Назад | Перейти на главную страницу

Пассивный запрос ADFS = «Нет зарегистрированных обработчиков протокола»

Я пытаюсь настроить ADFS работать как Claim Provider (Я полагаю, AD будет identity provider в таком случае).

Просто для простого тестирования я попробовал следующее на windows server 2016 машина:

1) Настроить AD и домен = t1.testdom (Его рабочая причина, по которой я действительно могу войти в систему с доменом)

2) Настройте DNS. Добавлен хост (A) для adfs как fs.t1.testdom

3) самоподписанный сертификат (https://technet.microsoft.com/library/hh848633):

powershell> New-SelfSignedCertificate -DnsName "*.t1.testdom"

4) настроить ADFS.

Имя сервера установлено как fs.t1.testdom

service> метод аутентификации включен как form authentication

5) Также исправлено SPN через PowerShell, чтобы убедиться, что все необходимые SPN есть и переданы правильной учетной записи пользователя, а дубликаты не найдены.

-

Однако, когда я пытаюсь получить доступ к странице входа в браузере через https://fs.t1.testdom/adfs/ls Я получаю ошибку. В диспетчере входа в систему указано следующее:

`There are no registered protocol handlers on path /adfs/ls to process the incoming request`

Так есть ли способ добраться хотя бы до экрана входа в систему? Итак, я могу перейти к следующей ошибке.


это то, что я получаю на /ls экран:

Наконец нашел решение после недели гугла, попыток, восстановления сервера и т. Д.!

(Этот гуру ответил на него мгновенно, и никто этого не знал! https://www.experts-exchange.com/questions/28994182/ADFS-Passive-Request-There-are-no-registered-protocol-handlers.html)

Страница SSO, инициированная поставщиком идентификационной информации (https: //fs.t1.testdom/adfs/ls/idpinitiatedsignon.aspx). Обратите внимание: если вы используете Server 2016, эта конечная точка отключено по умолчанию и вам нужно сначала включить его через консоль AD FS или

Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

-

У меня вопрос: если эта конечная точка отключена, почему она не указана в разделе конечных точек консоли управления ADFS как таковая? !! Он сказал enabled все это время вон там. И эта болезненная, неотслеживаемая ошибка в журнале не имеет никакого смысла! Все окна создают журналы, журналы и журналы, но это журнал ошибок, который мы получаем!

1.Если вы хотите проверить, работает ли ADFS, вы должны получить доступ к странице IDPInitiatedSignon с URL: https: // <ADFSExternalDNSName> /adfs/ls/IdpInitiatedSignon.aspx

а также страницу метаданных с URL: https: // <ADFSExternalDNSName> /federationmetadata/2007-06/federationmetadata.xml

Подробнее об этом можно узнать Вот.

2. Не рекомендуется использовать имя хоста в качестве имени службы федерации. Правильный способ - создать запись хоста DNS (A) в качестве имени службы федерации, например, в вашем случае используйте sts.t1.testdom.

Трудно сказать вам, в чем может быть проблема без журналов или подробной конфигурации вашего ADFS, но, чтобы сузить круг вопросов, я предлагаю вам:

  1. Исследовать Журналы IIS чтобы узнать, получили ли вы HTTP-запрос по назначению в свой ADFS
  2. Исследовать Журналы событий (раздел ADFS)
  3. Используйте инструменты Dev в браузере или выполните трассировку SAML с помощью SAMLTracer (расширение Firefox), чтобы узнать, есть ли у вас код ошибки HTTP.
  4. Попробуйте открыть соединение с вашим ADFS, например: telnet adfs.t1.testdom 443
  5. Попробуйте включить проверку подлинности с помощью форм в зоне интрасети для глобальной политики проверки подлинности.

Надеюсь, это поможет.