При доступе к конечной точке ADFS 4.0 через WAP возникает ошибка сервера 503
У нас есть сервер ADFS 4.0 с сервером WAP, установленным в DMZ. Недавно мы начали получать ошибку HTTP Error 503: Service Unavailable при доступе к конечным точкам через WAP. Эти же конечные точки работают правильно при доступе к ним в сети.
Я пробовал другие конечные точки, и некоторые работали, а некоторые нет.
- Не работает: https: //server.domain. com / adfs / ls / idpinitiatedsignon.html
- Работает: https://server.domain.com/adfs/portal/updatepassword/
Я попытался вернуться через конфигурацию WAP мастер и все правильно настраивает. Я также не вижу ошибок в средстве просмотра событий ни на сервере ADFS , ни на прокси-сервере. Есть идеи?
Обновление:
Сегодня я еще над этим поработал. Мы запустили инструмент диагностики ADFS и устранили все проблемы, кроме 1 ошибки и 1 предупреждения. Я думаю, что это предупреждение связано с проблемой инструментария, потому что прокси-сервер может видеть метаданные федерации на сервере ADFS. Однако ошибка поставила меня в тупик. Я запустил сценарий изменения учетной записи пользователя ADFS и вернул его пользователю gMSA, для которого он уже установлен, и все, похоже, работало правильно. Я не понимаю, как можно заблокировать учетную запись gMSA, изменить или отключить пароль. Кажется, все настроено правильно.
Ошибка
Предупреждение
Таким образом, учетные записи gMSA не отключаются или блокируются. На них влияет атрибут PrincipalsAllowedToRetrieveManagedPassword. Этот атрибут определяет, какие участники могут получить пароль от AD. Убедитесь, что все ваши узлы ADFS включены в этот список. Эта оболочка PowerShell One Liner должна показать вам все объекты, которым разрешено извлекать пароль, просто обновите ADFSgMSA, указав имя учетной записи gMSA, которую вы используете.
Get-ADServiceAccount ADFSgMSA -Properties * | Select-Object Name,PrincipalsAllowedToRetrieveManagedPassword|fl
Если вы хотите добавить серверы в этот список, вам должно быть достаточно чего-то подобного. Просто измените массив, включив в него любые серверы, которые вам нужно добавить, и учетная запись ADFSgMSA будет обновлена до учетной записи gMSA, которую вы используете.
#get existing Principals
$adfsgmsa = Get-ADServiceAccount ADFSgMSA -Properties
PrincipalsAllowedToRetrieveManagedPassword
#get DNs for other principals we're adding to the gMSA
$principals = @(
((Get-ADUser MyAdminUser).DistinguishedName),
((Get-ADComputer ADFS02).DistinguishedName)
)
#add new the two arrays
$principals+=$adfsgmsa.PrincipalsAllowedToRetrieveManagedPassword
#set the ad service account to use all principals
Set-ADServiceAccount -Identity 'adfsgmsa' -PrincipalsAllowedToRetrieveManagedPassword
$principals
#verify the changes (this might take a while to go into effect)
Get-ADServiceAccount ADFSgMSA -Properties PrincipalsAllowedToRetrieveManagedPassword