ADFS Event 329 - certificado não pôde ser descriptografado

1

Usando scripts MS, tentei migrar uma configuração do AD FS 2.0 (no Windows 2008R2) para um novo servidor ADFS (Windows 2016). Tenho avisos no meu log de eventos que parecem estar vinculados, por meio da impressão digital no erro, aos certificados de decodificação de token e assinatura de tokens.

O EventID era: 329. O erro era: "O certificado identificado por impressão digital 'xxxxxx' não pôde ser descriptografado usando as chaves para o compartilhamento de chave privada de certificado X.509. MSIS7708: O grupo para certificado X.509 particular o compartilhamento de chaves com o nome distinto 'yyyyyy' não existe. "

Como resolvo esses avisos?

    
por alphadogg 23.08.2018 / 04:02

1 resposta

1

Você é a pessoa no reddit que eu notei após meu instruções , que informaram que sua conta de serviço foi alterada? Se essa é você - ou se sua conta de serviço foi alterada de qualquer maneira entre o antigo servidor ADFS eo novo - talvez você tenha problemas de permissões no AD - a nova conta do serviço ADFS talvez não consiga acessar objetos do AD criados pela conta de serviço antiga .

Se for esse o caso, use get-AdfsProperties no servidor do ADFS e procure por CertificateSharingContainer. Você deveria ver algo assim:

CertificateSharingContainer : CN=yourguid-goes-here-6b78-9deadbeef000,CN=ADFS,CN=Microsoft,CN=Program Data,DC=your,DC=domain,DC=name,DC=here

Encontre esse contêiner no AD, usando o ADUC. Verifique se a conta de serviço correta tem permissões. Se não, adicione-os, devolva o serviço do ADFS e veja se isso ajuda.

    
por 23.08.2018 / 09:25