Я пытаюсь установить агент работоспособности Azure AD Connect ADFS на основном сервере в ферме ADFS 4.0, работающей под управлением Windows Server 2016.
Установка завершается успешно, но при настройке возникает ошибка:
Register-AzureADConnectHealthADFSAgent : Could not query the MEX on http ports: 443 in hosts: localhost
At line:1 char:190
+ ... gent\PowerShell\AdHealthAdfs; Register-AzureADConnectHealthADFSAgent}
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
+ FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.Configuration
Module.RegisterADHealthAdfsAgent
Теперь я проверил эту ошибку в Google, и он мне подсказывает, что это может бытьВыпуск сертификата STSпоэтому я проверил согласностатьяуказал туда, и не обнаружил никаких проблем, никаких других неожиданных или неправильных отпечатков сертификатов, и, кроме того, в ADFS 4.0 вы не можете изменять сертификаты на вторичных серверах в ферме ADFS, так что даже простая попытка перерегистрировать сертификаты не помогла.
Проведение дальнейшей диагностики согласно предложениям maweeras:
PS C:\Users\administrator.INTERNAL> $error[0] | fl * -f
PSMessageDetails :
Exception : System.InvalidOperationException: Could not query the MEX on http ports: 443 in hosts:
localhost
at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.GetAdfs
FarmNameFromSts()
at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.Compute
ServiceSignature()
at Microsoft.Identity.Health.Common.Clients.PowerShell.ConfigurationModule.RegisterADHealthA
gent.ProcessRecord()
at System.Management.Automation.CommandProcessor.ProcessRecord()
TargetObject :
CategoryInfo : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.
RegisterADHealthAdfsAgent
ErrorDetails :
InvocationInfo : System.Management.Automation.InvocationInfo
ScriptStackTrace : at <ScriptBlock>, <No file>: line 1
PipelineIterationInfo : {}
Журнал установки/конфигурации, похоже, не сообщает нам ничего, чего бы здесь не было. Я могу перейти к конечной точке MEX через ее полное доменное имя в веб-браузере.
решение1
Похоже, что отсутствовала привязка SNI, специфичная для локального хоста, для TLS. get-adfssslcertificate должен выявить привязку 443 как для имени хоста, используемого для фактической службы, так и для локального хоста.
Если отсутствует, set-adfssslcertificate — это способ исправить отсутствующие привязки. Это позволит успешно установить агента работоспособности.