Azure AD Connect ADFS Health Agent 설치 문제

tag-icon tag-icon windows-server-2016 adfs entra-id
Azure AD Connect ADFS Health Agent 설치 문제

Windows Server 2016에서 실행되는 ADFS 4.0 팜의 기본 서버에 Azure AD Connect ADFS 상태 에이전트를 설치하려고 합니다.

설치가 성공적으로 완료되었지만 구성 시 오류가 발생합니다.

Register-AzureADConnectHealthADFSAgent : Could not query the MEX on http ports: 443 in hosts: localhost
At line:1 char:190
+ ... gent\PowerShell\AdHealthAdfs; Register-AzureADConnectHealthADFSAgent}
+                                   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
    + FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.Configuration
   Module.RegisterADHealthAdfsAgent

이제 Google을 통해 해당 오류를 실행해 보니 이것이STS 인증서 발급그래서 나는 다음과 같이 확인했습니다.기사거기에 문제가 없고 다른 예상치 못한 또는 잘못된 인증서 지문이 표시되지 않으며 ADFS 4.0 외에는 ADFS 팜의 보조 서버에서 인증서를 변경할 수 없으므로 단순히 인증서를 다시 등록하려고 해도 실패했습니다. 도움이 안 돼요.

Maweeras의 제안에 따라 추가 진단을 실행합니다.

PS C:\Users\administrator.INTERNAL> $error[0] | fl * -f


PSMessageDetails      :
Exception             : System.InvalidOperationException: Could not query the MEX on http ports: 443 in hosts:
                        localhost
                           at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.GetAdfs
                        FarmNameFromSts()
                           at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.Compute
                        ServiceSignature()
                           at Microsoft.Identity.Health.Common.Clients.PowerShell.ConfigurationModule.RegisterADHealthA
                        gent.ProcessRecord()
                           at System.Management.Automation.CommandProcessor.ProcessRecord()
TargetObject          :
CategoryInfo          : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.
                        RegisterADHealthAdfsAgent
ErrorDetails          :
InvocationInfo        : System.Management.Automation.InvocationInfo
ScriptStackTrace      : at <ScriptBlock>, <No file>: line 1
PipelineIterationInfo : {}

설치/구성 로그에는 아직 여기에 없는 내용이 나와 있지 않은 것 같습니다. 웹 브라우저에서 FQDN을 통해 MEX 엔드포인트를 탐색할 수 있습니다.

답변1

TLS에 대한 localhost 특정 SNI 바인딩이 누락된 것 같습니다. get-adfssslcertificate는 실제 서비스와 로컬 호스트에 사용되는 호스트 이름 모두에 대한 443 바인딩을 표시해야 합니다.

누락된 경우 set-adfssslcertificate는 누락된 바인딩을 수정하는 방법입니다. 이렇게 하면 상태 에이전트 설치가 성공할 수 있습니다.

관련 정보