Используя скрипты MS, я попытался перенести конфигурацию ADFS 2.0 (на Windows 2008R2) на новый сервер ADFS (Windows 2016). В моем журнале событий есть предупреждения, которые, по-видимому, связаны, через отпечаток в ошибке, с сертификатами расшифровки и подписи токена.
EventID: 329. Ошибка: «Сертификат, идентифицированный отпечатком 'xxxxxx', не может быть расшифрован с помощью ключей для совместного использования закрытого ключа сертификата X.509. MSIS7708: Группа для совместного использования закрытого ключа сертификата X.509 с отличительным именем 'yyyyyy' не существует».
Как устранить эти предупреждения?
решение1
Вы тот человек на Reddit, за которым я следил?мои инструкции, кто сообщил, что их учетная запись службы была изменена? Если это вы - или если ваша учетная запись службы каким-либо образом изменилась между старым сервером ADFS и новым - у вас могут быть проблемы с разрешениями в AD - новая учетная запись службы ADFS может не иметь доступа к объектам AD, созданным старой учетной записью службы.
Если это так, используйте get-AdfsPropertiesна вашем сервере ADFS и найдите CertificateSharingContainer. Вы должны увидеть что-то вроде этого:
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
Найдите этот контейнер в AD с помощью ADUC. Проверьте, что у правильной учетной записи службы есть разрешения. Если нет, добавьте их, отключите службу ADFS и посмотрите, поможет ли это.