Веб-браузер не может отобразить веб-страницу входа AD FS для федеративных пользователей

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Проблема

Когда федеративный пользователь пытается войти в облачную службу Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune, веб-браузер не может отобразить веб-страницу входа службы федерации Active Directory (AD FS) (AD FS). Кроме того, пользователь может получить сообщение об ошибке. Например, если пользователь использует интернет-Обозреватель, он может получить следующее сообщение об ошибке:

Интернет-Обозреватель не удается отобразить веб-страницу.

При возникновении этой ошибки адрес, отображаемый в веб-браузере, выглядит следующим образом:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Причина

Эта проблема может возникнуть, если пользователь не может связаться с локальным сервером федерации AD FS или прокси-сервером федерации AD FS, подключенным к Интернету. Это может произойти, когда служба федерации AD FS перестает работать или когда IP-подключение отключено.

Решение

Прежде чем приступить к решению этой проблемы, определите адрес конечной точки AD FS для локального сервера федерации, а затем определите, на каком сервере возникли проблемы.

Определение адреса конечной точки AD FS для локального сервера федерации

Для этого выполните следующие действия на компьютере, подключенном к домену, на котором установлен модуль Azure Active Directory для Windows PowerShell:

  1. Запустите модуль Azure Active Directory для Windows PowerShell в качестве администратора с повышенными привилегиями. Для этого щелкните правой кнопкой мыши модуль Windows Azure Active Directory для Windows PowerShell и выберите команду Запуск от имени администратора.

  2. Введите следующие команды. Нажмите клавишу ВВОД после ввода каждой команды:

    $cred = get-credential

    Примечание.

    При появлении запроса введите учетные данные глобального администратора.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Примечание.

    Заполнитель <сервера> AD FS представляет имя компьютера основного сервера AD FS.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Примечание.

    Заполнитель <Федеративный домен> представляет доменное имя, федеративное с облачной службой.

В выходных данных проверьте activeClientSignInUrlproperty. Доменная часть URL-адреса — это конечная точка, которую можно использовать в разрешении, описанном далее в этой статье.

Примечание.

модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Определение сервера, на который возникают проблемы

Определение области проблемы. Для этого определите сервер, на который возникли проблемы. Если проблемы возникают только у интернет-клиентов, сначала устраните неполадки с прокси-сервером сервера федерации AD FS. Если у клиентов корпоративной сети также возникают проблемы, сначала устраните неполадки на сервере федерации AD FS.

Определив, на каком сервере возникли проблемы, выполните следующие действия на соответствующем сервере AD FS:

Шаг 1. Убедитесь, что локальный сервер федерации AD FS работает

  1. На сервере федерации AD FS откройте панель управления, щелкните Администрирование, а затем — Службы.
  2. Найдите службу службы Windows AD FS.
  3. Убедитесь, что служба Windows AD FS находится в состоянии Запущена. Если служба остановлена, щелкните правой кнопкой мыши службу и нажмите кнопку Пуск , чтобы запустить службу.

Шаг 2. Убедитесь, что веб-сервер работает на соответствующем сервере AD FS

  1. На сервере федерации AD FS или прокси-сервере федерации AD FS откройте диспетчер сервера, разверните узлы Роли, Веб-сервер (IIS) и выберите Службы IIS.
  2. Разверните имя компьютера, а затем узел Сайты.
  3. Убедитесь, что для веб-сайта по умолчаниюзадано значение Запущено. Если это не так, щелкните правой кнопкой мыши веб-сайт по умолчанию, наведите указатель на пункт Все задачи, а затем нажмите кнопку Пуск.
  4. Разверните узел Веб-сайт по умолчанию и убедитесь, что виртуальные каталоги adfs и /adfs/ls существуют.

Шаг 3. Убедитесь, что у DNS есть запись узла для конечной точки AD FS, соответствующая клиенту, у которого возникли проблемы

Для внутренних клиентов внутренняя служба DNS должна разрешать имя конечной точки AD FS во внутренний IP-адрес (например, sts.contoso.com A 192.168.1.104.). Для интернет-клиентов имя конечной точки должно разрешаться в общедоступный IP-адрес. Это можно проверить на клиенте, выполнив следующую процедуру. Если локальная сеть содержит прокси-сервер, попробуйте добавить конечную точку AD FS с помощью internet Обозреватель.

  1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

  2. В командной строке введите следующую команду, где заполнитель <STS.contoso.com> представляет имя конечной точки AD FS:

    NSlookup <STS.contoso.com>

  3. Если команда выдает неправильный IP-адрес, устраните проблему, обновив запись A на внутреннем или внешнем DNS-сервере. Чтобы убедиться, что запросы DNS для ресурсов AD FS с локальных компьютеров разрешаются в службу федерации AD FS, а не прокси-сервер AD FS, см. в следующей статье базы знаний Майкрософт, чтобы проверка и обновить параметры DNS с разделением.

    2715326 неправильная настройка РАЗДЕЛЕННОГО DNS предотвращает простой вход единого входа

    Примечание.

    Для распространения обновленных параметров DNS для подключения к Интернету может потребоваться до 48 часов.

Шаг 4. Попробуйте добавить имя сервера AD FS в качестве исключения в параметрах прокси-сервера в Интернете Обозреватель на клиентском компьютере.

Если локальная сеть содержит прокси-сервер и только внутренние клиенты имеют проблемы с доступом к AD FS, попробуйте добавить имя сервера AD FS в качестве исключения в параметрах прокси-сервера в Интернете Обозреватель. Для этого выполните следующие действия на клиентском компьютере:

  1. Откройте интернет-Обозреватель, а затем выберите пункт Свойства браузера в меню Сервис.
  2. Перейдите на вкладку Connections и щелкните Параметры локальной сети.
  3. В разделе Автоматическая настройка щелкните, чтобы очистить поля проверка, а затем установите флажок Использовать прокси-сервер для проверка локальной сети в разделе Прокси-сервер.
  4. В разделе Прокси-сервер добавьте адрес прокси-сервера и порт, используемый прокси-сервером, а затем нажмите кнопку Дополнительно.
  5. В разделе Исключения добавьте конечную точку AD FS (например, sts.contoso.com).

Дополнительная информация

Командам Windows PowerShell, приведенным в этой статье, требуется модуль Azure Active Directory для Windows PowerShell.

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.