У нас есть ADFS 4.0
сервер с WAP-сервером, установленным в DMZ. Недавно мы начали получать HTTP Error 503: Service Unavailable
ошибка при доступе к конечным точкам через WAP. Эти же конечные точки работают правильно при доступе к ним в сети.
Я пробовал другие конечные точки, и некоторые работали, а некоторые нет.
Я попытался вернуться через WAP
мастер настройки, и все настроено правильно. Я также не вижу ошибок в средстве просмотра событий на ADFS
сервер или прокси-сервер. Любые идеи?
Обновить:
Я поработал над этим еще немного сегодня. Мы запустили Средство диагностики ADFS и решил все проблемы, кроме 1 ошибки и 1 предупреждения. Я думаю, что это предупреждение связано с проблемой инструментария, потому что прокси-сервер может видеть метаданные федерации на сервере ADFS. Однако ошибка поставила меня в тупик. Я запустил Сценарий изменения учетной записи пользователя ADFS и верните его пользователю gMSA, для которого он уже установлен, и все, похоже, работает правильно. Я не понимаю, как можно заблокировать учетную запись gMSA, изменить или отключить пароль. Кажется, все настроено правильно.
ошибка
Предупреждение
Таким образом, учетные записи gMSA не отключаются или блокируются. На них влияет атрибут PrincipalsAllowedToRetrieveManagedPassword. Этот атрибут определяет, какие участники могут получить пароль от AD. Убедитесь, что все ваши узлы ADFS включены в этот список. Этот лайнер PowerShell One должен показать вам все объекты, которым разрешено извлекать пароль, просто обновите ADFSgMSA, указав имя используемой вами учетной записи gMSA.
Get-ADServiceAccount ADFSgMSA -Properties * | Select-Object Name,PrincipalsAllowedToRetrieveManagedPassword|fl
Если вы хотите добавить серверы в этот список, вам должно быть достаточно чего-то подобного. Просто измените массив, включив в него все серверы, которые вам нужно добавить, и учетная запись ADFSgMSA будет обновлена до учетной записи gMSA, которую вы используете.
#get existing Principals
$adfsgmsa = Get-ADServiceAccount ADFSgMSA -Properties
PrincipalsAllowedToRetrieveManagedPassword
#get DNs for other principals we're adding to the gMSA
$principals = @(
((Get-ADUser MyAdminUser).DistinguishedName),
((Get-ADComputer ADFS02).DistinguishedName)
)
#add new the two arrays
$principals+=$adfsgmsa.PrincipalsAllowedToRetrieveManagedPassword
#set the ad service account to use all principals
Set-ADServiceAccount -Identity 'adfsgmsa' -PrincipalsAllowedToRetrieveManagedPassword
$principals
#verify the changes (this might take a while to go into effect)
Get-ADServiceAccount ADFSgMSA -Properties PrincipalsAllowedToRetrieveManagedPassword