Problembehandlung für enterprise single Sign-On
In diesem Thema werden Informationen zu bekannten Problemen bereitgestellt, die beim Verwenden des Diensts für Einmaliges Anmelden (SSO) für Unternehmen auftreten können.
Um sicherzustellen, dass alle Komponenten in Ihrer SSO-Umgebung ordnungsgemäß funktionieren, sollten Sie die Fragen in der folgenden Tabelle zu Beginn der Fehlerbehebung klären:
| Frage | Kommentare |
|---|---|
| Enthält das Ereignisprotokoll der Anwendung SSO-Systemeinträge? | Die SSO-Nachricht im Ereignisprotokoll kann bei der Eingrenzung von Problemen im SSO-System hilfreich sein. Nachrichten im SSO-System stammen aus ENTSSO. Wichtig: Viele der SSO-Fehler und -Ereignisse werden im Ereignisprotokoll als Warnungen und nicht als Fehler angezeigt. Im SSO-System werden Warnungen ausgegeben, wenn ein Problem einen einzigen Client des SSO-Diensts betrifft. Fehler werden ausgegeben, wenn das Problem das gesamte SSO-System (alle Clients) betrifft. |
| Ist der SSO-Dienst ordnungsgemäß installiert? Startet der Dienst wie erwartet? Unter welchem Dienstkonto wird der SSO-Dienst ausgeführt? |
Stellen Sie sicher, dass der SSO-Dienst ordnungsgemäß installiert ist, und dass das Dienstkonto Mitglied der SSO-Administratorengruppe ist. |
| Wo befindet sich die SSO-Datenbank? | Verwenden Sie die Befehlszeile ssoconfig -showdb. Weitere Informationen zu diesem Befehl finden Sie unter Anzeigen der SSO-Datenbankinformationen. |
| Welcher SSO-Server wird verwendet | Verwenden Sie die Befehlszeile ssomanage -showserver. Weitere Informationen zu diesem Befehl finden Sie unter Festlegen des SSO-Servers. |
| Welches Konto ist das SSO-Administratorkonto? | Verwenden Sie die Befehlszeile ssomanage –displaydb. Weitere Informationen zu diesem Befehl finden Sie unter Anzeigen der SSO-Datenbankinformationen. |
| Ist alles ordnungsgemäß aktiviert | Verwenden Sie die Befehlszeile ssomanage –displaydb. Weitere Informationen zu diesem Befehl finden Sie unter Anzeigen der SSO-Datenbankinformationen. |
| Sind die Partneranwendungen vorhanden? | Verwenden Sie die Befehlszeile ssomanage –listapps all. Weitere Informationen zu diesem Befehl finden Sie unter Auflisten von Partneranwendungen. |
| Wird die entsprechende Partneranwendung ordnungsgemäß ausgeführt? Welche Konten verwendet diese Partneranwendung? |
Verwenden Sie den Anwendungsnamen> der Befehlszeile ssomanage –displayapp<. Weitere Informationen zu diesem Befehl finden Sie unter Auflisten der Eigenschaften einer Partneranwendung. |
| Sind Zuordnungen für diese Partneranwendung vorhanden? | Verwenden Sie den Anwendungsnamen> der Befehlszeile ssomanage –listmappings<. Weitere Informationen zu diesem Befehl finden Sie unter Auflisten von Benutzerzuordnungen. |
| Welche Konten sind Mitglied der SSO-Gruppen? | Überprüfen Sie die Gruppenmitgliedschaft für alle SSO-Gruppen und -Konten. |
| Wird die COM+-Anwendung des SSO-Servers ordnungsgemäß ausgeführt? | Überprüfen Sie den SSO-Server der COM+-Anwendung. Hinweis: Sie können auch das Ereignisprotokoll auf detaillierte Informationen überprüfen, z. B. Ereignis- und Warnmeldungen. |
Bekannte Probleme
Fehler beim Starten des ENTSSO-Diensts
Problem
Beim Starten des ENTSSO-Diensts tritt ein Fehler auf.
Ursache
Wenn der ENTSSO-Dienst nicht unter einem gültigen SSO-Administratorkonto ausgeführt wird, tritt beim Starten ein Fehler auf.
Lösung
Geben Sie ein gültiges SSO-Administratorkonto für den ENTSSO-Dienst an, und starten Sie den Dienst mithilfe des Dienstkontroll-Managers (SCM) neu.
