Il browser Internet non può visualizzare la pagina Web di accesso ad AD FS per gli utenti federati

  • Articolo
  • Si applica a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando un utente federato tenta di accedere a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune, il browser Internet non può visualizzare la pagina Web di accesso Active Directory Federation Services (AD FS). Inoltre, l'utente potrebbe ricevere un messaggio di errore. Ad esempio, se l'utente usa Internet Explorer, l'utente potrebbe ricevere il messaggio di errore seguente:

Internet Explorer non può visualizzare la pagina Web.

Quando si verifica questo errore, l'indirizzo visualizzato nel Web browser è simile all'indirizzo seguente:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Causa

Questo problema può verificarsi se l'utente non riesce a contattare il server federativo AD FS locale o il proxy del server federativo AD FS con connessione Internet. Ciò può verificarsi quando il servizio federativo AD FS smette di essere in esecuzione o quando la connettività IP viene marginalizzata.

Soluzione

Prima di iniziare a risolvere questo problema, determinare l'indirizzo dell'endpoint AD FS per il server federativo locale e quindi determinare il server che presenta problemi.

Determinare l'indirizzo dell'endpoint AD FS per il server federativo locale

A tale scopo, seguire questa procedura in un computer connesso al dominio in cui è installato il modulo Azure Active Directory per Windows PowerShell:

  1. Eseguire il modulo Azure Active Directory per Windows PowerShell come amministratore con privilegi elevati. A tale scopo, fare clic con il pulsante destro del mouse sul modulo di Windows Azure Active Directory per Windows PowerShell e quindi scegliere Esegui come amministratore.

  2. Digitare i comandi seguenti. Premere INVIO dopo aver digitato ogni comando:

    $cred = get-credential

    Nota

    Quando viene richiesto, immettere le credenziali di amministratore globale.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Nota

    Il <segnaposto del server> ADFS rappresenta il nome del computer del server AD FS primario.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Nota

    Il <segnaposto Dominio> federato rappresenta il nome di dominio federato con il servizio cloud.

Nell'output esaminare la proprietà ActiveClientSignInUrl. La parte di dominio dell'URL è l'endpoint che può essere usato nella risoluzione descritta più avanti in questo articolo.

Nota

I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

Determinare il server che presenta problemi

Definire l'ambito del problema. A tale scopo, determinare il server che presenta problemi. Se si verificano problemi solo nei client Internet, risolvere prima di tutto il proxy del server federativo ADFS. Se anche i client di rete aziendali riscontrano problemi, risolvere prima di tutto il server federativo AD FS.

Dopo aver determinato il server che presenta problemi, seguire questa procedura nel server AD FS appropriato:

Passaggio 1: Assicurarsi che il server federativo AD FS locale sia in esecuzione

  1. Nel server federativo AD FS aprire Pannello di controllo, fare clic su Strumenti di amministrazione e quindi su Servizi.
  2. Cercare il servizio del servizio Windows AD FS.
  3. Assicurarsi che lo stato del servizio Windows AD FS sia Avviato. Se il servizio viene arrestato, fare clic con il pulsante destro del mouse sul servizio e quindi scegliere Avvia per avviare il servizio.

Passaggio 2: Assicurarsi che il server Web sia in esecuzione nel server AD FS appropriato

  1. Nel server federativo AD FS o nel proxy del server federativo AD FS aprire Server Manager, espandere Ruoli, espandere Server Web (IIS) e quindi selezionare Internet Information Services.
  2. Espandere il nome del computer e quindi Siti.
  3. Assicurarsi che Il sito Web predefinito sia impostato su Avviato. In caso contrario, fare clic con il pulsante destro del mouse su Sito Web predefinito, scegliere Tutte le attività e quindi fare clic su Avvia.
  4. Espandere Sito Web predefinito e quindi assicurarsi che le directory virtuali adfs e /adfs/ls esistano.

Passaggio 3: Assicurarsi che DNS disponga di un record host per l'endpoint AD FS appropriato per il client che presenta problemi

Per i client interni, il DNS interno deve risolvere il nome dell'endpoint AD FS in un indirizzo IP interno, ad esempio sts.contoso.com A 192.168.1.104. Per i client Internet, il nome dell'endpoint deve essere risolto in un indirizzo IP pubblico. È possibile testarlo nel client usando la procedura seguente. Se la rete locale contiene un server proxy, provare ad aggiungere l'endpoint AD FS usando Opzioni Internet in Internet Explorer.

  1. Fare clic su Start, selezionare Esegui, digitare cmd e fare clic su OK.

  2. Al prompt dei comandi digitare il comando seguente, dove il segnaposto <STS.contoso.com> rappresenta il nome dell'endpoint AD FS:

    NSlookup <STS.contoso.com>

  3. Se il comando restituisce un indirizzo IP non corretto, risolvere il problema aggiornando il record A nel server DNS interno o esterno. Per assicurarsi che le richieste DNS per le risorse AD FS dai computer locali vengano risolte nel servizio federativo AD FS anziché nel server proxy AD FS, vedere l'articolo della Microsoft Knowledge Base seguente per controllare e aggiornare le impostazioni DNS split-brain.

    2715326 errore di configurazione DNS split-brain impedisce un'esperienza di accesso SSO facile

    Nota

    Le impostazioni DNS con connessione Internet aggiornate possono richiedere fino a 48 ore per propagarsi a tutti i server DNS Internet.

Passaggio 4: Provare ad aggiungere il nome del server AD FS come eccezione nelle impostazioni proxy Internet in Internet Explorer nel computer client

Se la rete locale contiene un proxy e solo i client interni riscontrano problemi con l'accesso ad AD FS, provare ad aggiungere il nome del server AD FS come eccezione nelle impostazioni proxy Internet in Internet Explorer. A tale scopo, seguire questa procedura nel computer client:

  1. Aprire Internet Explorer e quindi fare clic su Opzioni Internet dal menu Strumenti .
  2. Fare clic sulla scheda Connections e quindi su Impostazioni LAN.
  3. In Configurazione automatica fare clic per deselezionare le caselle di controllo e quindi selezionare la casella di controllo Usa un server proxy per la rete LAN in Server proxy.
  4. In Server proxy aggiungere l'indirizzo del server proxy e la porta usata dal server proxy e quindi fare clic su Avanzate.
  5. In Eccezioni aggiungere l'endpoint AD FS , ad esempio sts.contoso.com.

Ulteriori informazioni

I comandi Windows PowerShell in questo articolo richiedono il modulo Azure Active Directory per Windows PowerShell.

Ulteriore assistenza Accedere alla community Microsoft o al sito Web dei forum di Microsoft Entra.