因此，我们将 ADFS 代理与 ADFS (Install-WebApplicationProxy) 连接，都是 Windows Server 2019。必须重新建立信任，但等待很长时间，正在重试身份验证

AD FS 事件日志

ADFS 端的事件 276 具有奇怪的值：

联合服务器代理无法向联合身份验证服务进行身份验证。用户操作 确保代理受到联合身份验证服务的信任。为此，请使用证书使用者名称中标识的主机名登录到代理计算机，并使用 Install-WebApplicationProxy cmdlet 在代理和联合身份验证服务之间重新建立信任。

附加数据

证书详情：

主题名称： 指纹：

不在时间之前：

不在时间之后：

代理每约 20 秒重试一次身份验证，就会发生很多此类事件。然而，Install-WebApplicationProxy 之后生成的第一个事件是 395：

使用帐户“example\administrator”成功建立联合服务器代理和联合身份验证服务之间的信任。

代理信任证书主题：CN=ADFS ProxyTrust - ADFSproxy。代理信任证书指纹：3F5DBD1C735A57C5FEA8C18905EE83CEAE3EA732 显然我的凭据是正确的，证书可以传递到 ADFS。我使用 certlm.msc 验证了它 - 证书位于 AdfsTrustedDevices 下

S频道日志

我在 ADFS 和 ADFS 代理上看到以下事件：

事件 36867：

创建 TLS 客户端凭据。

但是，对于 ADFS 代理，也存在警告，事件 ID 36857：

远程服务器已请求 TLS 客户端身份验证，但找不到合适的客户端证书。将尝试匿名连接。此 TLS 连接请求可能会成功或失败，具体取决于服务器的策略设置。

AD FS 跟踪

打开调试日志。

广告文件系统：

多个事件 107 错误：

ProxyRequestHandler.DefaultExceptionHandler：无法验证 ProxyTrust 的主题名称为“”和指纹“”的证书。

异常详细信息： 异常：未找到与请求关联的客户端证书。StackTrace：在 Microsoft.IdentityServer.Web.Proxy.TlsRequestVerificationMethod.VerifyTrustedRequest（WrappedHttpListenerContext 上下文，String&auditInformation） 在 Microsoft.IdentityServer.Web.Rest.RestRequestHandler.OnGetContext（WrappedHttpListenerContext 上下文）

检索代理配置时出错。Microsoft.IdentityServer.WebHost.Proxy.ProxyTrustException：找不到与请求关联的客户端证书。在 Microsoft.IdentityServer.Web.Proxy.TlsRequestVerificationMethod.VerifyTrustedRequest（WrappedHttpListenerContext 上下文，字符串&auditInformation） 在 Microsoft.IdentityServer.Web.Rest.RestRequestHandler.OnGetContext（WrappedHttpListenerContext 上下文）

TlsRequestVerificationMethod：传入请求不包含证书。

ADFS 代理。

事件 54：

Found certificate matching thumbprint '3F5DBD1C735A57C5FEA8C18905EE83CEAE3EA732'

事件 52 错误：

配置请求失败，状态：ProtocolError 消息：远程服务器返回错误：(401) 未经授权。异常：System.Net.WebException：远程服务器返回错误：（401）未经授权。在 System.Net.HttpWebRequest.GetResponse() 在 Microsoft.IdentityServer.Management.Proxy.StsConfigurationProvider.GetStsProxyConfiguration(X509Certificate2 trustCert)

随机尝试的事情

• 禁用 TLS1.3（不是 2019 年的事情）https://jaapwesselius.com/2022/01/19/adfs-web-application-proxy-configuration-wizard-fails-with-trust-certificate-error/
• 启用 TLS 1.0、1.1（之前仅配置了 1.2）
• 缺少用于启用强加密的 .NET 注册表项。添加。+ 设置默认 TLS 1.2
• 使用注册表将 winHTTP 默认协议设置为 TLS1.2
• 在两台服务器上均获得最新的 CU 2024-03
• 检查 adfsproxy 上生成的证书是否具有 adfssrv、appproxyctrl 和 appproxysvc 服务帐户的私钥读取权限。

总而言之，似乎证书已传递到 ADFS，但客户端身份验证失败。

我不太了解 ADFS 代理/Web 应用程序代理的内部结构 - 希望有人可以指导我如何进一步解决此问题。现在我们必须忍受一些停机时间:(

PS 如果有人建议重新建立信任 - 我正在尝试这样做。这些事件是作为该过程的一部分生成的。它失败并显示：尝试从联合服务器检索配置数据时发生错误。无法检索亲...

