Social Networks

Un client m’a récemment contacté suite à une erreur dans l’interface de gestion Web Application Proxy :

Windows could not start Web Application Proxy Service service on Local Computer
Error 0x80072efe: 0x80072efe

error web application proxy

 

Une consultation des logs dans l’Event Viewer a permis de cibler précisément le problème, en identifiant notamment un Event 422 sur le service ADFS, ainsi que l’erreur suivante :

 

Unable to retrieve proxy configuration data from the Federation Service
System.Net.WebException: The underlying connection was closed. An unexpected error occured on a send
System.IO.IOException: Unable to read data from the transport connection: An existing connection was forfibly closed by the remote host.

 

event 422 adfs

 

En examinant de plus près le thumbprint du certificat utilisé par le service, il ne correspondait à aucun certificat encore en activité sur le serveur ADFS.

Attention lorsque vous changez le certificat HTTPS de votre ADFS !

Il s’avérait qu’un changement de certificat de type Service Communications, c’est à dire le certificat SSL des pages Web de l’ADFS, avait été récemment effectué depuis l’interface de gestion AD FS Management.

 

change service communication certificate adfs

 

Malheureusement, sélectionner le nouveau certificat et cliquer sur le bouton Set Service Communications Certificate ne suffit pas. Les bindings associés aux différentes applications ADFS ne sont pas modifiés par cette action, comme nous le prouve la commande :

netsh http show sslcert

 

netsh bindings sslcert

 

Etape 1 : sur l’ADFS

Pour prendre en compte votre nouveau certificat SSL, il faudra compléter votre configuration en utilisant la commande PowerShell suivante (à taper dans une console en tant qu’administrateur) :

Set-AdfsCertificate -CertificateType "Service-Communications" -Thumbprint "AABBCCDD...."

Note : n’oubliez pas de remplacer le thumbprint par le votre

Redémarrez ensuite le service Active Directory Federation Services sur votre serveur ADFS.

 

Etape 2 : sur le WAP

Vous devrez également mettre à jour la configuration de Web Application Proxy pour réparer la relation d’approbation avec le serveur ADFS.

1- Ouvrez une invite de commande en tant qu’administrateur

2- Tapez la commande suivante :

$Cred = Get-Credential

3- Entrez les identifiants d’un administrateur local du serveur ADFS

4- Tapez ensuite la commande suivante pour rétablir la trust :

Install-WebApplicationProxy -FederationServiceName "adfs.home.maximerastello.com" -CertificateThumbprint "AABBCCDD..." -FederationServiceTrustCredential $cred

Note : n’oubliez pas de remplacer le thumbprint et le nom du service ADFS par les votres

 

Si vous voulez aller encore plus loin, je vous conseille de lire le très bon article de mon collègue Benoit Sautière sur le dépannage d’ADFS et de Web Application Proxy 🙂

 

Étiquettes : , , , , , , , , , , , , ,

Aucun commentaire

Nouveau commentaire

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>