帶有 SP 2013 的 ADFS 和 WAP - 登錄重定向到空白頁面
我在伺服器 2012 R2 上設置了 ADFS 和 WAP,以便登錄到 SharePoint 2013。我遵循了幾個操作方法,除了一件事之外一切似乎都很好:當我登錄到 ADFS 表單時,它可以,然後我登陸一個空白頁面.
所以我查看了 WAP 日誌,它返回以下兩條錯誤消息:
- ID=13019由於以下一般 API 錯誤,Web 應用程序代理無法代表使用者檢索 Kerberos 票證:提供的名稱不是格式正確的帳戶名稱。(0x80070523)。
- ID=12027 Web 應用程序代理在處理請求時遇到意外錯誤。錯誤:提供的名稱不是格式正確的帳戶名稱。(0x80070523)。
根據technet ,這是如何解決的:
“域控制器拒絕了 Web 應用程序代理創建的 Kerberos 票證。驗證 Web 應用程序代理和後端應用程序伺服器的配置是否正確配置,尤其是 SPN 配置。確保 Web應用程序代理是與域控制器加入同一個域的域,以確保域控制器與 Web 應用程序代理建立信任。確保 Web 應用程序代理和域控制器上的時間和日期配置是同步的。 "
但是我真的不知道為什麼他們告訴我加入域中的 WAP 伺服器,因為這個伺服器應該在 DMZ 和 WORKGROUP 中。
WAP伺服器上的日期和時間不好,所以我修改了它,現在可以了。我沒有將伺服器加入域,並且 SPN 設置為執行我的 SP 站點的 AppPool 的域帳戶。
我仔細檢查了 DNS、HOSTS 文件、證書、帳戶……我找不到任何錯誤。
我想知道:我是否需要在 WAP 伺服器上的萬用字元證書上添加任何帳戶有權讀取私鑰?在 ADFS 伺服器上,只有 adfs 服務帳戶有權讀取證書(pv 密鑰),在 SP 上,只有用於執行應用程序池的域帳戶有權讀取證書的 pv 密鑰。
如果需要,請詢問更多詳細資訊。
發布使用 Windows 集成身份驗證的應用程序時,WAP 必須加入域。此連結描述了要求,http ://technet.microsoft.com/en-us/library/8dfd483f-faf5-4a99-a590-0081623cad08#BKMK_AD 。要使用基於聲明的應用程序,您不需要加入 WAP 伺服器的域。