權杖發佈失敗案例
下表中的監視器/規則會針對與權仗發佈有關的警告事件,監視在同盟伺服器 Proxy 電腦和 Federation Service 中觀察到的權仗發佈失敗。
| 子情況 | 規則/監視器名稱 | 隱藏警示 | 事件計數 |
|---|---|---|---|
成品:無法連線到成品資料庫。 |
成品資料庫連線開啟錯誤 |
無 |
否 |
成品:無法從成品資料庫取得成品。 |
成品資料庫取得錯誤 |
無 |
否 |
成品:無法新增成品到成品資料庫。 |
成品資料庫新增錯誤 |
無 |
否 |
成品:無法從成品資料庫移除成品。 |
成品資料庫移除錯誤 |
無 |
如果相同的失敗在一個小時內至少發生 30 次 |
成品:成品服務無法啟動。 |
成品服務啟動例外狀況 |
無 |
否 |
成品:未啟用信賴憑證者的 SAML 成品解析服務。 |
已要求成品但已停用錯誤 |
如果這些失敗具有相同的信賴憑證者,則隱藏 |
無 |
成品解析要求:SAML 成品解析端點未設定,或已停用。 |
未設定成品解析端點錯誤 |
如果發生相同的失敗,則隱藏 |
無 |
成品解析要求:SAML 成品解析要求指定不是針對信賴憑證者設定的簽發者。 |
找不到成品解析服務識別碼錯誤 |
如果這些失敗具有相同的信賴憑證者,則隱藏 |
無 |
成品解析要求:SAML 成品解析要求失敗。 |
成品解析錯誤 |
無 |
否 |
成品解析要求:Federation Service 無法簽發權仗,因為無法解析 SAML 成品。對宣告提供者信任提出的成品解析要求失敗。 |
SAML 成品解析要求錯誤 |
如果這些失敗具有相同的宣告提供者,則隱藏 |
無 |
成品解析要求:宣告提供者沒有設定指定索引的 SAML 成品解析端點。成品解析失敗。 |
找不到 SAML 成品解析端點錯誤 |
如果這些失敗具有相同的宣告提供者,則隱藏 |
無 |
判斷提示取用者服務:SAML 要求指定未在信賴憑證者上設定的判斷提示取用者服務索引。 |
不相符的判斷提示取用者服務索引 |
如果這些失敗具有相同的信賴憑證者和相同的判斷提示取用者服務索引,則隱藏 |
無 |
判斷提示取用者服務:SAML 要求中指定的判斷提示取用者服務通訊協定繫結端點未在信賴憑證者上設定。 |
不相符的判斷提示取用者服務通訊協定繫結 |
如果這些失敗具有相同的信賴憑證者和相同的判斷提示取用者服務通訊協定繫結,則隱藏 |
無 |
判斷提示取用者服務:SAML 要求中指定的判斷提示取用者服務 URL 未在信賴憑證者上設定。 |
不相符的判斷提示取用者服務 URL |
如果這些失敗具有相同的信賴憑證者和相同的判斷提示取用者服務 URL,則隱藏 |
無 |
判斷提示取用者服務:SAML 要求中指定的判斷提示取用者服務端點未在信賴憑證者上設定。 |
未設定判斷提示取用者服務端點 |
如果這些失敗具有相同的信賴憑證者,則隱藏 |
無 |
判斷提示取用者服務:信賴憑證者未設定 SAML 判斷提示取用者服務。 |
設定遺失 SAML 判斷提示取用者服務錯誤 |
如果這些失敗具有相同的信賴憑證者,則隱藏 |
無 |
屬性存放區:無法載入 Federation Service 中設定的屬性存放區。 |
屬性存放區載入錯誤 |
如果這些失敗具有相同的屬性存放區,則隱藏 |
無 |
屬性存放區:嘗試對 SQL 屬性存放區執行查詢時發生錯誤。 |
SQL 屬性存放區查詢執行錯誤 |
如果這些失敗具有相同的 SQL 屬性存放區和相同的查詢,則隱藏 |
無 |
屬性存放區:屬性存放區或屬性存放區規則發生處理錯誤。 |
屬性存放區規則處理錯誤 |
無 |
否 |
授權:Federation Service 無法代表主體向信賴憑證者授權呼叫者的權仗發佈。 |
代表授權錯誤 |
如果這些失敗具有相同的呼叫者、相同的主體和相同的信賴憑證者,則隱藏 |
無 |
授權:Federation Service 無法向信賴憑證者授權呼叫者的權仗發佈。 |
呼叫者授權錯誤 |
如果這些失敗具有相同的呼叫者和相同的信賴憑證者,則隱藏 |
無 |
憑證:信賴憑證者的權杖簽署憑證無效。 |
信賴憑證者簽署憑證無效 |
如果這些失敗具有相同的信賴憑證者和相同的指紋,則隱藏 |
無 |
憑證:AD FS 2.0 Windows 服務使用的服務帳戶未具備存取其權杖簽署憑證及/或權杖解密憑證之私密金鑰的權限。 |
無法存取憑證私密金鑰錯誤 |
無 |
否 |