PPS 是否有某种配置阻止 AdfsTrustedDevices 中的证书用于客户端身份验证？PSADFS ProxyTrust - ADFSproxy证书没有任何增强的密钥用法 - 但我检查了其他正在运行的代理服务器，它也没有。它如何信任这个自签名证书？ADFS 是否隐式信任 AdfsTrustedDevices 中的自签名证书？

有 2 个由 Hyper-V Server 2016 托管的来宾 Windows Server 2016 操作系统。来宾操作系统集群非常不可靠，其中一个节点不断被隔离（每天多次）。

我也有 Windows Server 2012R2 集群。它们由相同的 Hyper-V 主机托管，没有任何问题。这意味着我在 2012R2 和 2016 之间拥有相同的网络和 hyper-v 基础架构。

2016 主机的进一步配置：

1. 在网络连接中，未选中所有适配器的 TCP/IPv6。我知道这实际上并没有禁用集群的 IPv6，因为它使用 NetFT 的隐藏网络适配器，并将 IPv6 封装在 IPv4 中以用于心跳。我在良好的 2012R2 主机上具有相同的配置。
2. 尽管 2012R2 集群在没有 Witness 的情况下可以正常工作，但我最初配置 2016 时也是如此。为了解决这些问题，我将文件共享见证添加到 2016 集群 - 没有变化。
3. 网络验证报告成功完成

我知道会发生什么，但不知道为什么。什么：_

1. 集群通过端口 3343 上两个节点之间的多个接口使用心跳 UDP 数据包播放乒乓球。数据包大约发送。每一秒。
2. 突然 1 个节点停止打乒乓球并且没有响应。一个节点仍然尝试传递心跳。
3. 好吧，我阅读集群日志文件发现节点删除了路由信息知识：

000026d0.000028b0::2019/06/20-10:58:06.832 ERR   [CHANNEL fe80::7902:e234:93bd:db76%6:~3343~]/recv: Failed to retrieve the results of overlapped I/O: 10060
000026d0.000028b0::2019/06/20-10:58:06.909 ERR   [NODE] Node 1: Connection to Node 2 is broken. Reason (10060)' because of 'channel to remote endpoint fe80::7902:e234:93bd:db76%6:~3343~ has failed with status 10060'
...
000026d0.000028b0::2019/06/20-10:58:06.909 WARN  [NODE] Node 1: Initiating reconnect with n2.
000026d0.000028b0::2019/06/20-10:58:06.909 INFO  [MQ-...SQL2] Pausing
000026d0.000028b0::2019/06/20-10:58:06.910 INFO  [Reconnector-...SQL2] Reconnector from epoch 1 to epoch 2 waited 00.000 so far.
000026d0.00000900::2019/06/20-10:58:08.910 INFO  [Reconnector-...SQL2] Reconnector from epoch 1 to epoch 2 waited 02.000 so far.
000026d0.00002210::2019/06/20-10:58:10.910 INFO  [Reconnector-...SQL2] Reconnector from epoch 1 to epoch 2 waited 04.000 so far.
000026d0.00002fc0::2019/06/20-10:58:12.910 INFO  [Reconnector-...SQL2] Reconnector from epoch 1 to epoch 2 waited 06.000 so far.
...
000026d0.00001c54::2019/06/20-10:59:06.911 INFO  [Reconnector-...SQL2] Reconnector from epoch 1 to epoch 2 waited 1:00.000 so far.
000026d0.00001c54::2019/06/20-10:59:06.911 WARN  [Reconnector-...SQL2] Timed out, issuing failure report.
...
000026d0.00001aa4::2019/06/20-10:59:06.939 INFO  [RouteDb] Cleaning all routes for route (virtual) local fe80::e087:77ce:57b4:e56c:~0~ to remote fe80::7902:e234:93bd:db76:~0~
000026d0.00001aa4::2019/06/20-10:59:06.939 INFO    <realLocal>10.250.2.10:~3343~</realLocal>
000026d0.00001aa4::2019/06/20-10:59:06.939 INFO    <realRemote>10.250.2.11:~3343~</realRemote>
000026d0.00001aa4::2019/06/20-10:59:06.939 INFO    <virtualLocal>fe80::e087:77ce:57b4:e56c:~0~</virtualLocal>
000026d0.00001aa4::2019/06/20-10:59:06.939 INFO    <virtualRemote>fe80::7902:e234:93bd:db76:~0~</virtualRemote>

