ADFS3.0/ 2012 R2错误

Question

我有一个正常工作的ADFS3.0(2012年R2)服务器正在运行。它成功地将我登录到Office365，无论是在现场还是在场外。

我正在尝试在第二台机器上安装Web应用程序代理角色，以便代理Sharepoint 2013。我被错误信息困住了：

An error occurred when attempting to create the proxy trust certificate.

我的ADFS服务器是一个单服务器场.服务器的主机名是adfs-host.domain.local，ADFS的名称是adfs.domain.org。

    PS C:\Windows\system32> Install-WebApplicationProxy -CertificateThumbprint 'XXXXXXXXXXXXXXXXXXXXXXX' -FederationServiceName 'adfs.domain.org'
cmdlet Install-WebApplicationProxy at command pipeline position 1
Supply values for the following parameters:
FederationServiceTrustCredential
Install-WebApplicationProxy : An error occurred when attempting to create the proxy trust certificate.
At line:1 char:1
+ Install-WebApplicationProxy -CertificateThumbprint 'xxxxxxxxxxxxxxxxxxxxxxx ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Install-WebApplicationProxy], ProxyTrustException
    + FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Management.Proxy.Commands.InstallProxyCommand


Message                                 Context                                                                  Status
-------                                 -------                                                                  ------
An error occurred while attempting t... DeploymentTask                                                            Error

我有一个与adfs-host.domain.local相同IP的记录点adfs.domain.org。

我的Web应用程序代理服务器的名称是wap-host.domain.local。我用私钥将GoDaddy证书复制到两台机器上，并将其安装到本地机器个人证书存储区。它被设置为服务通信证书。我在两台机器上安装了完整的证书链。它是一个具有5个主题备选名称的UCC证书--主要的不是adfs.domain.org，但它确实适用于ADFS。

我试着打开和关闭防火墙，然后运行wireshark--它看起来在前面的一步失败了，因为我没有看到任何流量试图访问我的ADFS服务器的IP。

我尝试提供的凭据--一个在ADFS服务器上具有管理权限的本地帐户和一个域管理帐户。

Answer 1

我不知道确切的触发器是什么，但我在我的ADFS服务器和我的WAP服务器上安装了最新一轮更新。然后开始起作用了。

我在想，也许Windows2012 R2更新1弄坏了什么东西，而最近的一次更新修复了它。

Answer 2

我有一个与adfs-host.domain.local相同IP的记录点adfs.domain.org。

您的DNS记录应该将adfs.domain.org指向WAP IP (wap-host.domain.local)。这个网页几乎解释了所有关于WAP证书的内容：

internet上的客户端计算机(或内部局域网之外的计算机)将名称adfsresource.treyresearch.net解析为adfsproxy.treyresearch.net的IP地址。重要的是要记住，您不会在设置中的任何位置指定名称adfsproxy.treyresearch.net。此服务器上的网站应该有一个名为adfsresource.treyresearch.net的证书。

最后，您的代理应该将adfs.domain.org解析为adfs-host.domain.local计算机，但只有您的代理必须了解此DNS记录。

Answer 3

我的WAP服务器也有同样的问题，但是我使用的是WAP集群，而更新并不能解决这个问题。

还有其他提示吗？

我基本上遵循了我在网上找到的任何建议。唯一剩下的就是完全删除服务器并创建一个新服务器.