У меня работает рабочий сервер ADFS 3.0 (2012 R2). Он успешно работает для входа в Office365 как в офисе, так и за его пределами.
Я пытаюсь установить роль прокси-сервера веб-приложения на втором компьютере, чтобы прокси-сервер Sharepoint 2013. Я получаю сообщение об ошибке:
An error occurred when attempting to create the proxy trust certificate.
Мой сервер ADFS - это ферма с одним сервером. Имя хоста сервера - adfs-host.domain.local, имя ADFS - adfs.domain.org.
PS C:\Windows\system32> Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'
cmdlet Install-WebApplicationProxy at command pipeline position 1
Supply values for the following parameters:
FederationServiceTrustCredential
Install-WebApplicationProxy : An error occurred when attempting to create the proxy trust certificate.
At line:1 char:1
+ Install-WebApplicationProxy -CertificateThumbprint 'xxxxxxxxxxxxxxxxxxxxxxx ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Install-WebApplicationProxy], ProxyTrustException
+ FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Management.Proxy.Commands.InstallProxyCommand
Message Context Status
------- ------- ------
An error occurred while attempting t... DeploymentTask Error
У меня есть точка записи DNS A adfs.domain.org на тот же IP-адрес, что и adfs-host.domain.local.
Имя моего прокси-сервера веб-приложения - wap-host.domain.local. Я скопировал сертификат GoDaddy на обе машины с закрытым ключом и установил его в хранилище личных сертификатов локального компьютера. Он установлен как сертификат служебной связи. Я установил полную цепочку сертификатов на обе машины. Это сертификат UCC с 5 альтернативными именами субъектов - главный не adfs.domain.org, но он работает для ADFS.
Я попытался включить и выключить брандмауэр, и я запустил wirehark - похоже, что на более раннем этапе он не работает, поскольку я не видел попыток трафика на IP-адрес моего сервера ADFS.
Учетные данные, которые я пытался предоставить - как локальную учетную запись с административным доступом на сервере ADFS, так и учетную запись администратора домена.
Я не совсем уверен, каков был точный триггер, но я установил последний раунд обновлений на свой сервер ADFS и на свой сервер WAP. Потом заработало.
Я думаю, что, возможно, Windows 2012 R2 Update 1 что-то сломало, а более недавнее обновление исправило это.
Мой файл microsoft.identityServer.proxyservice.exe.config был пустым.
Мне не удалось решить эту проблему без отката веб-сервера к предыдущей контрольной точке, где работало соединение. Сделав это, я сделал резервную копию файла c: \ Windows \ ADFS \ Config \ microsoft.identityServer.proxyservice.exe.config, а затем применил обновления к серверу и перезапустил его. На этом этапе сервер сообщит об ошибке и не запустит веб-прокси. Затем сработала следующая команда (раньше они выдавали ошибку выше):
Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'
С пустым файлом microsoft.identityServer.proxyservice.exe.config мне не удалось заставить работать команду Install-WebApplicationProxy.
У меня есть точка записи DNS A adfs.domain.org на тот же IP-адрес, что и adfs-host.domain.local.
Ваша запись DNS A должна указывать adfs.domain.org на IP-адрес WAP (wap-host.domain.local). Эта веб-страница объясняет почти все о сертификатах WAP:
Клиентские машины в Интернете (или за пределами вашей внутренней локальной сети) преобразовывают имя adfsresource.treyresearch.net в IP-адрес adfsproxy.treyresearch.net. Важно помнить, что вы не будете указывать имя adfsproxy.treyresearch.net в настройках. У веб-сайта на этом сервере должен быть сертификат, выданный на имя adfsresource.treyresearch.net.
Наконец, ваш прокси-сервер должен разрешить adfs.domain.org на машину adfs-host.domain.local, но только ваш прокси должен знать об этой записи DNS.