MS スクリプトを使用して、ADFS 2.0 構成 (Windows 2008R2 上) を新しい ADFS サーバー (Windows 2016) サーバーに移行しようとしました。イベント ログには、エラーの拇印を介してトークン復号化証明書とトークン署名証明書にリンクされていると思われる警告があります。
イベント ID は 329 でした。エラーは、「拇印 'xxxxxx' で識別される証明書は、X.509 証明書の秘密キー共有のキーを使用して復号化できませんでした。MSIS7708: 識別名 'yyyyyy' の X.509 証明書の秘密キー共有のグループが存在しません。」でした。
これらの警告を解決するにはどうすればよいですか?
答え1
あなたが私がフォローしているredditの人ですか?私の指示サービス アカウントが変更されたと報告した方はいらっしゃいますか? それがあなたである場合、または古い ADFS サーバーと新しいサーバーの間でサービス アカウントが変更されている場合は、AD でアクセス許可の問題が発生している可能性があります。新しい ADFS サービス アカウントは、古いサービス アカウントによって作成された AD オブジェクトにアクセスできない可能性があります。
その場合は、get-AdfsPropertiesADFS サーバーで を使用し、CertificateSharingContainer を探します。次のような表示になります。
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
ADUC を使用して、AD でそのコンテナーを見つけます。正しいサービス アカウントに権限があることを確認します。権限がない場合は、権限を追加し、ADFS サービスをバウンスして、それが役立つかどうかを確認します。