Вопрос или проблема
Я использую федеративный домен ADFS 3.0 (SSO с Office-365), и я успешно настроил страницу смены пароля для работы с любого устройства, присоединенного к рабочему месту. В настоящее время я пытаюсь настроить доступ к ней с любого устройства, не присоединенного к рабочему месту.
Я применил исправление, как упомянуто в этой статье:
Примечание: ADFS 2012 R2 требовал аутентифицированные/зарегистрированные устройства (также известные как ‘присоединение к рабочему месту’), чтобы разрешить смену паролей. На основе отзывов клиентов мы ослабили это требование и разрешаем это с любых устройств. Вам нужно будет применить горячее исправление 3035025 на всех серверах ADFS.
Но когда я пытаюсь получить доступ к странице смены пароля из корпоративной сети: https://adfs.mydomain.com/adfs/portal/updatepassword
Я получаю ошибку:
HTTP 503 – Сервис недоступен
Есть ли какие-либо советы, как это исправить?
ИСПРАВЛЕНИЕ:
Просто хочу добавить, что я могу получить доступ к adfs.mydomain.com, и он показывает страницу приветствия для IIS.
Это более старая версия, поэтому я должен сделать некоторые предположения здесь. Указано, что это не работает за пределами сети, но подразумевается, что это работает внутри сети.
Обычно внутри брандмауэра вы будете подключаться напрямую к серверам ADFS. Снаружи вы подключаетесь через прокси-устройство. Вероятно, хорошая вероятность, что проблема связана с тем, какое именно прокси-устройство вы используете и как у вас опубликован ADFS.
Ответ или решение
Ошибка HTTP 503 – Служба недоступна при попытке доступа к странице изменения пароля ADFS из внешней сети
Введение
Проблема, с которой вы столкнулись, связана с ошибкой HTTP 503 (Служба недоступна) при попытке доступа к странице изменения пароля ADFS (Active Directory Federation Services) из внешней сети. Несмотря на то что вы успешно настроили эту функцию для устройств, присоединенных к рабочему месту, требуется дополнительная конфигурация для доступа с устройств, не состоящих в домене.
Контекст проблемы
Вы используете ADFS 3.0 с федеративной доменной моделью для единого входа (SSO) в Office 365 и применили обновление, указанное в статье, чтобы разрешить изменение пароля с любого устройства. Хотя вы можете получить доступ к общему интерфейсу ADFS, проблема возникает при доступе к странице изменения пароля. Вот некоторые возможные причины возникновения ошибки HTTP 503 и предложения по их устранению.
1. Проверка конфигурации ADFS
Одна из первых вещей, которые стоит проверить — это конфигурация вашего сервера ADFS. Убедитесь, что:
-
Серверы ADFS работают корректно: Проверьте, что все сервисы ADFS запущены, и нет проблем с их производительностью. Используйте
Get-AdfsServerStatisticsв PowerShell, чтобы просмотреть статус серверов и выявить возможные сбои. -
Порт и протокол: Порт 443 должен быть открытым для внешних подключений, а сам сервис должен корректно обрабатывать HTTPS-запросы.
2. Проблемы с сетевым доступом
Поскольку ошибка возникает только при попытке доступа из внешней сети, это может означать, что проблема не в ADFS, а в сетевом окружении:
-
Прокси или VPN: Если вы используете прокси-сервер или VPN для доступа к ADFS, убедитесь, что они настроены правильно. Некоторые прокси могут блокировать определенные типы запросов или не передавать их корректно.
-
Firewall: Проверьте настройки брандмауэра (firewall) на вашем сервере и в сети: убедитесь, что трафик на порт 443 не блокируется.
3. Логи ADFS и IIS
Важно изучить логи сервера ADFS и IIS. Логи могут предоставить детальную информацию о том, что происходит, когда осуществляется попытка доступа к странице изменения пароля:
-
Логи ADFS: Откройте журналы событий Windows и проверьте раздел "AD FS", чтобы найти ошибки, которые могли произойти во время обработки запросов.
-
Логи IIS: Например, в логах IIS вы можете проверить, приходят ли запросы на нужный URL, и если да, то какой код состояния возвращается.
4. Кэширование и поддержка версий
Иногда проблема может быть связана с кэшированием:
-
Очистка кэша: Убедитесь, что кэш браузера очищен и попробуйте доступ с другого браузера или в режиме инкогнито.
-
Обновление ПО: Убедитесь, что все серверы ADFS и компоненты Windows обновлены до последних версий. Возможно, установленные патчи исправляют известные проблемы.
Заключение
Для решения проблемы HTTP 503 при доступе к странице изменения пароля ADFS из внешней сети, необходимо сосредоточиться на конфигурации здоровья службы, сетевых настройках, а также проверке логов для выявления возможных ошибок. Удостоверьтесь, что все сетевые устройства и прокси настроены правильно, чтобы обеспечить корректный доступ к службе изменения пароля. Если проблемы продолжают возникать, возможно, вам стоит рассмотреть возможность обратиться к технической поддержке Microsoft или вашим внутренним IT-специалистам для более глубокого анализа ситуации.