Пассивный запрос ADFS = «Нет зарегистрированных обработчиков протокола»
Я пытаюсь настроить ADFS для работы в качестве поставщика утверждений (я полагаю, AD будет поставщиком удостоверений в этом случае).
Просто для простого тестирования я попробовал следующее на компьютере с Windows Server 2016 :
1) Настройте AD и домен = t1.testdom (Его рабочая причина, я фактически не могу войти в систему с доменом)
2) Настройка DNS. Добавлен хост (A) для adfs как fs.t1. testdom
3) самоподписанный сертификат ( https://technet.microsoft.com/library/hh848633 ):
powershell> New-SelfSignedCertificate -DnsName "*.t1.testdom"
4) настройка ADFS.
Имя сервера установлено как fs. t1.testdom
service> метод аутентификации включен как аутентификация формы
5) Также исправлено SPN через PowerShell, чтобы убедиться, что все необходимые SPN есть и переданы правильной учетной записи пользователя, и что никаких дубликатов не найдено
-
Однако, когда я пытаюсь получить доступ к странице входа в браузере через https: //fs.t1.testdom/adfs/ls , я получаю сообщение об ошибке. В диспетчере входа в систему указано следующее:
`There are no registered protocol handlers on path /adfs/ls to process the incoming request`
Так есть ли способ добраться хотя бы до экрана входа в систему? Итак, я могу перейти к следующей ошибке.
вот что я получаю на экране / ls :
Наконец-то нашел решение после недели поисков в Google, попыток, пересборки серверов и т. Д.
(Этот гуру ответил на него в мгновение ока, и никто об этом не знал! https://www.experts-exchange.com/questions/28994182/ADFS-Passive-Request-There-are-no-registered-protocol-handlers.html )
Система единого входа, инициированная IdP страница ( https: //fs.t1.testdom/adfs/ls/idpinitiatedsignon.aspx ). Обратите внимание, что если вы используете Server 2016, эта конечная точка отключена по умолчанию , и вам необходимо сначала включить ее через консоль AD FS или
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
-
Мой вопрос, если эта конечная точка отключен, почему он не указан в разделе конечных точек консоли управления ADFS как таковой? !!Он сказал, что активировал все это время там. И эта болезненная, неотслеживаемая ошибка в журнале не имеет никакого смысла! Все окна создают журналы, журналы и журналы, но мы получаем именно этот журнал ошибок!
1. Если вы хотите проверить, работает ли ADFS, вы должны получить доступ к странице IDPInitiatedSignon с URL-адресом: https: // < ADFSExternalDNSName > /adfs/ls/IdpInitiatedSignon.aspx
, а также страницу метаданных с URL: https: // < ADFSExternalDNSName > /federationmetadata/2007-06/federationmetadata.xml
Подробнее подробности об этом можно найти здесь .
2. Не рекомендуется использовать имя хоста в качестве имени службы федерации. Правильный способ - создать запись хоста DNS (A) в качестве имени службы федерации, например, в вашем случае использовать sts.t1.testdom.
Трудно сказать вам, в чем может быть проблема без журналов или подробной конфигурации ADFS, но, чтобы сузить круг вопросов, я предлагаю вам:
- Изучите журналы IIS , чтобы узнать, получили ли вы HTTP-запрос по назначению в ADFS.
- Изучите журналы событий (раздел ADFS)
- Используйте инструменты Dev в своем браузере или выполните трассировку SAML с помощью SAMLTracer (расширение Firefox), чтобы узнать, есть ли у вас код ошибки HTTP.
- Попробуйте установить соединение с ADFS, например:
telnet adfs.t1.testdom 443 - Попробуйте включить проверку подлинности с помощью форм в зоне интрасети для Глобальная политика аутентификации.
Надеюсь, это поможет.