ADFS 2.0 - служба прокси / сервера 503 недоступна - PullRequest
Новая
       5

ADFS 2.0 - служба прокси / сервера 503 недоступна

2 голосов
/ 02 декабря 2011

Последние несколько дней я неустанно работал над настройкой тестовой среды для разработки с WIF & ADFS 2.0.Одна из проблем, с которой я сталкиваюсь, заключается в том, что в моей домашней среде есть только один IP-адрес, и я не собирался прикреплять ADFS на своем главном сервере.Поэтому я создал выделенную виртуальную машину для FS (idp.yyy.local).

Чтобы не иметь прямых ссылок на мой сайт, yyy ссылается на dgdev,(изображение ниже)

Странно то, что он частично работает.Вот изображение, детализирующее мою инфраструктуру.

enter image description here

Странно то, что я могу нормально просматривать «idp.yyy.net» как в обычном HTTP, так и в HTTPS.Я также могу просматривать метаданные WS-Federation отлично.Теперь я довольно новичок в ADFS, но я ожидаю, что при переходе на http://idp.yyy.net/adfs/services/trust он перенаправит меня на вход в Windows SSL SSL.Вместо этого все, что я получаю:

Служба недоступна

Ошибка HTTP 503. Служба недоступна.

Я использую тот же сертификат SSL на FSПрокси и ФС.Его предметом является мое основное доменное имя yyy.net.У него есть несколько альтернативных имен субъектов, так что я могу разместить несколько веб-сайтов IIS с SSL с одним IP-адресом: Порт. 

CN = yyy.net
DNS Name=www.yyy.net
DNS Name=idp.yyy.net
DNS Name=idp.yyy.local
...
IP Address=192.168.1.2
IP Address=192.168.1.3
IP Address=192.168.1.4
...

Кто-нибудь знает, почему я вижу ошибки 503 Service Unavailable.Ничто не отображается в Event Viewer как ошибка.( за исключением надоедливых вещей с AppFabric, но это еще одна проблема, которую мне еще предстоит затронуть )

Заранее спасибо!На самом деле большое спасибо.Я исчерпал все возможности и идеи, которые мог придумать, почему это может быть «сломано»?

Если у кого-то есть идея, как я могу отладить эту проблему, я, конечно, за исключением того, что какрешение.Я попытался IIS Failed Request Logging, но ничего не генерируется.Где / Что размещает службы ADFS?Вещи, на которые я уже посмотрел:

  • Все AppPools работают.
  • Старая веб-служба ADFS 1.0 (asmx) доступна просто отлично.
  • Я могуполучить доступ к конечным точкам эмитента напрямую ... или, по крайней мере, "windowstransport"

1 Ответ

3 голосов
/ 04 декабря 2011

Хорошо получается, что все работало все время!

Я потратил пару часов, чтобы убедиться, что сертификат был создан правильно. Затем, увидев ошибки 503 и 403, я понял, что мой прокси-сервер AppPool для веб-сайта \ Default работает под именем «ApplicationPoolIdentity», что на самом деле является пользователем: IIS AppPool \ DefaultAppPool.

Я никогда не давал этому пользователю права на чтение закрытого ключа сертификата ADFS. Отсюда причина, по которой я увидел 403 Запрещенный вместо 503. После переключения AppPool на Сетевой сервис ... вуаля! Сервис 503 недоступен.

Так что теперь я был уверен, что мой прокси-сервер и ADFS-сервер нормально разговаривают. Теперь, почему я все еще вижу 503 Сервис недоступен?!?

В любом случае я сказал себе создать тестовое приложение. В Visual Studio я установил новое веб-приложение MVC 3. Добавил мой существующий STS-Reference. Установите фиктивную заявку и обновите федеративные метаданные приложения. Добавлена ​​новая проверяющая сторона в ADFS.

Открыл мой браузер для веб-приложения и мгновенный успех! 

> GET) https://mywebapp/
> Response-Redirect) Location header kicks me to my IdP (ADFS)
  https://idp.yyy.net/adfs/ls/?wa=wsignin1.0&wtrealm.........
> I sign-in with proper credentials
> POST) https://mywebapp/login << AWESOME!
...