При попытке установления отношений доверия со службой федерации произошла ошибка

2013-11-05 09:35

Установка AADC с AD FS во многом схожа с процессом развертывания без серверов федерации. Тем не менее, существенные отличия все же есть и именно они заставили написать эту статью. Кроме того, мне очень повезло и в процессе тестовых развертываний встретилось огромное множество самых разных ошибок и сложностей. В итоге получасовой процесс развернулся в многодневные попытки отдебажить все новые и новые ошибки.

---

Если вам интересна тематика облачных технологий, рекомендую обратиться к тегу Cloud на моем блоге.

---

Ниже я постараюсь подробно рассмотреть процесс развертывания AADC, основанный исключительно на личном опыте. Ваша инфраструктура может (и будет) сильно отличаться от моей и для вас алгоритм действий может оказаться немного другим. Именно поэтому настоятельно рекомендую ознакомиться с официальной документацией (Выборочная установка Azure AD Connect), которая в полной мере охватывает большинство вариантов развития событий (хотя и ничего не упоминает о возможных ошибках).

Подготовка

Перед развертыванием Azure AD Connect вы должны убедиться, что ваша инфраструктура полностью удовлетворяет внушительный перечень требований ¹. Помимо этого, вам нужно подготовить и окружение Azure. Оба этих процесса я рассматривал в давних статьях, которые, тем не менее, по-прежнему актуальны:

• Локальная инфраструктура и Azure AD (без установки Azure AD Connect!)
• Подготовка Azure Active Directory

В сценарии, описанном в этой статье, я планирую развернуть AADC вместе с AD FS, а потому сервер федерации и WAP-прокси к этому моменту также должны быть полностью настроены. Процесс настройки этих серверов я рассматривал в одной из своих последних статей:

• Exchange Hybrid — Подготовка серверов федерации

Как только все шаги, описанные в статьях, будут выполнены, можно идти дальше.

Установка

Для начала скачайте последнюю версию Azure AD Connect с официального сайта ². После этого приступайте к установке.

Приветствие

На странице приветствия поставьте галочку на согласии с лицензионными соглашениями и нажимайте Продолжить:

Далее вам нужны настраиваемые параметры, а не быстрые:

При необходимости укажите отдельный экземпляр MS SQL, кастомный каталог для установки, либо другие параметры, не влияющие на конечную функциональность.

Базовые настройки

В секции базовых настроек вам нужно выбрать Федерация с AD FS, ведь именно этому сценарию мы и хотим следовать:

Примечание: поставить галочку «Включить единый вход» не получится. Да это и не нужно, ведь AD FS из коробки обеспечивают этот функционал.

Далее указываем учетные данные глобального администратора Azure AD, которого вы создавали на этапе настройки окружения Azure:

Переходим к следующей секции.

Синхронизация

Подключаем каталоги: выбираем каталог и лес AD, нажимаем Добавить каталог:

Откроется диалоговое окно ввода учетных данных с правами администратора предприятия:

Примечание: обратите внимание, в этой версии AADC есть недоработка — поле ввода пароля скрыто внизу, а бегунка для прокрутки вниз нет. Придется переключать табуляцией и вводить пароль вслепую.

Как только каталог будет добавлен, вы увидите что-то подобное:

На следующем этапе нужно выбрать домен Azure AD. Если к этому моменту вы не добавили и не прошли проверку хотя бы по одному домену, который представлен как UPN-суффикс для учеток в лесу, то придется сделать это сейчас. А так оставляем все по умолчанию (крайне желательно оставить UserPrincipalName как атрибут для входа в Azure):

На следующей странице вы можете выбрать какие домены и подразделения синхронизировать в Azure AD. Мне подходит вариант синхронизации всей иерархии:

Настройки идентификации пользователей по умолчанию тоже нет смысла менять для простой иерархии Active Directory:

Далее вы можете выбрать группы для синхронизации. Это удобно для тестовых развертываний, но потом лучше не пользоваться этим функционалом, поскольку будут сложности с поддержкой актуального состава групп:

На следующей странице выберите дополнительные возможности. Я решил включить синхронизацию хэшей паролей, чтобы в случае проблем с доступом через AD FS иметь резервный вариант. В вашем случае это может быть лишней затеей, особенно если изначально есть требования в плане безопасности и нужно ограничить процесс аутентификации локальной инфраструктурой, не передавая пароли в облако (ни в каком виде, включая их хэши):

Далее надо ввести учетные данные администратора домена:

А теперь пришло время заняться настройкой федерации.

