Mithilfe von MS-Skripten habe ich versucht, eine ADFS 2.0-Konfiguration (unter Windows 2008R2) auf einen neuen ADFS-Server (Windows 2016) zu migrieren. In meinem Ereignisprotokoll sind Warnungen zu sehen, die über den Fingerabdruck im Fehler mit den Token-Entschlüsselungs- und Token-Signaturzertifikaten verknüpft zu sein scheinen.
Die EventID war: 329. Der Fehler war: „Das durch den Fingerabdruck ‚xxxxxx‘ identifizierte Zertifikat konnte mit den Schlüsseln für die gemeinsame Nutzung privater Schlüssel für X.509-Zertifikate nicht entschlüsselt werden. MSIS7708: Die Gruppe für die gemeinsame Nutzung privater Schlüssel für X.509-Zertifikate mit dem Distinguished Name ‚yyyyyy‘ existiert nicht.“
Wie behebe ich diese Warnungen?
Antwort1
Bist du die Person auf Reddit, die mir aufgefallen ist?meine Anweisungen, der gemeldet hat, dass sein Dienstkonto geändert wurde? Wenn das auf Sie zutrifft – oder wenn sich Ihr Dienstkonto zwischen dem alten und dem neuen ADFS-Server ohnehin geändert hat –, haben Sie möglicherweise Berechtigungsprobleme in AD. Das neue ADFS-Dienstkonto kann möglicherweise nicht auf AD-Objekte zugreifen, die vom alten Dienstkonto erstellt wurden.
Wenn dies der Fall ist, verwenden Sie get-AdfsPropertiesauf Ihrem ADFS-Server und suchen Sie nach CertificateSharingContainer. Sie sollten ungefähr Folgendes sehen:
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
Suchen Sie diesen Container in AD mithilfe von ADUC. Überprüfen Sie, ob das richtige Dienstkonto über Berechtigungen verfügt. Wenn nicht, fügen Sie sie hinzu, starten Sie den ADFS-Dienst neu und prüfen Sie, ob das hilft.