De aanmeldingswebpagina van AD FS kan niet worden weergegeven in de internetbrowser voor federatieve gebruikers

  • Artikel
  • Van toepassing op:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Probleem

Wanneer een federatieve gebruiker zich probeert aan te melden bij een Microsoft-cloudservice zoals Microsoft 365, Microsoft Azure of Microsoft Intune, kan de internetbrowser de aanmeldingswebpagina van Active Directory Federation Services (AD FS) niet weergeven. Daarnaast kan de gebruiker een foutbericht ontvangen. Als de gebruiker bijvoorbeeld Internet Explorer gebruikt, kan de gebruiker het volgende foutbericht ontvangen:

Internet Explorer kan de webpagina niet weergeven.

Wanneer deze fout optreedt, lijkt het adres dat wordt weergegeven in de webbrowser op het volgende adres:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Oorzaak

Dit probleem kan optreden als de gebruiker geen contact kan opnemen met de on-premises AD FS-federatieserver of de internetgerichte AD FS Federation-serverproxy. Dit kan optreden wanneer de AD FS Federation-service niet meer wordt uitgevoerd of wanneer de IP-verbinding wordt gemarginaliseerd.

Oplossing

Voordat u begint met het oplossen van dit probleem, bepaalt u het AD FS-eindpuntadres voor de on-premises federatieserver en bepaalt u vervolgens welke server problemen ondervindt.

Het AD FS-eindpuntadres voor de on-premises federatieserver bepalen

Voer hiervoor de volgende stappen uit op een computer die is verbonden met een domein waarop de Azure Active Directory-module voor Windows PowerShell is geïnstalleerd:

  1. Voer de Azure Active Directory-module voor Windows PowerShell uit als beheerder met verhoogde bevoegdheid. Klik hiervoor met de rechtermuisknop op Windows Azure Active Directory-module voor Windows PowerShell en klik vervolgens op Als administrator uitvoeren.

  2. Typ de volgende opdrachten. Druk op Enter nadat u elke opdracht hebt getypt:

    $cred = get-credential

    Opmerking

    Wanneer u hierom wordt gevraagd, voert u uw globale beheerdersreferenties in.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Opmerking

    De <tijdelijke aanduiding AD FS-server> vertegenwoordigt de computernaam van uw primaire AD FS-server.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Opmerking

    De <tijdelijke aanduiding federatief domein> vertegenwoordigt de domeinnaam die is gefedereerd met de cloudservice.

Bekijk in de uitvoer de ActiveClientSignInUrlproperty. Het domeingedeelte van de URL is het eindpunt dat kan worden gebruikt in de oplossing die verderop in dit artikel wordt beschreven.

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

Bepalen welke server problemen ondervindt

Bereik het probleem. Bepaal hiervoor de server die problemen ondervindt. Als alleen internetclients problemen ondervinden, moet u eerst de AD FS Federation-serverproxy oplossen. Als bedrijfsnetwerkclients ook problemen ondervinden, moet u eerst de AD FS-federatieserver oplossen.

Nadat u hebt vastgesteld welke server problemen ondervindt, volgt u deze stappen op de juiste AD FS-server:

Stap 1: Zorg ervoor dat de on-premises AD FS-federatieserver wordt uitgevoerd

  1. Open op de AD FS-federatieserver Configuratiescherm, klik op Systeembeheer en klik vervolgens op Services.
  2. Zoek naar de WINDOWS-service AD FS.
  3. Zorg ervoor dat de status van de AD FS Windows-service Gestart is. Als de service is gestopt, klikt u met de rechtermuisknop op de service en klikt u vervolgens op Start om de service te starten.

Stap 2: Zorg ervoor dat de webserver wordt uitgevoerd op de juiste AD FS-server

  1. Open op de AD FS-federatieserver of op de AD FS-federatieserverproxy Serverbeheer, vouw Rollen uit, vouw Webserver (IIS) uit en selecteer vervolgens Internet Information Services.
  2. Vouw de naam van uw computer uit en vouw vervolgens Sites uit.
  3. Zorg ervoor dat Standaardwebsite is ingesteld op Gestart. Als dat niet zo is, klikt u met de rechtermuisknop op Standaardwebsite, wijst u Alle taken aan en klikt u op Start.
  4. Vouw Standaardwebsite uit en controleer of de virtuele mappen adfs en /adfs/ls bestaan.

Stap 3: Zorg ervoor dat DNS een hostrecord heeft voor het AD FS-eindpunt dat geschikt is voor de client die problemen ondervindt

Voor interne clients moet interne DNS de naam van het AD FS-eindpunt omzetten in een intern IP-adres (bijvoorbeeld sts.contoso.com A 192.168.1.104.). Voor internetclients moet de eindpuntnaam worden omgezet in een openbaar IP-adres. Dit kan worden getest op de client met behulp van de volgende procedure. Als het on-premises netwerk een proxyserver bevat, probeert u het AD FS-eindpunt toe te voegen met behulp van Internetopties in Internet Explorer.

  1. Klik op Start, klik op Uitvoeren, typ cmd en klik vervolgens op OK.

  2. Typ bij de opdrachtprompt de volgende opdracht, waarbij de tijdelijke aanduiding <STS.contoso.com> de naam van het AD FS-eindpunt vertegenwoordigt:

    NSlookup <STS.contoso.com>

  3. Als de opdracht resulteert in een onjuist IP-adres, lost u het probleem op door de A-record bij te werken op de interne of externe DNS-server. Als u ervoor wilt zorgen dat DNS-aanvragen voor AD FS-resources van on-premises computers worden omgezet in de AD FS Federation-service in plaats van de AD FS-proxyserver, raadpleegt u het volgende Microsoft Knowledge Base-artikel om de dns-instellingen voor split-brain te controleren en bij te werken.

    2715326 Split-brain DNS onjuiste configuratie voorkomt naadloze SSO-aanmeldingservaring

    Opmerking

    Bijgewerkte internetgerichte DNS-instellingen kunnen tot 48 uur duren om door te geven aan alle internet-DNS-servers.

Stap 4: Probeer de naam van de AD FS-server als uitzondering toe te voegen in de internetproxy-instellingen in Internet Explorer op de clientcomputer

Als het on-premises netwerk een proxy bevat en als alleen interne clients problemen ondervinden met AD FS-toegang, probeert u de NAAM van de AD FS-server als uitzondering toe te voegen in de internetproxy-instellingen in Internet Explorer. Voer hiervoor de volgende stappen uit op de clientcomputer:

  1. Open Internet Explorer en klik op Internetopties in het menu Extra .
  2. Klik op het tabblad Connections en klik vervolgens op LAN-instellingen.
  3. Schakel onder Automatische configuratie de selectievakjes uit en klik vervolgens om het selectievakje Een proxyserver voor uw LAN gebruiken onder Proxyserver in te schakelen.
  4. Voeg onder Proxyserver het adres van de proxyserver en de poort toe die de proxyserver gebruikt en klik vervolgens op Geavanceerd.
  5. Voeg onder Uitzonderingen uw AD FS-eindpunt toe (bijvoorbeeld sts.contoso.com).

Meer informatie

Voor de Windows PowerShell opdrachten in dit artikel is de Azure Active Directory-module vereist voor Windows PowerShell.

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.