NFS kerberos не работает
С помощью сценариев MS я попытался перенести конфигурацию ADFS 2.0 (в Windows 2008R2) на новый сервер ADFS (Windows 2016). В моем журнале событий есть предупреждения, которые, кажется, связаны через отпечаток в ошибке с сертификатами дешифрования и подписи токенов.
EventID был: 329. Ошибка была: «Сертификат, который идентифицирован. по отпечатку пальца 'xxxxxx' не удалось расшифровать с помощью ключей для совместного использования закрытого ключа сертификата X.509. MSIS7708: Группа для совместного использования закрытого ключа сертификата X.509 с характерным именем 'yyyyyy' не существует ».
Как устранить эти предупреждения?
Вы тот человек на Reddit, которого я заметил после моих инструкций , который сообщил, что его учетная запись службы была изменена? Если это вы - или если ваша учетная запись службы все равно изменилась между старым сервером ADFS и новым - у вас могут быть проблемы с разрешениями в AD - новая учетная запись службы ADFS может не иметь доступа к объектам AD, созданным старой учетной записью службы. .
В этом случае используйте get-AdfsProperties на вашем сервере ADFS и найдите CertificateSharingContainer. Вы должны увидеть что-то вроде этого:
CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here
Найдите этот контейнер в AD, используя ADUC. Убедитесь, что у правильной учетной записи службы есть разрешения. Если нет, добавьте их, откажитесь от службы ADFS и посмотрите, поможет ли это.