Настройки федерации

Первым делом подгружаем сертификат, который мы успели получить в статье (Exchange Hybrid — Подготовка серверов федерации):

Далее указываем сервер федерации. У меня пока что он один (adfs01.bq.local):

А на следующем шаге сервер WAP (в моем случае это rpx01.bq.local):

Указываем учетную запись службы AD FS (или создаем новую автоматически, прописав креды администратора предприятия):

На завершающих этапах выбираем домен для объединения в федерацию:

Осталось только все проверить и запустить.

Проверка и применение

Если что-то нужно поменять или убрать, самое время это сделать, потому что сразу после нажатия кнопки Установить начнется настройка инфраструктуры:

После некоторого ожидания, если все прошло успешно, увидите подобную страничку:

Тем не менее, не всегда все идет по плану. Если вы столкнулись с ошибками, то глава ниже специально для вас, а развертывание AADC на этом завершено, не забудьте настроить регулярное резервное копирование вашего нового сервера.

Устранение проблем

Процесс развертывания Azure AD Connect достаточно простой и на редкость качественно задокументирован. Несмотря на это, мне встретилась куча ошибок и некоторые из них я собираюсь разобрать ниже.

Проблема с DNS

На конечных этапах настройки может возникнуть ошибка, указывающая на проблемы с установкой отношений доверия со службой федерации. Её текст следующий:

Произошла ошибка при выполнении команды «Install-WebApplicationProxy». При попытке установления отношений доверия со службой федерации произошла ошибка. Ошибка: Gateway Time-out
Exception Data (Raw): Microsoft.Online.Deployment.PowerShell.PowerShellInvocationException: Произошла ошибка при выполнении команды «Install-WebApplicationProxy». При попытке установления отношений доверия со службой федерации произошла ошибка. Ошибка: Gateway Time-out —> System.Management.Automation.RemoteException: При попытке установления отношений доверия со службой федерации произошла ошибка. Ошибка: Gateway Time-out

А в визарде AADC она выглядит так:

Причина заключается в том, что основное имя федерации с сервера WAP должно разрешаться во внутренний адрес сервера AD FS. Об этом я упоминал в статье Exchange Hybrid — Подготовка серверов федерации.

Элемент «ma-run-data» не найден

Полный текст ошибки в логах не говорит абсолютно ни о чем. Тем не менее, вот он:

Exception Data (Raw): System.Management.Automation.CmdletInvocationException: Элемент «ma-run-data» не найден., строка 1, позиция 2. —> Microsoft.IdentityManagement.PowerShell.ObjectModel.SynchronizationConfigurationValidationException: Элемент «ma-run-data» не найден., строка 1, позиция 2.

А выглядит это вот так:

В этом случае не остается ничего, кроме полного удаления AADC и установки заново с нуля.

Синхронизация не выполнялась

Объективно это даже не ошибка, а скорее состояние. Установка AADC завершилась успешно и вы открываете список учетных записей Azure AD, чтобы убедиться, что среди них появились синхронизированные копии учеток из вашей локальной инфраструктуры, но не обнаруживаете их.

Состояния синхронизации выглядит следующим образом:

Причин такого состояния может быть множество, некоторые из них я распишу ниже.

1. Во-первых, не лишним будет проверить коннекторы на предмет некорректных учетных данных. Для этого запустите с правами администратора утилиту miisclient.exe, которую вы можете найти в каталоге:

В открывшемся окне справа внизу будет статус соединений, нажмите на него:

Чтобы изменить имя/пароль учетной записи, пройдите на вкладку Connectors и дважды щелкните на соединителе с типом Active Directory Domain Services (у меня он имеет имя bq.local — точно по имени основного домена). В открывшемся окне вам будет нужна вкладка Connect to Active Directory Forest:

Смело вводите правильный пароль и применяйте изменения.

2. Вторая возможная причина, по которой могут быть проблемы с синхронизацией — состояние основной учетной записи Microsoft, с помощью которой вы изначально разворачивали инфраструктуру. Дело в том, что исключительно из-за интереса я залогинился под этой учеткой и обнаружил, что она заблочена за рассылку спама! Как такое могло случиться с учетной записью, которая была создана буквально день назад, мне до сих пор непонятно.

Примечание: я рассказываю об этой причине как об одной из возможных потому, что после разблокировки учетки не получилось ещё раз её «заблокировать» и проверить мои предположения наверняка, чтобы не возникало сомнений.

