Я настроил ADFS и WAP на сервере 2012 R2, чтобы войти в SharePoint 2013. Я следую нескольким инструкциям, и все кажется прекрасным, кроме одного: когда я вхожу в форму ADFS, все в порядке, затем я попадаю на пустую страницу .
Итак, я взглянул на журналы WAP, и они вернули эти два сообщения об ошибках:
ID = 13019 Прокси веб-приложения не может получить билет Kerberos от имени пользователя из-за следующей общей ошибки API: Указанное имя не является правильно сформированным именем учетной записи. (0x80070523).
ID = 12027 Прокси веб-приложения обнаружил непредвиденную ошибку при обработке запроса. Ошибка: указанное имя не является правильно сформированным именем учетной записи. (0x80070523).
В соответствии с технет вот как решить:
"Контроллер домена отклонил билет Kerberos, созданный прокси-сервером веб-приложения. Убедитесь, что конфигурация прокси-сервера веб-приложения и внутреннего сервера приложений настроена правильно, особенно конфигурация SPN. Убедитесь, что прокси-сервер веб-приложения является доменом, присоединенным к тому же домену, что и контроллер домена, чтобы контроллер домена установил доверие с прокси-сервером веб-приложения. Убедитесь, что настройки времени и даты на прокси-сервере веб-приложения и контроллере домена синхронизированы."
Но я действительно не знаю, почему они сказали мне присоединиться к серверу WAP в домене, так как этот сервер должен быть в D.M.Z и в WORKGROUP.
Дата и время на WAP-сервере были плохими, поэтому я изменил их, теперь все в порядке. Я не присоединил сервер к домену, а SPN установлен с учетной записью домена, на которой запущен пул приложений моего сайта SP.
Я дважды проверяю DNS, файлы HOSTS, сертификаты, учетные записи ... Я не могу найти никаких ошибок.
Мне любопытно : если мне нужно добавить любую учетную запись с правом чтения закрытого ключа в моем подстановочном сертификате на сервере WAP ? На сервере ADFS только учетная запись службы adfs имеет право на чтение сертификата (ключ pv), только учетная запись домена SP, которая используется для запуска пула приложений, имеет право на чтение ключа pv сертификата.
При необходимости запросите более подробную информацию.
WAP должен быть присоединен к домену при публикации приложений, использующих встроенную проверку подлинности Windows. Эта ссылка описывает требования, http://technet.microsoft.com/en-us/library/8dfd483f-faf5-4a99-a590-0081623cad08#BKMK_AD. Для использования приложений на основе утверждений вам не требуется присоединение домена к серверу WAP.