我嘗試在 Windows Server 2016 上執行的 ADFS 4.0 場中的主伺服器上安裝 Azure AD Connect ADFS 執行狀況代理程式。
安裝成功完成,但設定出現錯誤:
Register-AzureADConnectHealthADFSAgent : Could not query the MEX on http ports: 443 in hosts: localhost
At line:1 char:190
+ ... gent\PowerShell\AdHealthAdfs; Register-AzureADConnectHealthADFSAgent}
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
+ FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.Configuration
Module.RegisterADHealthAdfsAgent
現在我已經通過谷歌運行了這個錯誤,它告訴我這可能是一個STS證書頒發所以我已經檢查過文章指向那裡,並且沒有任何問題,沒有其他可見的意外或不正確的證書指紋,而且除了在ADFS 4.0 上之外,您無法更改ADFS 場中的輔助伺服器上的證書,因此即使只是嘗試重新註冊證書也不會沒有幫助。
根據 maweeras 的建議運行進一步的診斷:
PS C:\Users\administrator.INTERNAL> $error[0] | fl * -f
PSMessageDetails :
Exception : System.InvalidOperationException: Could not query the MEX on http ports: 443 in hosts:
localhost
at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.GetAdfs
FarmNameFromSts()
at Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.AdfsServiceExaminer.Compute
ServiceSignature()
at Microsoft.Identity.Health.Common.Clients.PowerShell.ConfigurationModule.RegisterADHealthA
gent.ProcessRecord()
at System.Management.Automation.CommandProcessor.ProcessRecord()
TargetObject :
CategoryInfo : NotSpecified: (:) [Register-AzureADConnectHealthADFSAgent], InvalidOperationException
FullyQualifiedErrorId : System.InvalidOperationException,Microsoft.Identity.Health.Adfs.PowerShell.ConfigurationModule.
RegisterADHealthAdfsAgent
ErrorDetails :
InvocationInfo : System.Management.Automation.InvocationInfo
ScriptStackTrace : at <ScriptBlock>, <No file>: line 1
PipelineIterationInfo : {}
安裝/配置日誌似乎沒有告訴我們任何不存在的資訊。我可以在 Web 瀏覽器中透過其 FQDN 瀏覽到 MEX 端點。
答案1
看起來缺少針對 TLS 的本機特定 SNI 綁定。 get-adfssslcertificate 應該會顯示用於實際服務的主機名稱和本機的 443 綁定。
如果遺失,set-adfssslcertificate 是修復遺失綁定的方法。這將使運行狀況代理安裝成功。