Разумеется после разблокировки учетной записи новых подобных инцидентов не последовало. К слову, изначально был установлен более чем надежный пароль, я всегда пользуюсь генератором максимально сложных паролей, с разными регистрами букв и спецсимволами. Тем не менее, вот такая история приключилась. Никогда не списывайте со счетов подобный вариант развития событий.

comments powered by HyperComments

При проверке отношений доверия произошла системная ошибка — Сертификат

Криптографические утилиты КриптоПро применяются во многих программах, созданных российскими разработчиками. Их предназначение — подпись различных электронных документов, организация PKI, манипуляция с сертификатами. В этой статье мы рассмотрим ошибку, которая появляется в результате работы с сертификатом — «При проверке отношений доверия произошла системная ошибка».

Содержание

1. Причина появления ошибки в КриптоПро
2. Решение ошибки с сертификатом
3. Установка личного сертификата
4. Другие методы устранения ошибки при проверке отношений доверия

Причина появления ошибки в КриптоПро

Появление системного сообщения об ошибке часто связано с конфликтующими версиями Windows и КриптоПро. Пользователям свойственно бегло знакомиться с системными требованиями программного обеспечения, его свойствами и возможностями. Именно поэтому приходится более подробно изучать инструкции и форумы только после того, как случился сбой.

Нередко само программное обеспечение устанавливается в систему с ошибками. Причин для этого предостаточно:

• Неполадки в системном реестре Windows;
• Жесткий диск заполнен мусором, которые не дают правильно работать другому ПО;
• Наличие вирусов в системе и так далее.

Читайте также: не удается построить цепочку сертификатов для доверенного корневого центра.

Решение ошибки с сертификатом

В программном продукте КриптоПро произошел системный сбой «При проверке отношений доверия произошла системная ошибка». Попробуем решить эту проблему. В некоторых случаях программа может выдать сообщение на экран, если в системе нет соответствующих обновлений. Вы также можете получать ошибку в том случае, если используете КриптоПро версию 3.6 на операционной системе Windows 8.1. Для этой ОС необходимо использовать версию 4 и выше. Но для установки новой, нужно деинсталлировать старую версию.

Все важные данные с предыдущей версии необходимо скопировать на съемный носитель или в отдельную папку Windows.

1. Откройте меню «Пуск» и нажмите раздел «Панель управления» Windows;
2. На следующем шаге нажмите «Удаление программ». Это можно сделать и быстрее — нажмите 2 клавиши WIN+R и введите в строке команду «control», затем выберите «Удаление программ»;
3. В списке найдите старую версию КриптоПро и выделите её мышью. Затем нажмите вверху кнопку «Удалить»;
4. Подтвердите удаление.

Затем нужно посетить официальный сайт и загрузить свежую версию пакета утилит, загрузить их и установить на свой компьютер. Перейдите по адресу — https://www.cryptopro.ru/downloads. При установке на время отключите брандмауэр Windows и другие программы или антивирусы, которые могут блокировать работу КриптоПро.

Установить новый продукт можно при помощи личного кабинета на сайте. Для этого вам нужно войти и авторизоваться.

1. Затем зайдите в ЛК;
2. Откройте вкладку сверху «Управление услугами»;
3. Перейдите в раздел «Автоматизированное рабочее место»;
4. Затем найдите пункт «Плагины и дополнения» и нажмите на одну из версий КриптоПро.

Установка личного сертификата

Далее нужно установить сертификат в утилите КриптоПро, чтобы устранить сбой сертификата — при проверке отношений доверия произошел сбой. Запустите ПО от имени администратора. Делать это лучше всего из меню «Пуск».

1. В окне программы выберите вкладку «Сервис»;
2. Выберите пункт «Просмотреть сертификаты…»;
3. Далее в окне «Сертификаты закрытого ключа» нажмите небольшую кнопку «Обзор» и выберите контейнер;
4. Нажмите кнопку «Далее». Если вы увидите сообщение, в котором говорится об отсутствии набора ключей, возьмите его с ключевого носителя;
5. Нажмите кнопку ниже «Установить»;
6. Затем в процессе нужно выбрать пункт, чтобы переместить сертификаты в личное хранилище и в завершении нажмите кнопку «Готово».

Другие методы устранения ошибки при проверке отношений доверия

Если вы используете КриптоПро версии 4, но ошибка все равно появляется, попытайтесь просто переустановить программу. Во многих случаях эти действия помогали пользователям. Еще возможно, что ваш жесткий диск переполнен ненужными файлами и их нужно удалить. В этом нам помогут стандартные утилиты Windows.

1. Откройте проводник (WIN+E) и выберите один из локальных дисков ПКМ;
2. Нажмите на пункт «Свойства»;
3. Под изображением занятого пространства диска найдите и нажмите кнопку «Очистить»;
4. Затем появится окно, где нужно выбрать файлы, которые будут удалены;
5. Можете выбрать все пункты и нажать «Ок».

