none
При подключении WAP к ADFS Выдаёт ошибку. Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. RRS feed

  • Вопрос

  • Здравствуйте. На WAP появилась ошибка 0x80075213. Чтоб для её исправления перезапустил сертификат из шаблона "веб сервер" с cn=fs.*.com и альтернативным именем fs.*.com. Сертификат с экспортируемым закрытым ключом *.pfx. Данный сертификат установил на ADFS в service communications и на WAP сервере. Добавлены в личные. ADFS в домене, WAP не в домене. При выполнении команды на WAP "Install-WebApplicationProxy -CertificateThumbprint “‎my sert” -FederationServiceName “fs.*.com“" использую локальную учетную запись ADFS, получаю следующую ошибку  "Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS". Подскажите, что не так делаю?
    25 июля 2017 г. 12:30

Ответы

  • Через Powershell команду попробуйте выполнить.

    Install-WebApplicationProxy –CertificateThumbprint 3EFF626CD4CAECDB6F84DB5FB4FCF580ACF629E2 -FederationServiceName adfs.tailspintoys.ca

    Ну или пробежаться по причинамRoot Cause 2 - Resolution

    к примеру может быть в Вашем случае. Или другая.

    • Помечено в качестве ответа civdef 26 июля 2017 г. 9:10
    26 июля 2017 г. 8:46

Все ответы

  • Привет. Поменяйте ключик

    HKLM\Software\Microsoft\ADFS\ProxyConfigurationStatus

    как указано в статье Рода.

    26 июля 2017 г. 4:51
  • Ключик поменял. Теперь подобная ошибка в графическом интерфейсе. Проблема не решена.
    В логах следующая ошибка:

    Прокси-серверу федерации не удалось установить отношение доверия со службой федерации. 

    Дополнительные данные 
    Сведения об исключении: 
    Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS. 

    Действие пользователя 
    Убедитесь, что учетные данные, используемые для установления отношений доверия между прокси-сервером федерации и службой федерации, являются допустимыми и служба федерации доступна.

    AD FS/Admin Ошибка 393


    • Изменено civdef 26 июля 2017 г. 8:27
    26 июля 2017 г. 8:22
  • Через Powershell команду попробуйте выполнить.

    Install-WebApplicationProxy –CertificateThumbprint 3EFF626CD4CAECDB6F84DB5FB4FCF580ACF629E2 -FederationServiceName adfs.tailspintoys.ca

    Ну или пробежаться по причинамRoot Cause 2 - Resolution

    к примеру может быть в Вашем случае. Или другая.

    • Помечено в качестве ответа civdef 26 июля 2017 г. 9:10
    26 июля 2017 г. 8:46
  • У вас на сервере WAP есть доверие к сертификатам вашего CA? То есть, установлен ли сертификат CA в хранилище доверенных корневых центров сертификации сервера WAP? И есть ли у сервера WAP доступ к точке распространения списков отозванных сертификатов (CRL Distribution point). В домене эти условия обеспечиваются автоматически, а внедоменные сервера надо настраивать дополнительно 

    Проверку можно выполнить командой на сервере WAP certutil -f  -urlfetch -verify файлсертификата.cer (см. https://blogs.technet.microsoft.com/pki/2006/11/30/basic-crl-checking-with-certutil/).

    Полезно также посмотреть в журнал событий AD FS на сервере AD FS - там бывает полезная информация.


    Слава России!


    • Изменено M.V.V. _ 26 июля 2017 г. 8:57
    26 июля 2017 г. 8:55
  • Замечательно. У Нас есть продвижение теперь следующая ошибка

    Прокси-серверу федерации не удалось установить отношение доверия со службой федерации. 

    Дополнительные данные 
    Сведения об исключении: 
    Удаленный сервер возвратил ошибку: (401) Несанкционированный. 

    Действие пользователя 
    Убедитесь, что учетные данные, используемые для установления отношений доверия между прокси-сервером федерации и службой федерации, являются допустимыми и служба федерации доступна.

    Ошибка 26.07.2017 11:00:50 AD FS 393 Отсутствует

    Хотя использую учетную запись как локального администратора, так и доменного админа пробую. 

    26 июля 2017 г. 9:07
  • Всё ребят, сам дурак)) не так вводил учетку. Решение имеется, всё запущено и старые настройки работают. Спасибо добрый человек. 
    26 июля 2017 г. 9:10
  • Не за что, приходите еще.

    На будущее- запишите скрипты, что использовали про создании фермы и прокси серверов с понятными переменными- сильно поможет при следующей инсталляции.

    26 июля 2017 г. 10:29
  • Мне тут другое интересно: кто автор этого "замечательного" решения: аутентификации  WAP в Win2012 R2 по быстро (всего за 14 дней) протухающим сертификатам - после чего работоспособность WAP приходится восстанавливать с помощью загадочных заклинаний (т.к. через GUI это без танцев с бубном невозможно)? И чем он думал, принимая такое решение?

    Ну - и сделала ли MS что-нибудь для исправления этой ситуации в Win2016?


    Слава России!

    26 июля 2017 г. 12:19
  • Все в облака же, тренд.

    В 2016 вообще методы аутентификации выключены по умолчанию те, что были включены. Поэтому надо уметь в консоль, чтобы хоть понять в чем дело.

    А так вроде бы более менее. Самое веселое, что куча людей пишет, заплатка стоит от протухания,не работает.

    26 июля 2017 г. 12:38