將 SAML 宣告與 SharePoint 2010 搭配使用時，您可能會遇到速度變慢

英文原文已於 2011 年 7 月 14 日星期二發佈

大家好，我們在 SharePoint 支援部門的 Adam C. 最近提醒大家使用 SAML 宣告的客戶愈來愈常提出一個抱怨。這個抱怨始於使用 SAML 驗證登入網站需要非常長的時間。如果您透過像是 Fiddler 等工具來監視要求，您會看到大部分的時間都花在 SharePoint 伺服器上，最有可能是在 /_trust 子目錄中。如果您遇到這種行為，並發現您的要求花費大部分的時間在 SharePoint 伺服器上，有可能是您的伺服器陣列沒有網際網路存取。如果您在 SharePoint 伺服器上開啟 CAP12 記錄，您可能可以看到這種情況。Adam 在這裡說明要怎麼做：

CAPI2 是 Vista/2008 中提供的新密碼編譯 API。CAPI2 診斷可大幅改善 2000/XP/2003 中提供的 PKI 診斷。CAPI2 診斷資訊已登入 CAPI2 作業記錄，它是位於 [事件檢視器] 中的「應用程式及服務記錄檔\Microsoft\Windows\CAPI2\操作」。您可以使用 CAPI2 記錄以疑難排解 Vista/2008 中的大部分 PKI 作業。

預設不會啟用 CAPI2 記錄。若要啟用它，請以滑鼠右鍵按一下 [事件檢視器] 中的 [CAPI2 作業記錄]，然後選取 [啟用記錄]。您也可以使用 Wevtutil 來啟用它：

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

使用 Wevtutil 停用它的語法為：

wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false

如需詳細資訊，請參閱在 Windows Vista 中疑難排解 PKI 問題 (可能為英文網頁)

一旦您啟用 CAPI2 記錄，您將會想要再次驗證 SharePoint，然後查看 [事件檢視器]。如果您看到事件碼 11 (BuildChain) 與 53 (從網路擷取物件)，您應該更深入地調查事件 53，並看看它是否嘗試對 https://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (可能為英文網頁) 提出要求。如果您看到此要求，而您的伺服器陣列沒有網際網路存取，則須忍受它嘗試連線至 SharePoint 的各種令人受不了的逾時。現在您可以用兩種方式來因應此問題：

1. 從 SharePoint 匯出「SharePoint 根授權」憑證，然後匯入「信任的根憑證授權」存放區。進入 [憑證] MMC 並匯出「SharePoint 根授權」憑證，然後將它匯入「信任的根授權單位」。您將會在 [電腦] 憑證存放區中同時找到這兩個項目，而且您將會在 MMC 中的 SharePoint 節點中找到 SharePoint 根授權憑證。
2. 透過 [群組原則] 從網路停用協力廠商根憑證的擷取。停用的方式是進入 GPO，並向下切入 [電腦組態]、[Windows 設定]、[安全性設定]、[公開金鑰原則]。在這裡尋找名為[憑證路徑驗證設定] 的原則；開啟該原則，然按一下 [網路抓取] 索引標籤。核取 [定義這些原則設定] 方塊，然後確定您取消核取 [自動更新 Microsoft 根憑證計劃中的憑證 (建議)] 方塊。

一旦您做了這些變更，您應該會發現登入時間大幅改善。再次謝謝 Adam 分享這項資訊。

 

這是翻譯後的部落格文章。英文原文請參閱 You May Experience Slowness When Using SAML Claims with SharePoint 2010