ADFS 2.0 - 代理/服务器503服务不可用

时间:2011-12-02 03:15:02

标签: wif adfs2.0

在过去的几天里,我一直在不知疲倦地为WIF& amp; ADFS 2.0。我遇到的一个问题是我的家庭环境只有一个IP地址,我不打算在主服务器上粘贴ADFS。因此,我为FS创建了一个专用的虚拟机(idp.yyy.local)。

为了没有直接链接回我的网站,' yyy'是指' dgdev'。 (下图)

奇怪的是,它部分有效。这是一张详细介绍我的基础设施的图片。

enter image description here

奇怪的是,我可以浏览' idp.yyy.net'在正常的HTTP和HTTPS都很好。我还可以完美地查看WS-Federation Metadata。现在,我对ADFS很陌生,但我希望在转到http://idp.yyy.net/adfs/services/trust时,它会将我重定向到Windows SSL登录。相反,我收到的只有:

服务不可用


HTTP错误503.该服务不可用。

我在FS代理和FS上使用相同的SSL证书。它的主题是我的主要域名yyy.net。它有几个主题备用名称,因此我可以使用我的单个IP托管多个带有SSL的IIS网站:端口。

CN = yyy.net
DNS Name=www.yyy.net
DNS Name=idp.yyy.net
DNS Name=idp.yyy.local
...
IP Address=192.168.1.2
IP Address=192.168.1.3
IP Address=192.168.1.4
...

有没有人知道我为什么会看到503 Service Unavailable错误。事件查看器中没有任何内容显示为错误。 (除了AppFabric令人烦恼的事情,但这是我还没有触及的另一个问题

提前致谢!其实很多谢谢。我已经筋疲力尽了我想出的每一条道路和想法,为什么这可能会被打破"?


如果有人知道如何调试此问题,我当然除了作为解决方案之外。我尝试过IIS失败的请求记录,但没有生成任何内容。在哪里/什么是托管ADFS服务? 我已经看过的事情:

  • 所有AppPools都在运行。
  • 可以访问旧的ADFS 1.0 Web服务(asmx)。
  • 我可以直接访问发布者终端...或者至少是' windowstransport'

1 个答案:

答案 0 :(得分:3)

事实证明一切都在发挥作用!

我花了几个小时确保正确创建证书。然后仍然看到503& 403错误,我意识到我的代理服务器AppPool用于\ Default网站在“ApplicationPoolIdentity”下运行 - 这实际上是用户: IIS AppPool \ DefaultAppPool。

我从未向该用户授予对ADFS证书私钥的读取权限。因此我看到403 Forbidden而不是503的原因。在将AppPool切换到网络服务之后......瞧!,503服务不可用。

所以现在我确定我的代理服务器和ADFS服务器说得很好。现在为什么我仍然看到503 Service Unavailable?!?

我告诉自己无论如何要创建一个测试应用程序。在visual studio中,我设置了一个新的MVC 3 Web App。添加了我现有的STS-Reference。设置虚拟声明并更新应用程序的FederationMetadata。向ADFS添加了新的依赖方。

将我的浏览器打开到网络应用程序并立即成功!

> GET) https://mywebapp/
> Response-Redirect) Location header kicks me to my IdP (ADFS)
  https://idp.yyy.net/adfs/ls/?wa=wsignin1.0&wtrealm.........
> I sign-in with proper credentials
> POST) https://mywebapp/login << AWESOME!