Usando scripts MS, tentei migrar uma configuração do ADFS 2.0 (no Windows 2008R2) para um novo servidor ADFS (Windows 2016). Tenho avisos em meu log de eventos que parecem estar vinculados, por meio da impressão digital no erro, aos certificados de descriptografia e assinatura de token.
O EventID era: 329. O erro era: "O certificado identificado pela impressão digital 'xxxxxx' não pôde ser descriptografado usando as chaves para compartilhamento de chave privada do certificado X.509. MSIS7708: O grupo para compartilhamento de chave privada do certificado X.509 com o nome distinto 'yyyyyy' não existe."
Como resolvo esses avisos?
Responder1
Você é a pessoa no reddit que notei seguindominhas instruções, quem relatou que sua conta de serviço foi alterada? Se for você - ou se sua conta de serviço mudou de qualquer maneira entre o servidor ADFS antigo e o novo - você pode estar tendo problemas de permissão no AD - a nova conta de serviço ADFS pode não conseguir acessar objetos AD criados pela conta de serviço antiga .
Se for esse o caso, use get-AdfsPropertiesno seu servidor ADFS e procure por CertificateSharingContainer. Você deverá ver algo assim:
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
Encontre esse contêiner no AD, usando ADUC. Verifique se a conta de serviço correta tem permissões. Caso contrário, adicione-os, devolva o serviço ADFS e veja se isso ajuda.