Используя сценарии MS, я попытался перенести конфигурацию ADFS 2.0 (в Windows 2008R2) на новый сервер ADFS (Windows 2016). У меня есть предупреждения в моем журнале событий, которые, кажется, связаны через отпечаток в ошибке с сертификатами дешифрования и подписи токенов.
Идентификатор события: 329. Ошибка: «Сертификат, идентифицированный отпечатком 'xxxxxx', не может быть расшифрован с помощью ключей для совместного использования закрытого ключа сертификата X.509. MSIS7708: группа для совместного использования закрытого ключа сертификата X.509 с выдающееся имя "yyyyyy" не существует ".
Как устранить эти предупреждения?
Вы тот человек на Reddit, которого я заметил после мои инструкции, кто сообщил, что их учетная запись службы была изменена? Если это вы - или если ваша учетная запись службы все равно изменилась между старым сервером ADFS и новым, у вас могут быть проблемы с разрешениями в AD - новая учетная запись службы ADFS может не иметь доступа к объектам AD, созданным старой учетной записью службы. .
Если это так, используйте get-AdfsProperties на вашем сервере ADFS и найдите CertificateSharingContainer. Вы должны увидеть что-то вроде этого:
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
Найдите этот контейнер в AD с помощью ADUC. Убедитесь, что у правильной учетной записи службы есть разрешения. Если нет, добавьте их, откажитесь от службы ADFS и посмотрите, поможет ли это.