Windows-Server-2012-R2

ADFS 3.0 / Web 應用程序代理伺服器 2012 R2 錯誤

  • March 16, 2022

我有一個正在執行的 ADFS 3.0 (2012 R2) 伺服器。它成功地讓我在本地和非本地登錄到 Office365。

我正在嘗試在第二台機器上安裝 Web 應用程序代理角色以代理 Sharepoint 2013。我遇到了一條錯誤消息:

An error occurred when attempting to create the proxy trust certificate.

我的 ADFS 伺服器是一個單伺服器場。伺服器的主機名為 adfs-host.domain.local,ADFS 名為 adfs.domain.org。

   PS C:\Windows\system32> Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'
cmdlet Install-WebApplicationProxy at command pipeline position 1
Supply values for the following parameters:
FederationServiceTrustCredential
Install-WebApplicationProxy : An error occurred when attempting to create the proxy trust certificate.
At line:1 char:1
+ Install-WebApplicationProxy -CertificateThumbprint 'xxxxxxxxxxxxxxxxxxxxxxx ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   + CategoryInfo          : NotSpecified: (:) [Install-WebApplicationProxy], ProxyTrustException
   + FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Management.Proxy.Commands.InstallProxyCommand


Message                                 Context                                                                  Status
-------                                 -------                                                                  ------
An error occurred while attempting t... DeploymentTask                                                            Error

我有一個 DNS A 記錄點 adfs.domain.org 指向與 adfs-host.domain.local 相同的 IP。

我的 Web 應用程序代理伺服器的名稱是 wap-host.domain.local。我使用私鑰將 GoDaddy 證書複製到兩台機器上,並將其安裝到本地機器個人證書儲存中。它被設置為服務通信證書。我在兩台機器上都安裝了完整的證書鏈。它是一個具有 5 個主題備用名稱的 UCC 證書——主要的不是 adfs.domain.org,但它確實適用於 ADFS。

我嘗試打開和關閉防火牆,然後執行了wireshark——看起來它在前面的步驟中失敗了,因為我沒有看到任何試圖訪問我的ADFS伺服器IP的流量。

我嘗試提供的憑據——在 ADFS 伺服器上具有管理訪問權限的本地帳戶和域管理員帳戶。

我不太確定確切的觸發器是什麼,但我在我的 ADFS 伺服器和我的 WAP 伺服器上安裝了最新一輪的更新。然後它開始工作。

我在想可能是 Windows 2012 R2 Update 1 破壞了某些東西,而最近的更新修復了它。

我有一個 DNS A 記錄點 adfs.domain.org 指向與 adfs-host.domain.local 相同的 IP。

您的 DNS A 記錄應將 adfs.domain.org 指向 WAP IP (wap-host.domain.local)。該網頁幾乎解釋了有關 WAP 證書的所有內容:

Internet 上(或內部 LAN 之外)的客戶端電腦將名稱 adfsresource.treyresearch.net 解析為 adfsproxy.treyresearch.net 的 IP 地址。請務必記住,您不會在設置中的任何位置指定名稱 adfsproxy.treyresearch.net。此伺服器上的網站應該有一個名稱為 adfsresource.treyresearch.net 的證書。

最後,您的代理應將 adfs.domain.org 解析為 adfs-host.domain.local 機器,但只有您的代理必須了解此 DNS 記錄。

引用自:https://serverfault.com/questions/606534