通过WAP获取服务器503错误访问ADFS4.0端点
我们有一个在DMZ中设置WAP服务器的ADFS 4.0服务器。最近,我们开始在通过WAP访问端点时得到一个HTTP Error 503: Service Unavailable错误。在网络上访问这些端点时,这些端点可以正常工作。
我尝试过其他端点和一些工作,但有些没有。
- 不工作:https://server.domain.com/adfs/ls/idpinitiatedsignon.html
- 作品:https://server.domain.com/adfs/portal/updatepassword/
我试着回过WAP配置向导,一切都正确地设置了。我也没有在ADFS服务器或代理服务器上的事件查看器中看到任何错误。有什么想法吗?
更新:
我今天做了更多的工作。我们运行了ADFS诊断工具并解决了除一个错误和一个警告之外的所有问题。我认为这个警告只是一个工具问题,因为代理服务器能够看到ADFS服务器上的联邦元数据。然而,这一错误使我感到困惑。我运行了ADFS更改用户帐户脚本,并将其设置为已设置的gMSA用户,一切似乎都正常工作。我看不出gMSA帐户如何被锁定、密码更改或禁用。一切看起来都是正确的。
错误
警告
回答 1
Server Fault用户
发布于 2018-12-10 17:00:18
因此,gMSA帐户不会被禁用或被锁定。影响它们的是PrincipalsAllowedToRetrieveManagedPassword属性。此属性控制主体能够从AD获取密码的内容。确保所有ADFS节点都包括在这个列表中。这个powershell一行应该显示所有允许检索密码的对象,只需将ADFSgMSA更新为您正在使用的gMSA帐户的名称。
Get-ADServiceAccount ADFSgMSA -Properties * | Select-Object Name,PrincipalsAllowedToRetrieveManagedPassword|fl如果您想要将服务器添加到该列表中,这样的内容对您来说就足够了。只需修改数组以包括您需要添加的任何服务器,ADFSgMSA帐户就会更新到您正在使用的gMSA帐户。
#get existing Principals
$adfsgmsa = Get-ADServiceAccount ADFSgMSA -Properties
PrincipalsAllowedToRetrieveManagedPassword
#get DNs for other principals we're adding to the gMSA
$principals = @(
((Get-ADUser MyAdminUser).DistinguishedName),
((Get-ADComputer ADFS02).DistinguishedName)
)
#add new the two arrays
$principals+=$adfsgmsa.PrincipalsAllowedToRetrieveManagedPassword
#set the ad service account to use all principals
Set-ADServiceAccount -Identity 'adfsgmsa' -PrincipalsAllowedToRetrieveManagedPassword
$principals
#verify the changes (this might take a while to go into effect)
Get-ADServiceAccount ADFSgMSA -Properties PrincipalsAllowedToRetrieveManagedPasswordhttps://serverfault.com/questions/939463
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号