Hola

Tengo implementada una granja de federación en la red corporativa, conformada por 2 servidores Win2008 R2, haciendo balanceo mediante NLB.  La granja se encuentra operativa y ya está prestando servicio para single sign on.

 De igual forma se esta implementando una granja de servidores proxy de federación en la DMZ.  Al querer realizar la relación de confianza entre las 2 granjas, desde la granja proxy de federación, no es factible realizar este procedimiento, ya que al querer hacer un test, genera un error de certificado y al intentar validar las credenciales de la cuenta de servicio para la relación de confianza, indica que hay problema de credenciales.

Todo El tráfico ya se encuentra permitido entre las dos granjas de federación y si intento acceder desde los servidores proxy (DMZ) a los servidores  de la granja de la red perimetral, me lo permite hacer y hay respuesta de ping, lo mismo que al nombre del clúster NLB.

Los certificados utilizados en el servidor proxy de federación, son los mismos utilizados en la granja de la red corporativa. Adjunto errores presentados.

CONSIDERACIONES

•          El nombre del clúster NLB es igual para ambas granjas.
•          Ya se encuentra ingresado la ip y el nombre del clúster NLB de la granja de la red corporativa, en los archivos host de los nodos en la red perimetral
•          Se creo y configuró la cuenta de servicios dedicada, y se registro el spn mediante el comando setspn.
•          Se importaron los certificados SSL a los 2 nodos del proxy de federación.
•          EL Firewall de Windows se encuentra deshabilitado en todos los nodos de las 2 granjas de federación.
•          El visor de eventos del servidor donde se presenta el problema genera el evento 393, que hace referencia a validar las credenciales de la cuenta de servicios de la granja de federación.  Estas credenciales ya fueron validadas.

 Gracias

Diego Pulido

email: dpulido@intergrupo.com

Hola Diego

Revisa el siguiente vinculo para ver si te ayuda:

support.microsoft.com/default.aspx

support.microsoft.com/.../2392130

Hola Igork

Te informo que despues de multiples procedimientos al fín que me permitió realizar la configuración de la relación de confianza. después de importar los certificados, en el Root certification authority de cada nodo de las granjas de federacion.  Ahora se me está presentando el problema de que no funciona el SSO cuando se trata ingresar al portal por fuera de la compañia.  Es decir probando ya el funcionamiento de los proxy de federación.

yo realicé el cambio del nombre del federation service identifier debido a que encontré en un foro social.msdn.microsoft.com/.../2b7b64e0-9a92-43d6-b071-db1e892b9d97 que si ese nombre no era igual al siguiente estandard adfshostname.yourdomainname.com/.../trust. se presentaban lo errores que precisamente se me estaban presentando eventos 364, 394 y 248.  Despues de este cambio, probe el ingreso al portal por fuera de la red de la compañía y no carga. genera el error HTTP 503 error, sin embargo se probó el ingreso al lync y si funcionó.  Al realizar la misma prueba desde la red corporativa la pagina del portal tampoco carga, sin embargo al igual ue en la prueba incial, el lync si funciona.

Gracias por su valiosa ayuda.

Diego Pulido

Buenas tardes Diego:

El certificado de los ADFS de la DMZ y de los internos deben ser certificados distintos pero con el mismo nombre; me explico:

Deberás solicitar dos certificados, uno por cada NLB o grupo de servidores de balanceo, para que funcione correctamente.

Confirmame si este es tu caso y no has realizado una importación de un mismo certificado para los dos NLB.