ADFS Proxykonfigurationsdaten konnten nicht vom Verbunddienst abgerufen werden. (Event: 422 / 276) 

Nach langwierigen einlesen und forschen wie man einen ADFS Proxy korrekt einrichtet, bin ich auf eine Fehlermeldung gestoßen die ich hier näher erläutern möchte und wie ich das Problem gelöst habe.

Möchte man einen ADFS Proxy einrichten der ein selbstsigniertes Wildcard Zertifikat besitzt, wird dieser Fehler kommen sobald man einen Proxy einrichten möchte.

Die Einrichtung kann entweder mittels „Remotezugriff“ konfiguriert werden oder mit folgendem PowerShell Command:
Install-WebApplicationProxy -CertificateThumbprint ‚E4CBBF97F16F187191A471581DE02B29BB61DBBD‘ -FederationServiceName ‚adfs.domain.org‘
Folgende Fehlermeldung:

422

Event-Log: Vom ADFS-Proxy Server

276

Event-Log: Vom ADFS Server

Folgende Schritte sind zu tun:

  1. Prüft eure IIS-Einstellung auf dem ADFS-Server, die IP-Adresse bei den SSL-Einstellungen darf nicht gesetzt sein, desweiteren muss der Harken „Require Server Name Indication“ ausgewählt sein
  2. Sobald das geprüft ist machen wir uns an die PowerShell, gebt folgenden Befehl ein: netsh http show sslcert
    Sucht euch nun euer Wildcard Zertifikat aus der Liste heraus und prüft folgendes:

    ssl_adfstrustdevices

    Hier ist zu erkennen das der Ctl Store Name nicht auf AdfsTrustDevice gesetzt ist, das ist das Problem warum der ADFS Proxy unser Zertifikat ablehnt.

Nun müssen wir das Zertifikat abändern, dies machen wir wie folgt, als erstes löschen wir das Zertifikat da wir es nicht ändern dürfen (passt einfach eure Domain hinter hostnameport an). Danach passt Ihr die Variablen $guid $certhash $hostnameport an euer Zertifikat aus der letzten Ansicht an. Habt Ihr das getan könnt Ihr das Script ausführen.
netsh http delete sslcert hostnameport=adfs.domain.org:443
$guid = “4dc3e181-e14b-4a21-b022-59fc669b0914”
$certhash = “e4cbbf97f16f187191a471581de02b29bb61dbbd”
$hostnameport = “adfs.domain.org:443”
$Command = “http add sslcert hostnameport=$hostnameport certhash=$certhash appid={$guid} certstorename=MY sslctlstorename=AdfsTrustedDevices clientcertnegotiation=enable”
$Command | netsh

adfstrustdevices

Nach dem Befehl „netsh http show sslcert“ kommt folgendes Ergebnis.

So, nun haben wir das Problem gelöst, es ist nun möglich die Proxy Einrichtung nachmaligst zu starten, nun sollte folgende Meldung erscheinen:

success_thumbprint

Nach dem Hinzufügen, öffnen wir den Remotezugriff und sehen das der ADFS Proxy ordnungsgemäß eingerichtet ist 🙂

success_adfs

 

Ich hoffe ich konnte dem einen oder anderen mit dem Eintrag helfen!

PS:

Bitte beachtet das euer ADFS Proxy das Wildcard Zertifikat als Vertrauenswürdiges Stammzertifkat in eurem Speicher installiert habt. (inkl. PrivateKey). Des weitern muss der User unter dem der ADFS ausgeführt wird Lese Berechtigung auf das Zertifikat besitzen sonst kann der ADFS nichts mit eurem Zertifikat anfangen.