Inhalt
ToggleProblem
In einer Windows Server 2012 R2 AD FS Farm wurde der Relying Party Trust zur Microsoft Office 365 Identity Plattform als fehlerhaft angezeigt.
Ein genauer Blick in Details der Relying Party Trust Eigenschaften zeigte folgendes Bild.
Ein Test der Metadaten-URL führte zu einer Fehlermeldung, dass die Verbindung geschlossen wurde.
Der einfachste und schnellste Kontrolltest ist der Aufruf der Ziel-URL im Browser des Servers. Der Test war erfolgreich, das Metadaten-XML wurde sofort abgerufen und im Browser angezeigt.
Was war nun die Ursache für den Fehler?
Lösung
Wie so oft lag das Problem im .NET Framework.
Microsoft hat die TLS-Protokollanforderungen für den Zugriff auf Microsoft 365 Dienste verschäft. TLS wird nur noch für die Protokollversionen 1.2 und höher unterstützt.
Trotz der Verfügbarkeit von TLS 1.2 im Windows Server 2012 R2 Betriebssystem, verwendet das .NET Framework standardmäßig maximal TLS 1.1. Somit konnte der AD FS-Programmcode keine TLS-Verbindung mehr zum Metadaten-Endpunkt aufnehmen. Dieses Problem kann auch auf anderen Windows Betriebssystemen auftreten, nicht nur auf dem veralteten Windows Server 2012 R2.
Die Lösung ist eine Konfiguration per Windows Systemregistrierung, um .NET Framework 2.0 und 4.0 zu motivieren, doch bitte mindestens TLS 1.2 zu verwenden. Hier hilft ein kleines PowerShell-Skript, das schon für Entra ID Connect gute Dienste geleistet hat.
Nach der Anpassung der Windows Systemregistrierung und einem Neustart der AD FS Server konnte der Metadaten-Endpukt wieder problemlos erreicht werden. So kann sich AD FS eigenständig über Änderungen der Verbundkonfiguration informieren, um z.B. aktualisierte Zertifikatinformationen zu verarbeiten.
Tipp
Migriere zeitnah zu Windows Server 2019 oder neuer. Windows Server 2012 R2 ist seit dem 10. Oktober 2023 End-Of-Life. Und damit erhält das Betriebssystem auch keine Sicherheitsaktualisierungen mehr.
Links
Viel Spaß mit AD FS.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenTeilen mit:
- Klick, um über Twitter zu teilen (Wird in neuem Fenster geöffnet)
- Klick, um auf Facebook zu teilen (Wird in neuem Fenster geöffnet)
- Klick, um auf LinkedIn zu teilen (Wird in neuem Fenster geöffnet)
- Klicken, um auf Telegram zu teilen (Wird in neuem Fenster geöffnet)
- Klicken, um einem Freund einen Link per E-Mail zu senden (Wird in neuem Fenster geöffnet)