El explorador de Internet no puede mostrar la página web de inicio de sesión de AD FS para usuarios federados

  • Artículo
  • Se aplica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Cuando un usuario federado intenta iniciar sesión en un servicio en la nube de Microsoft como Microsoft 365, Microsoft Azure o Microsoft Intune, el explorador de Internet no puede mostrar la página web de inicio de sesión de Servicios de federación de Active Directory (AD FS) (AD FS). Además, el usuario puede recibir un mensaje de error. Por ejemplo, si el usuario usa Internet Explorer, el usuario puede recibir el siguiente mensaje de error:

Internet Explorer no puede mostrar la página web.

Cuando se produce este error, la dirección que se muestra en el explorador web es similar a la siguiente:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Causa

Este problema puede producirse si el usuario no puede ponerse en contacto con el servidor de federación de AD FS local o con el proxy de servidor de federación de AD FS accesible desde Internet. Esto puede ocurrir cuando el servicio de federación de AD FS deja de ejecutarse o cuando la conectividad IP está marginada.

Solución

Antes de empezar a resolver este problema, determine la dirección del punto de conexión de AD FS para el servidor de federación local y, a continuación, determine qué servidor tiene problemas.

Determinación de la dirección del punto de conexión de AD FS para el servidor de federación local

Para ello, siga estos pasos en un equipo conectado a un dominio que tenga instalado el módulo de Azure Active Directory para Windows PowerShell:

  1. Ejecute el módulo de Azure Active Directory para Windows PowerShell como administrador con privilegios elevados. Para ello, haga clic con el botón derecho en el módulo de Windows Azure Active Directory para Windows PowerShell y, a continuación, haga clic en Ejecutar como administrador.

  2. Escriba los siguientes comandos. Presione Entrar después de escribir cada comando:

    $cred = get-credential

    Nota:

    Cuando se le solicite, escriba sus credenciales de administrador global.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Nota:

    El <marcador de posición del servidor> de AD FS representa el nombre del equipo del servidor de AD FS principal.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Nota:

    El <marcador de posición Dominio> federado representa el nombre de dominio federado con el servicio en la nube.

En la salida, examine la propiedad ActiveClientSignInUrl. La parte del dominio de la dirección URL es el punto de conexión que se puede usar en la resolución que se describe más adelante en este artículo.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Determinación del servidor que tiene problemas

Establezca el ámbito del problema. Para ello, determine el servidor que tiene problemas. Si solo los clientes de Internet tienen problemas, solucione primero el proxy del servidor de federación de AD FS. Si los clientes de red corporativa también tienen problemas, solucione primero el servidor de federación de AD FS.

Después de determinar qué servidor tiene problemas, siga estos pasos en el servidor de AD FS adecuado:

Paso 1: Asegúrese de que el servidor de federación de AD FS local se está ejecutando

  1. En el servidor de federación de AD FS, abra Panel de control, haga clic en Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Busque el servicio de Windows de AD FS.
  3. Asegúrese de que el estado del servicio de Windows de AD FS está iniciado. Si el servicio está detenido, haga clic con el botón derecho en el servicio y, a continuación, haga clic en Iniciar para iniciar el servicio.

Paso 2: Asegúrese de que el servidor web se ejecuta en el servidor de AD FS adecuado.

  1. En el servidor de federación de AD FS o en el proxy del servidor de federación de AD FS, abra Administrador del servidor, expanda Roles, expanda Servidor web (IIS) y, a continuación, seleccione Internet Information Services.
  2. Expanda el nombre del equipo y, a continuación, expanda Sitios.
  3. Asegúrese de que el sitio web predeterminado está establecido en Iniciado. Si no es así, haga clic con el botón derecho en Sitio web predeterminado, seleccione Todas las tareasy, a continuación, haga clic en Iniciar.
  4. Expanda Sitio web predeterminado y, a continuación, asegúrese de que existen los directorios virtuales adfs y /adfs/ls.

Paso 3: Asegúrese de que DNS tiene un registro de host para el punto de conexión de AD FS adecuado para el cliente que tiene problemas.

En el caso de los clientes internos, dns interno debe resolver el nombre del punto de conexión de AD FS en una dirección IP interna (por ejemplo, sts.contoso.com A 192.168.1.104). En el caso de los clientes de Internet, el nombre del punto de conexión debe resolverse en una dirección IP pública. Esto se puede probar en el cliente mediante el procedimiento siguiente. Si la red local contiene un servidor proxy, intente agregar el punto de conexión de AD FS mediante opciones de Internet en Internet Explorer.

  1. Haga clic en Inicio y en Ejecutar, escriba cmd y, por último, haga clic en Aceptar.

  2. En el símbolo del sistema, escriba el siguiente comando, donde el marcador de posición <STS.contoso.com> representa el nombre del punto de conexión de AD FS:

    NSlookup <STS.contoso.com>

  3. Si el comando da como resultado una dirección IP incorrecta, resuelva el problema actualizando el registro A en el servidor DNS interno o externo. Para asegurarse de que las solicitudes DNS para recursos de AD FS de equipos locales se resuelven en el servicio de federación de AD FS en lugar del servidor proxy de AD FS, consulte el siguiente artículo de Microsoft Knowledge Base para comprobar y actualizar la configuración de DNS de cerebro dividido.

    2715326 configuración incorrecta de DNS de Split-brain impide la experiencia de inicio de sesión único sin problemas

    Nota:

    La configuración de DNS accesible desde Internet actualizada puede tardar hasta 48 horas en propagarse a todos los servidores DNS de Internet.

Paso 4: Intente agregar el nombre del servidor de AD FS como una excepción en la configuración del proxy de Internet en Internet Explorer en el equipo cliente.

Si la red local contiene un proxy y solo los clientes internos tienen problemas con el acceso a AD FS, intente agregar el nombre del servidor de AD FS como una excepción en la configuración del proxy de Internet en Internet Explorer. Para ello, siga estos pasos en el equipo cliente:

  1. Abra Internet Explorer y, a continuación, haga clic en Opciones de Internet en el menú Herramientas .
  2. Haga clic en la pestaña Connections y, a continuación, haga clic en Configuración de LAN.
  3. En Configuración automática, haga clic para desactivar las casillas y, a continuación, haga clic para activar la casilla Usar un servidor proxy para la LAN en Servidor proxy.
  4. En Servidor proxy, agregue la dirección del servidor proxy y el puerto que usa el servidor proxy y, a continuación, haga clic en Avanzadas.
  5. En Excepciones, agregue el punto de conexión de AD FS (por ejemplo, sts.contoso.com).

Más información

Los comandos Windows PowerShell de este artículo requieren el módulo de Azure Active Directory para Windows PowerShell.

¿Aún necesita ayuda? Vaya a Microsoft Community o al sitio web de los foros de Microsoft Entra.