Почему не настраивается сервер федерации Active Directory?

Question

[WSGlebKavash]

Ошибки PowerShell

PS C:\Users\Administrator\Documents> .\adfs.ps1                                                                         ПРЕДУПРЕЖДЕНИЕ: Дополнительные имена субъектов сертификатов SSL не поддерживают имя узла
"certauth.trainzcity.myftp.org". Настройка привязки сертификатов проверки подлинности на порте "49443" и имени узла
"trainzcity.myftp.org".
Install-AdfsFarm : Сервер неработоспособен.
C:\Users\Administrator\Documents\adfs.ps1:10 знак:1
+ Install-AdfsFarm `
+ ~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Install-AdfsFarm], COMException
    + FullyQualifiedErrorId : DeploymentTask,Microsoft.IdentityServer.Deployment.Commands.InstallFarmCommand


Message                                                                    Context        Status
-------                                                                    -------        ------
Не удалось настроить хранилище закрытых ключей. Сервер неработоспособен... DeploymentTask  Error

Скриншот

Месяц назад перестала запускать служба ADFS на Windows Server 2022. Все попытки устранить ошибку ни к чему не приводили. Решил пересоздать службу федерации. Однако мастер настройки выдаёт ошибку: "Сервер неработоспособен". Установил все обновления и выполнил восстановление через dism, не помогло.
Как понять, в чём проблема? Как можно восстановить сервер федерации?

Comments

[Alexey Dmitriev]

Ошибка, написанная прямым текстом - ни на что не наводит?

[WSGlebKavash]

Alexey Dmitriev,

Ошибка, написанная прямым текстом - ни на что не наводит?

А делать то что? Если год работало, а потом внезапно перестало.

[MVV]

Какие ошибки фиксируются в журналах событий WIndows? В частности - в в журнале ADFS, который в разделе журналов служб и приложений.

Answer 1

[Роман Безруков]

А делать то что? Если год работало, а потом внезапно перестало

сертификат прокис, не?
Имя узла и субъект сертификата разные, и в атрибуте Subject Alternative Names не хватает нужных имен.
Документацию читали по этому поводу? Ваши действия соответствуют рекомендациям?
AD FS Certificate Requirements
Manage TLS/SSL certificates in AD FS
Ну и логи неплохо бы посмотреть...

Comments

[WSGlebKavash]

Роман Безруков, Снёс IIS, службу сертификатов Active Directory и службу федерации Active Directory. Всё заного поставил, не помогло. Решил запускать службу ADFS с другой учёитной записи, результат нулевой. С сертификатом всё в порядке, раньше с ним работало.
Что ещё можно предпринять?

[Роман Безруков]

WSGlebKavash,

С сертификатом всё в порядке, раньше с ним работало

приведённые ошибки говорят, что это не так.
Ссылки, которые я давал, читали? А там черным по белому написано:

When configured in alternate client TLS binding mode, AD FS performs device certificate authentication on port 443. It also performs user certificate authentication on port 443, on a different hostname. The user certificate hostname is the AD FS hostname prepended with certauth, for example certauth.fs.contoso.com. In this mode, use the PowerShell cmdlet Set-AdfsAlternateTlsClientBinding to manage the TLS/SSL certificate. This cmdlet manages not only the alternative client TLS binding but all other bindings on which AD FS sets the TLS/SSL certificate as well.

Выполните стандартную установку ADFS, предварительно выпустите правильный сертификат и настройте нужные записи в DNS, и только потом упражняйтесь с альтернативным режимом