Utilizando scripts de MS, intenté migrar una configuración de ADFS 2.0 (en Windows 2008R2) a un nuevo servidor ADFS (Windows 2016). Tengo advertencias en mi registro de eventos que parecen estar vinculadas, a través de la huella digital en el error, a los certificados de firma y descifrado de tokens.
El EventID fue: 329. El error fue: "El certificado identificado por la huella digital 'xxxxxx' no se pudo descifrar utilizando las claves para compartir la clave privada del certificado X.509. MSIS7708: el grupo para compartir la clave privada del certificado X.509 con el nombre distinguido 'yyyyyy' no existe."
¿Cómo resuelvo estas advertencias?
Respuesta1
¿Eres la persona en Reddit que noté siguiendo?mis instrucciones, ¿quién informó que su cuenta de servicio había sido cambiada? Si ese es usted, o si su cuenta de servicio ha cambiado de todos modos entre el servidor ADFS antiguo y el nuevo, es posible que tenga problemas de permisos en AD; es posible que la nueva cuenta de servicio ADFS no pueda acceder a los objetos AD creados por la cuenta de servicio anterior. .
Si ese es el caso, utilícelo get-AdfsPropertiesen su servidor ADFS y busque CertificateSharingContainer. Debería ver algo como esto:
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
Encuentre ese contenedor en AD, usando ADUC. Verifique que la cuenta de servicio correcta tenga permisos. De lo contrario, agréguelos, rebote el servicio ADFS y vea si eso ayuda.