我试图配置ADFS为工作Claim Provider(我想identity provider在这种情况下是 AD)。
只是为了简单的测试,我在机器上尝试了以下操作windows server 2016:
1)设置AD和域= t1.testdom(其工作原因我实际上能够使用域登录)
2)设置DNS。为 adfs 添加了主机 (A)fs.t1.testdom
3)自签名证书(https://technet.microsoft.com/library/hh848633):
powershell> New-SelfSignedCertificate -DnsName "*.t1.testdom"
4)设置ADFS。
服务器名称设置为fs.t1.testdom
服务>身份验证方法启用为form authentication
5) 还通过 powershell 修复了 SPN,以确保所有需要的 SPN 都存在并提供给正确的用户帐户,并且没有找到重复项
--
但是,当我尝试通过浏览器访问登录页面时https://fs.t1.testdom/adfs/ls出现错误。服务器管理器上的日志显示以下内容:
`There are no registered protocol handlers on path /adfs/ls to process the incoming request`
那么有没有办法至少到达登录屏幕?所以我可以继续下一个错误。
这是我在/ls屏幕上看到的:
经过一周的谷歌,尝试,服务器重建等终于找到了解决方案!
(这位大师一眨眼就回答了,没人知道! https://www.experts-exchange.com/questions/28994182/ADFS-Passive-Request-There-are-no-registered-protocol-handlers.html)
IdP 发起的 SSO 页面 ( https://fs.t1.testdom/adfs/ls/idpinitiatedsignon.aspx )。请注意,如果您使用的是 Server 2016,此端点默认处于禁用状态,您需要先通过 AD FS 控制台或
--
我的问题是,如果此端点被禁用,为什么它不在 ADFS 管理控制台的端点部分中列出?!它
enabled一直在那边说。而日志中这个令人痛苦的无法追踪的错误消息没有任何意义!所有 Windows 所做的就是创建日志和日志和日志,但这是我们得到的错误日志!1.如果您想检查ADFS是否正常运行,您应该访问IDPInitiatedSignon页面,URL为:https://< ADFSExternalDNSName >/adfs/ls/IdpInitiatedSignon.aspx
以及带有 URL 的元数据页面:https://< ADFSExternalDNSName >/federationmetadata/2007-06/federationmetadata.xml
可以在此处找到有关此的更多详细信息。
2.不建议使用主机名作为联合服务名。正确的方法是创建一个 DNS 主机(A)记录作为联合服务名称,例如在您的情况下使用 sts.t1.testdom。
如果没有 ADFS 的日志或详细配置,很难告诉您可能是什么问题,但为了缩小范围,我建议您:
telnet adfs.t1.testdom 443希望它可以提供帮助。