Эту инструкцию нужно выполнить для всех локальных дисков на вашем компьютере. Далее выполните следующую инструкцию для проверки файлов Windows

1. Откройте меню «Пуск»;
2. Введите в строке поиска «Командная строка»;
3. Эту строку выберите ПКМ и укажите мышью пункт «От имени администратора»;
4. Введите в этом окне команду для запуска сканирования «sfc /scannow»;
5. Нажмите клавишу ENTER.

Дождитесь завершения этого процесса. Если утилита найдет неполадки в файловой системе вы увидите это в итоговом сообщении. Закройте все окна и попытайтесь запустить программу КриптоПро, чтобы убедиться, что ошибка «При проверке отношений доверия произошла системная ошибка» уже устранена. Для особых случаев есть номер технической поддержки ПО — 8 800 555 02 75.

Опубликовано 17 января 2019 Обновлено 28 января 2021

muzgp3	#1 Оставлено : 5 июля 2017 г. 16:18:46(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 05.07.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 2 раз	Приветствую!Windows 8.1 х64, Framework 4.5. Используется для КриптоПро 3.6 + ЭЦП для электронных торгов, все было настроено, работало, люди заходили на госзакупки итд. Вчера (4 июля) системе вздумалось обновиться, было понаустановлено: KB2891214, KB2902816, KB3036216, KB3020270, KB931906… похоже это CAPICOM. Теперь при попытке что либо подписать (OFF-Line модуль статистической отчетности) пишет: В хранилище сертификатов не найден действительный сертификат. Сертификат годен с 18.05.2016 по 18.08.2017. Сейчас 05.07.2017 Переустановил личный сертефикат, не помогло. В настройкх И.Е. — AktiveX стали по умолчанию, вернул их на место, Фаерволл отключил. При просмотре сертификата, тот говорит: при проверке отношений доверия произошла системная ошибка. На сайте zakupki.gov.ru заходим в личный кабинет по 44 или по 223 закону, получаем — СТРАНИЦА НЕ НАЙДЕНА. Но с этим же сертификатом работают другие сотрудники (с другой флэшки, на другой машине). Тут на форуме были одноименные темы, но ясного ответа по трабле не нашел. Не знаю, каких сведений еще не написал и чего не учел. Как исправить?

basid	#2 Оставлено : 5 июля 2017 г. 16:46:13(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 924 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Простейшее действие — «Восстановить» для установленного КРИПТО-ПРО CSP делали?

Андрей Писарев	#3 Оставлено : 5 июля 2017 г. 17:01:41(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,741 Сказал «Спасибо»: 451 раз Поблагодарили: 1838 раз в 1421 постах	Здравствуйте. КриптоПРО 3.6 не поддерживает Windows 8.1 и не сертифицирован для этой версии ОС. Используйте для работы в этой версии ОС сертифицированную 3.9 R2 или лучше 4.0 R2.
Техническую поддержку оказываем тут Наша база знаний
	WWW

muzgp3	#4 Оставлено : 6 июля 2017 г. 12:59:54(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 05.07.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 2 раз	Восстановить сделал, не помогло. 3.6 на Win8.1 сколько лет работал… думаю, он рабочий, оснастка запускается. Возможно, чтото блокирует какой то модуль.

Андрей Писарев	#5 Оставлено : 6 июля 2017 г. 13:04:00(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,741 Сказал «Спасибо»: 451 раз Поблагодарили: 1838 раз в 1421 постах	Автор: muzgp3 Восстановить сделал, не помогло. 3.6 на Win8.1 сколько лет работал… думаю, он рабочий, оснастка запускается. Возможно, чтото блокирует какой то модуль. 3.6 сертифицирован для Windows 8. Финальная версия вышла в 2013 г. >оснастка запускается. Это не говорит о том, что всё работает в штатном режиме. Переходите на актуальную версию, 4.0, в которой есть ГОСТ-2012.
Техническую поддержку оказываем тут Наша база знаний
	WWW
1 пользователь поблагодарил Андрей * за этот пост.	muzgp3 оставлено 07.07.2017(UTC)

muzgp3	#6 Оставлено : 7 июля 2017 г. 9:45:51(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 05.07.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 2 раз	т.е. если у нас лицензионный ключ на 3.6. мы можем поставить версию 4 и дать тот же серийник? Не разбираюсь в таких тонкостях, но хочется что бы всё было правильно. Отредактировано пользователем 7 июля 2017 г. 9:48:02(UTC)  | Причина: Не указана