现在是 WHY 部分……为什么要这样做？我不知道。请注意，它会提前一分钟抱怨：Failed to retrieve the results of overlapped I/O. 但我仍然可以看到正在发送/接收的 UDP 数据包

直到路线在 10:59:06 被删除并且只有 1 个节点 ping，但没有 pong。正如在wireshark 中看到的，源列中没有IP 10.0.0.19 和10.250.2.10。

大约 35 秒后重新添加路由，但这无济于事 - 节点已被隔离 3 小时。

我在这里想念什么？

在资源合作伙伴组织中实施联合 Web SSO设计以访问 SharePoint 以及在分步教程Windows Server 2012 R2 AD FS – 联合 Web SSO中看似正确地完成所有操作时，有些事情不太正确。

• 帐户组织用户无法登录，因为浏览器在资源合作伙伴和帐户合作伙伴 ADFS 之间跳转，直到它在帐户合作伙伴 ADFS 上生成以下事件 ID 364：Microsoft.IdentityServer.Web.InvalidRequestException: MSIS7042: The same client browser session has made '6' requests in the last '3' seconds. Contact your administrator for details.
• 资源合作伙伴组织用户登录没有问题
• 它与 saml 令牌时间戳无关。我检查了生命周期是否设置正确。没有时区问题或其他配置问题。
• 我看到正在发布主 SID，但想知道为什么没有发布在 SharePoint 中设置为标识符声明的电子邮件令牌
• 在帐户合作伙伴 ADFS 服务器上，我将电子邮件声明传递给资源合作伙伴依赖方。在资源合作伙伴 ADFS 服务器上，在声明提供程序中，我正在传递（接受）电子邮件声明。在依赖方，我将 ldap 属性电子邮件映射到传出电子邮件声明（哎呀，这最后一句话实际上是罪魁祸首，但对我来说并不明显）

问题：

• DC1 时钟：17:23
• AD加入客户端时钟：17:28

client> w32tm /resync时间同步后，但时钟再次为客户快进 5 分钟。它总是在不到一分钟内发生。

好的，也许从其他地方同步。我确实手动将对等列表设置为域控制器：

client>w32tm /config /manualpeerlist:"DC1 DC2 DC3" /syncfromflags:manual
The command completed successfully.

client>w32tm /resync
Sending resync command to local computer
The command completed successfully.

结果？没有帮助，因为行为是一样的。我应该注意到 DC 和客户端在不同的子网中，但可以通信。

请问我应该检查什么以进一步排除故障？

发布请求的信息：

client> w32tm /query /configuration
[Configuration]

EventLogFlags: 2 (Local)
AnnounceFlags: 10 (Local)
TimeJumpAuditOffset: 28800 (Local)
MinPollInterval: 10 (Local)
MaxPollInterval: 15 (Local)
MaxNegPhaseCorrection: 4294967295 (Local)
MaxPosPhaseCorrection: 4294967295 (Local)
MaxAllowedPhaseOffset: 300 (Local)

FrequencyCorrectRate: 4 (Local)
PollAdjustFactor: 5 (Local)
LargePhaseOffset: 50000000 (Local)
SpikeWatchPeriod: 900 (Local)
LocalClockDispersion: 10 (Local)
HoldPeriod: 5 (Local)
PhaseCorrectRate: 1 (Local)
UpdateInterval: 30000 (Local)


[TimeProviders]

NtpClient (Local)
DllName: C:\Windows\system32\w32time.dll (Local)
Enabled: 1 (Local)
InputProvider: 1 (Local)
CrossSiteSyncFlags: 2 (Policy)
AllowNonstandardModeCombinations: 1 (Local)
ResolvePeerBackoffMinutes: 15 (Policy)
ResolvePeerBackoffMaxTimes: 7 (Policy)
CompatibilityFlags: 2147483648 (Local)
EventLogFlags: 0 (Policy)
LargeSampleSkew: 3 (Local)
SpecialPollInterval: 3600 (Policy)
Type: NT5DS (Policy)

VMICTimeProvider (Local)
DllName: C:\Windows\System32\vmictimeprovider.dll (Local)
Enabled: 1 (Local)
InputProvider: 1 (Local)
NtpServer (Local)
DllName: C:\Windows\system32\w32time.dll (Local)
Enabled: 0 (Local)
InputProvider: 0 (Local)


client> get-date -format "yyyy.MM.dd hh:mm:ss"

