ADFS 3.0 / Web 應用程序代理伺服器 2012 R2 錯誤
我有一個正在執行的 ADFS 3.0 (2012 R2) 伺服器。它成功地讓我在本地和非本地登錄到 Office365。
我正在嘗試在第二台機器上安裝 Web 應用程序代理角色以代理 Sharepoint 2013。我遇到了一條錯誤消息:
An error occurred when attempting to create the proxy trust certificate.
我的 ADFS 伺服器是一個單伺服器場。伺服器的主機名為 adfs-host.domain.local,ADFS 名為 adfs.domain.org。
PS C:\Windows\system32> Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org' cmdlet Install-WebApplicationProxy at command pipeline position 1 Supply values for the following parameters: FederationServiceTrustCredential Install-WebApplicationProxy : An error occurred when attempting to create the proxy trust certificate. At line:1 char:1 + Install-WebApplicationProxy -CertificateThumbprint 'xxxxxxxxxxxxxxxxxxxxxxx ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (:) [Install-WebApplicationProxy], ProxyTrustException + FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Management.Proxy.Commands.InstallProxyCommand Message Context Status ------- ------- ------ An error occurred while attempting t... DeploymentTask Error
我有一個 DNS A 記錄點 adfs.domain.org 指向與 adfs-host.domain.local 相同的 IP。
我的 Web 應用程序代理伺服器的名稱是 wap-host.domain.local。我使用私鑰將 GoDaddy 證書複製到兩台機器上,並將其安裝到本地機器個人證書儲存中。它被設置為服務通信證書。我在兩台機器上都安裝了完整的證書鏈。它是一個具有 5 個主題備用名稱的 UCC 證書——主要的不是 adfs.domain.org,但它確實適用於 ADFS。
我嘗試打開和關閉防火牆,然後執行了wireshark——看起來它在前面的步驟中失敗了,因為我沒有看到任何試圖訪問我的ADFS伺服器IP的流量。
我嘗試提供的憑據——在 ADFS 伺服器上具有管理訪問權限的本地帳戶和域管理員帳戶。
我不太確定確切的觸發器是什麼,但我在我的 ADFS 伺服器和我的 WAP 伺服器上安裝了最新一輪的更新。然後它開始工作。
我在想可能是 Windows 2012 R2 Update 1 破壞了某些東西,而最近的更新修復了它。
我有一個 DNS A 記錄點 adfs.domain.org 指向與 adfs-host.domain.local 相同的 IP。
您的 DNS A 記錄應將 adfs.domain.org 指向 WAP IP (wap-host.domain.local)。該網頁幾乎解釋了有關 WAP 證書的所有內容:
Internet 上(或內部 LAN 之外)的客戶端電腦將名稱 adfsresource.treyresearch.net 解析為 adfsproxy.treyresearch.net 的 IP 地址。請務必記住,您不會在設置中的任何位置指定名稱 adfsproxy.treyresearch.net。此伺服器上的網站應該有一個名稱為 adfsresource.treyresearch.net 的證書。
最後,您的代理應將 adfs.domain.org 解析為 adfs-host.domain.local 機器,但只有您的代理必須了解此 DNS 記錄。