Vom ENTSSO-Dienst abhängige BizTalk-Dienste können nach einem Neustart nicht gestartet werden
Problem
BTSSvc$BizTalkServerApplication ist vom Dienst für Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, ENTSSO) abhängig, sodass es beim Starten nach einem Neustart zu einem Timeout kommen kann.
Ursache
Der Startvorgang des Diensts für Einmaliges Anmelden für Unternehmen kann ca. 3 Minuten dauern.
Lösung
Konfigurieren der BizTalk-Gruppe BizTalk-Dienst: BizTalkServerApplication mit der Starttypoption Automatisch (Verzögerter Start). Dadurch wird das Starten des Diensts nach Abschluss der Startroutinen aller automatisch gestarteten Dienste initiiert.
Kein Zugriff auf eine Partneranwendung
Problem
Der Dienst für Einmaliges Anmelden (SSO) deaktiviert eine Partneranwendung, wenn das Administratorkonto der Anwendung ungültig ist.
Ursache
Das Administratorkonto der SSO-Anwendung ist ungültig.
Lösung
Stellen Sie vor dem Erstellen einer Partneranwendung sicher, dass das Administratorkonto der SSO-Anwendung gültig ist. Die Partneranwendung muss nach der Erstellung aktiviert werden, um die Anwendung verwenden zu können.
Bei der Verbindung mit einem Clientcomputer tritt ein RPC-Fehler auf
Problem
Wenn ein Benutzer einen Befehl wie ssomanage -displayapp<applicationname> ausführt, bei dem der Computer versucht, eine Verbindung mit einem Remote-SSO-Server herzustellen, um die Informationen abzurufen, erhält er den folgenden Fehler: ERROR: 0x800706BA: Der RPC-Server ist nicht verfügbar.
Ursache
Dieser Fehler tritt auf, wenn der Benutzer fehlerhafte Serverinformationen angibt, oder wenn der SSO-Dienst auf dem Remoteserver nicht zur Verfügung steht.
Lösung
Führen Sie die Schritte unter Festlegen des SSO-Servers aus, um sicherzustellen, dass Sie mit dem richtigen SSO-Server verbunden sind.
Stellen Sie sicher, dass der SSO-Dienst aktiviert ist und auf dem SSO-Server ausgeführt wird, mit dem Sie eine Verbindung herstellen möchten.
Der geheime Hauptschlüssel fehlt oder ist fehlerhaft.
Problem
Der geheime Hauptschlüssel fehlt oder ist fehlerhaft. Dieser wird normalerweise während der Konfiguration erstellt. Wenn der Schlüssel fehlt, wird eine der folgenden Meldungen im Ereignisprotokoll angezeigt, während der Dienst "Einmaliges Anmelden für Unternehmen (SSO)" startet.
MessageId=10520
Severity=Warning
SSO_WARN_NO_SECRETS
MessageId=10565
Severity=Error
SSO_ERROR_SECRET_VALIDATE_FAILED
MessageId=10521
Severity=Error
SSO_ERROR_SECRETS_NOT_LOADED
Ursache
Dieser Fehler kann auftreten, wenn ein Schlüssel generiert wurde, während der Dienst "Einmaliges Anmelden für Unternehmen (SSO)" unter einem Dienstkonto ausgeführt wurde, und das Dienstkonto anschließend geändert wurde. Der Schlüssel wird in der Registrierung verschlüsselt gespeichert. Die Verschlüsselung erfolgt mithilfe eines Schlüssels, der auf der Identität des Dienstkontos basiert (unter dem ENTSSO ausgeführt wird).
Lösung
Ändern Sie das Dienstkonto, unter dem ENTSSO ausgeführt wird, in das ursprüngliche Dienstkonto, mit dem der geheime Hauptschlüssel erstellt wurde.
So ändern Sie das ENTSSO-Dienstkonto
Sichern Sie den geheimen Hauptschlüssel. Weitere Informationen finden Sie unter Sichern des geheimen Hauptschlüssels.
Beenden Sie den Dienst "Einmaliges Anmelden für Unternehmen (SSO)".
Ändern Sie das Dienstkonto.
Starten Sie SSO neu, und ignorieren Sie alle Meldungen über einen fehlerhaften Schlüssel.
Stellen Sie den geheimen Hauptschlüssel wieder her. Weitere Informationen finden Sie unter Wiederherstellen des geheimen Hauptschlüssels.