳戶已更改的那個人嗎?如果是您 - 或者您的服務帳戶在舊 ADFS 伺服器和新伺服器之間發生了變化 - 您可能在 AD 中遇到權限問題 - 新的 ADFS 服務帳戶可能無法訪問由舊服務帳戶創建的 AD 對象.
如果是這種情況,
get-AdfsProperties請在您的 ADFS 伺服器上使用並查找 CertificateSharingContainer。您應該看到如下內容:CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here使用 ADUC 在 AD 中找到該容器。驗證正確的服務帳戶是否具有權限。如果沒有,請添加它們,退回 ADFS 服務,看看是否有幫助。