憑證:嘗試使用指紋所識別之加密憑證建立信賴憑證者信任的憑證鏈結時發生錯誤。 |
信賴憑證者加密憑證錯誤 |
如果這些失敗具有相同的信賴憑證者和相同的指紋,則隱藏 |
無 |
憑證:建立由指紋所識別之用戶端憑證的憑證鏈結時發生錯誤。 |
用戶端憑證 CRL 檢查失敗 |
如果這些失敗具有相同的指紋,則隱藏 |
無 |
網域控制站:Federation Service 在網域中找不到網域控制站。 |
LDAP 查閱錯誤 |
如果這些失敗具有相同的網域控制站,則隱藏 |
無 |
端點:透過 SOAP 和 HTTP 通訊協定進行驗證所使用的 WS-Metadata Exchange (MEX) 端點無法連線。 |
MEX 端點無法連線 |
無 |
無 |
端點:同盟伺服器上的同盟伺服器 Proxy WS-Metadata Exchange (MEX) 端點無法連線。 |
Proxy MEX 端點無法連線 |
無 |
無 |
同盟被動:嘗試從 Federation Service 取得權杖時發生通訊錯誤。 |
同盟被動服務通訊錯誤 |
無 |
否 |
同盟被動:同盟被動要求時發生錯誤。 |
同盟被動要求失敗 |
無 |
否 |
同盟被動:同盟被動登出時發生錯誤。 |
同盟伺服器 Proxy 上出現同盟被動登出錯誤 |
無 |
否 |
同盟被動:嘗試從 Federation Service 取得權杖時發生通訊錯誤。 |
同盟伺服器 Proxy 上出現同盟被動服務通訊錯誤 |
無 |
否 |
同盟被動:同盟被動要求時發生錯誤。 |
同盟伺服器 Proxy 上出現同盟被動要求失敗 |
無 |
否 |
通用類別目錄伺服器:Federation Service 無法連接至通用類別目錄伺服器。 |
通用類別目錄伺服器連接錯誤 |
如果這些失敗具有相同的通用類別目錄伺服器,則隱藏 |
無 |
通用類別目錄伺服器:Federation Service 無法查詢通用類別目錄伺服器。 |
LDAP 通用類別目錄伺服器錯誤 |
如果這些失敗具有相同的通用類別目錄伺服器,則隱藏 |
無 |
LDAP 伺服器:Federation Service 無法連接至 LDAP 伺服器。 |
LDAP 連線錯誤 |
如果這些失敗具有相同的 LDAP 伺服器,則隱藏 |
無 |
LDAP 伺服器:Federation Service 無法查詢 LDAP 伺服器。 |
LDAP 伺服器查詢錯誤 |
如果這些失敗具有相同的 LDAP 伺服器,則隱藏 |
無 |
NameID 原則:同盟伺服器無法處理 SAML 驗證要求,因為無法滿足驗證要求中指定的 NameID 原則。 |
不支援的 NameID 原則 |
如果這些失敗具有相同的信賴憑證者和相同的 NameID 原則,則隱藏 |
無 |
SAML 要求:Federation Service 在處理 SAML 驗證要求時發生錯誤。 |
SAML 要求處理錯誤 |
無 |
否 |
安全性:用於驗證使用者或要求的權杖已使用簽章演算法簽署,但這不是預期的簽章演算法。 |
鬆散簽章演算法錯誤 |
如果這些失敗具有相同的簽發者,則隱藏 |
無 |
安全性:SAML 成品解析要求已使用簽章演算法簽署,但這不是預期的簽章演算法。 |
成品解析要求中發生鬆散簽章演算法錯誤 |
如果這些失敗具有相同的信賴憑證者,則隱藏 |
無 |
安全性:SAML 要求已使用簽章演算法簽署,但這不是預期的簽章演算法。 |
SAML 要求中發生鬆散簽章演算法錯誤 |
如果發生相同的失敗,則隱藏 |
無 |
安全性:Federation Service 無法滿足權杖要求,因為不符合信賴憑證者的驗證類型需求。 |
不正確的驗證類型 |
如果這些失敗具有相同的信賴憑證者和相同的驗證類型,則隱藏 |
無 |
簽章驗證:驗證來自訊息簽發者的 SAML 訊息簽章失敗。 |
SAML 要求簽章驗證錯誤 |
如果這些失敗具有相同的訊息簽發者,則隱藏 |
無 |
簽章驗證:成品解析服務無法驗證要求簽章。 |
成品解析服務簽章驗證錯誤 |
如果發生相同的失敗,則隱藏 |
無 |
信任:成功建立同盟伺服器 Proxy 與 Federation Service 之間的信任。 |
成功建立同盟伺服器 Proxy 信任 |
否 |
無 |
WS-Trust 要求:Federation Service 在嘗試處理 WS-Trust 要求時發生錯誤。 |
WS-Trust 要求處理錯誤 |
無 |
否 |