2013.05.27 10:53:12 (Time WRONG)


client> w32tm /resync
Sending resync command to local computer
The command completed successfully.
client> get-date -format "yyyy.MM.dd hh:mm:ss"

2013.05.27 10:48:03 (Time OK)


client> w32tm /query /status
Leap Indicator: 3(last minute has 61 seconds)
Stratum: 0 (unspecified)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0804749s
Root Dispersion: 7.8843410s
ReferenceId: 0x00000000 (unspecified)
Last Successful Sync Time: 2013.05.27. 10:53:17
Source: DC1
Poll Interval: 10 (1024s)

client> get-date -format "yyyy.MM.dd hh:mm:ss"

2013.05.27 10:53:44 (Time WRONG)


client> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 4 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0804749s
Root Dispersion: 7.8845136s
ReferenceId: 0x0A0A0109 (source IP:  10.10.1.9)
Last Successful Sync Time: 2013.05.27. 10:48:17
Source: DC1
Poll Interval: 10 (1024s)

在 Windows 7、3GB ram 机器上的 Visual Studio 2010 RTM 中进行复制/粘贴时，由于出现错误，我无法复制文本：

任务管理器显示 devenv.exe 正在使用超过 500MB。但是，我仍然有将近 1GB 的可用 RAM。

这是某种记忆上限吗？如果是这样，有没有办法增加它？这可能是一个错误，但也许有解决方法？

我想安装 Ubuntu 9.10。目前我有带有 Vista 的 ntfs 磁盘。安装 Ubuntu 并选择它来使用一些可用空间是否安全？

或者它只会对磁盘进行愚蠢的切片并覆盖磁盘该部分中的任何数据？

我有大约 30% 的可用空间（只是空间，而不是可用分区）和一个碎片整理的驱动器 - 所以在磁盘的那个部分安装 ubuntu 应该是安全的，或者......不是吗？

是否可以在同一台机器上安装 WSS v3 和 MOSS 2007 并同时运行它们？

我们的网络中有 iphone，它们无法解析计算机名称。我们想通过内部名称（http://server）访问内部站点，但是我们不能。

有什么解决办法吗？

谢谢你。

在我尝试安装 Windows 7 RC 之前，我可以在那里虚拟化 Windows 服务器版本吗？

Microsoft Virtual PC 2007 SP1 似乎与 w7 不兼容（如安装程序所述）。

谢谢你。

我有一个问题，Windows Server 2003 需要大量 DHCP 地址，尽管该服务器中只有 1 个 NIC 并且 DHCP 已禁用（请参阅下面的信息）。

但是，如您所见，路由器上 DHCP 客户端表中的 MAC 地址与一台服务器 NIC 的地址不匹配。

这是一款启用了 DHCP 的 D-Link DWL-2000AP+ 廉价无线路由器。

DHCP 客户端表

navserver 192.168.0.248 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.242 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.247 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.246 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.243 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.240 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.239 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.244 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.245 52-41-53-20-00-13 Jan/03/1970 09:12:55  
navserver 192.168.0.241 52-41-53-20-00-13 Jan/03/1970 09:12:55

C:\Documents and Settings\Administrator>ipconfig /all

Windows IP Configuration

   Host Name . . . . . . . . . . . . : navserver
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Broadcast
   IP Routing Enabled. . . . . . . . : Yes
   WINS Proxy Enabled. . . . . . . . : Yes

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : HP NC7761 Gigabit Server Adapter
   Physical Address. . . . . . . . . : 00-13-21-1C-EB-50
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.0.90
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.0.100
   DNS Servers . . . . . . . . . . . : 195.122.1.59
                                       195.2.96.2

我不知道如何解决这个问题。请问你能帮帮我吗？

看起来，RRAS 服务已启用。但是我害怕禁用它。难道是传真机/调制解调器正在使用它？我不管理服务器，但不久前有人为该服务器设置了传真/调制解调器。不确定它是否有效，但他们希望它有效。

我看到很多这样的警告：

The user navserver connected from 192.168.0.90 but failed an authentication attempt due to the following reason: Authentication was not successful because an unknown user name or incorrect password was used. 

和错误：

A Demand Dial connection to the remote interface Remote Router on port VPN4-4 was successfully initiated but failed to complete successfully because of the  following error: Access was denied because the username and/or password was invalid on the domain.

与远程访问相关联。

这些问题能以某种方式联系起来吗？

或者也许我只是阻止了来自 dhcp 服务器的那个 mac 地址并从此过上幸福的生活？

谢谢你。