ADFS 3.0 / Web 應用程序代理伺服器 2012 R2 錯誤

我有一個正在執行的 ADFS 3.0 (2012 R2) 伺服器。它成功地讓我在本地和非本地登錄到 Office365。

我正在嘗試在第二台機器上安裝 Web 應用程序代理角色以代理 Sharepoint 2013。我遇到了一條錯誤消息：

An error occurred when attempting to create the proxy trust certificate.

我的 ADFS 伺服器是一個單伺服器場。伺服器的主機名為 adfs-host.domain.local，ADFS 名為 adfs.domain.org。

   PS C:\Windows\system32> Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'
cmdlet Install-WebApplicationProxy at command pipeline position 1
Supply values for the following parameters:
FederationServiceTrustCredential
Install-WebApplicationProxy : An error occurred when attempting to create the proxy trust certificate.
At line:1 char:1
+ Install-WebApplicationProxy -CertificateThumbprint 'xxxxxxxxxxxxxxxxxxxxxxx ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   + CategoryInfo          : NotSpecified: (:) [Install-WebApplicationProxy], ProxyTrustException
   + FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Management.Proxy.Commands.InstallProxyCommand


Message                                 Context                                                                  Status
-------                                 -------                                                                  ------
An error occurred while attempting t... DeploymentTask                                                            Error

我有一個 DNS A 記錄點 adfs.domain.org 指向與 adfs-host.domain.local 相同的 IP。

我的 Web 應用程序代理伺服器的名稱是 wap-host.domain.local。我使用私鑰將 GoDaddy 證書複製到兩台機器上，並將其安裝到本地機器個人證書儲存中。它被設置為服務通信證書。我在兩台機器上都安裝了完整的證書鏈。它是一個具有 5 個主題備用名稱的 UCC 證書——主要的不是 adfs.domain.org，但它確實適用於 ADFS。

我嘗試打開和關閉防火牆，然後執行了wireshark——看起來它在前面的步驟中失敗了，因為我沒有看到任何試圖訪問我的ADFS伺服器IP的流量。

我嘗試提供的憑據——在 ADFS 伺服器上具有管理訪問權限的本地帳戶和域管理員帳戶。

我不太確定確切的觸發器是什麼，但我在我的 ADFS 伺服器和我的 WAP 伺服器上安裝了最新一輪的更新。然後它開始工作。

我在想可能是 Windows 2012 R2 Update 1 破壞了某些東西，而最近的更新修復了它。

我有一個 DNS A 記錄點 adfs.domain.org 指向與 adfs-host.domain.local 相同的 IP。

您的 DNS A 記錄應將 adfs.domain.org 指向 WAP IP (wap-host.domain.local)。該網頁幾乎解釋了有關 WAP 證書的所有內容：

Internet 上（或內部 LAN 之外）的客戶端電腦將名稱 adfsresource.treyresearch.net 解析為 adfsproxy.treyresearch.net 的 IP 地址。請務必記住，您不會在設置中的任何位置指定名稱 adfsproxy.treyresearch.net。此伺服器上的網站應該有一個名稱為 adfsresource.treyresearch.net 的證書。

最後，您的代理應將 adfs.domain.org 解析為 adfs-host.domain.local 機器，但只有您的代理必須了解此 DNS 記錄。

引用自：https://serverfault.com/questions/606534