Андрей Писарев	#7 Оставлено : 7 июля 2017 г. 10:00:57(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,741 Сказал «Спасибо»: 451 раз Поблагодарили: 1838 раз в 1421 постах	Здравствуйте. Лицензия не подойдет. Требуется: Лицензия на обновление СКЗИ «КриптоПро CSP» до версии 4.0
Техническую поддержку оказываем тут Наша база знаний
	WWW
1 пользователь поблагодарил Андрей * за этот пост.	muzgp3 оставлено 07.07.2017(UTC)

muzgp3	#8 Оставлено : 11 июля 2017 г. 9:56:06(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 05.07.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 2 раз	Обновил до 4, всё заработало, спасибо!

Toss7	#9 Оставлено : 30 января 2019 г. 12:15:15(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 30.01.2019(UTC) Сообщений: 1	Во всех сертификатах было «При проверке отношений доверия произошла системная ошибка» Даже в доверенных центрах сертификации. Переустановка криптопро помогла. Спасибо. Отредактировано пользователем 30 января 2019 г. 12:15:59(UTC)  | Причина: Не указана

Пользователи, просматривающие эту тему

Guest

Форум КриптоПро
 » 
Устаревшие продукты
 » 
КриптоПро CSP 3.6
 » 
После WindowsUpdate: При проверке отношений доверия произошла системная ошибка

Быстрый переход
 

КриптоПро используется во многих приложениях созданных российскими разработчиками. Главная цель указанной утилиты — создание подписи для использования в элетронном документообороте, совершение различных действий с сертификатами, а также управление PKI. Как и любой другой электронный, компьютерный продукт, КриптоПро существует не без изъянов и выдает различные ошибки при использовании. Одна из таких ошибок рассмотрена в данной статье, причины возникновения. а также методы решения проблемы.

При проверке отношений доверия произошла системная ошибка

Причины ошибки

В основном при установке какого либо приложения пользователь не парится вникать в техническую документацию последнего. В связи с чем, ошибки возникают на ровном месте и только после того как установленная программа отказывается работать в связи с конфликтом установленного ПО либо действующей версии Windows.люди гуглят и всячески ищут возможную причину и решение возникшей проблемы.

Зачастую программа устанавливается с ошибками. Причины приводящие к подобной ситуации могут быть разные:

• Сбои в работе Windows и его реестре
• Компьютер заражен вирусами, парализующими работу программ
• Антивирус или файрвол мешает нормальной работе программы

Решение проблемы

Если программа выбивает сбой с указанным названием, можно  решить задачу различными путями. КриптоПро может также не показать ошибку на экране (при использовании старой версии 3.6 и более ранней). Сразу необходимо взять на заметку, что для Вииндоус 8.1 и выше нужна версия 4 или новее. Более старая работать не будет.

Первый путь решения проблемы, как бы банально не звучало — переустановить продукт.

1. Скопируйте все нужные данные в отдельную папку при удалении
2. Заходим в панель управления
3. Выбираем «установка и удаление»
4. Находим КриптоПро
5. Удаляем
   1. 

Новую версию, взамен старой лучше всего скачать с официального сайта

При установке программы желательно отключить антивирус, брандмауэр и другие подобные программы, что бы избежать проблем в дальнейшем.

Что бы скачать и установить необходимо сперва зарегистрироваться на сайте, после чего:

1. Заходим в личный кабинет
2. Открываем вкладку «управление услугами»
3. В разделе автоматизированное рабочее место нужно перейти во вкладку плагины и дополнения что бы выбрать одну из нужных версий продукта

После совершенных выше действий необходимо установить непосредственно сертификат в программу «КриптоПро»

Совершаем следующие шаги:

1. Открываем приложение и выбираем раздел «сервис»
2. Далее выбираем пункт «смотреть сертификаты»
   1. 
3. Жмем на клавишу «обзор» и выбираем контейнер
4. Жмем кнопочку «Далее»
5. Устанавливаем
   1. 
6. В процессе установки необходимо переместить сертификаты в появившемся окне

Windows 10 при проверке отношений доверия

При использовании указанной программы в десятом виндоусе. сперва стоит посмотреть на версию утилиты, так как все что ниже 4 версии работать не будет. В том случае, если вы уже используете что-то более современное — первым делом просто переустановите КриптоПро.

Также совершите следующие действия:

1. Жмем пуск
2. Открываем командную строку
3. Последнюю необходимо запускать от имени администратора, что бы это сделать жмем правой кнопкой мыши по командной строке и выбираем запуск от имени администратора
4. Вводим «sfc /scannow»