Webbläsaren kan inte visa webbsidan för AD FS-inloggning för federerade användare

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

När en federerad användare försöker logga in på en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune kan webbläsaren inte visa inloggningssidan för Active Directory Federation Services (AD FS) (AD FS). Dessutom kan användaren få ett felmeddelande. Om användaren till exempel använder Internet Explorer kan användaren få följande felmeddelande:

Internet Explorer kan inte visa webbsidan.

När det här felet inträffar liknar adressen som visas i webbläsaren följande adress:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Orsak

Det här problemet kan inträffa om användaren inte kan kontakta den lokala AD FS-federationsservern eller den Internetuppkopplade AD FS-federationsserverproxyn. Detta kan inträffa när AD FS Federation Service slutar köras eller när IP-anslutningen marginaliseras.

Lösning

Innan du börjar lösa det här problemet ska du fastställa AD FS-slutpunktsadressen för den lokala federationsservern och sedan avgöra vilken server som har problem.

Fastställa AD FS-slutpunktsadressen för den lokala federationsservern

Gör detta genom att följa dessa steg på en domänansluten dator som har Azure Active Directory-modulen för Windows PowerShell installerad:

  1. Kör Azure Active Directory-modulen för Windows PowerShell som upphöjd administratör. Det gör du genom att högerklicka på Windows Azure Active Directory-modulen för Windows PowerShell och sedan klicka på Kör som administratör.

  2. Skriv följande kommandon. Tryck på Retur när du har angett varje kommando:

    $cred = get-credential

    Obs!

    När du uppmanas att göra det anger du dina autentiseringsuppgifter för global administratör.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Obs!

    <AD FS Server-platshållaren> representerar datornamnet för din primära AD FS-server.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Obs!

    Platshållaren <Federerad domän> representerar domännamnet som är federerat med molntjänsten.

I utdata undersöker du ActiveClientSignInUrlproperty. Domändelen av URL:en är slutpunkten som kan användas i lösningen som beskrivs senare i den här artikeln.

Obs!

Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Fastställa vilken server som har problem

Omfång för problemet. Det gör du genom att fastställa vilken server som har problem. Om endast Internetklienter har problem kan du först felsöka AD FS Federation-serverproxyn. Om företagsnätverksklienter också har problem kan du först felsöka AD FS-federationsservern.

När du har fastställt vilken server som har problem följer du dessa steg på lämplig AD FS-server:

Steg 1: Kontrollera att den lokala AD FS-federationsservern körs

  1. Öppna Kontrollpanelen på AD FS-federationsservern, klicka på Administrationsverktyg och klicka sedan på Tjänster.
  2. Leta efter TJÄNSTEN AD FS Windows Service.
  3. Kontrollera att statusen för AD FS Windows Service-tjänsten är Startad. Om tjänsten har stoppats högerklickar du på tjänsten och klickar sedan på Starta för att starta tjänsten.

Steg 2: Kontrollera att webbservern körs på lämplig AD FS-server

  1. På AD FS-federationsservern eller AD FS-federationsserverproxyn öppnar du Serverhanteraren, expanderar Roller, expanderar Webbserver (IIS) och väljer sedan Internet Information Services.
  2. Expandera datornamnet och expandera sedan Webbplatser.
  3. Kontrollera att Standardwebbplats är inställd på Startad. Om det inte är det högerklickar du på Standardwebbplats, pekar på Alla aktiviteter och klickar sedan på Start.
  4. Expandera Standardwebbplats och kontrollera sedan att de virtuella katalogerna adfs och /adfs/ls finns.

Steg 3: Kontrollera att DNS har en värdpost för AD FS-slutpunkten som är lämplig för klienten som har problem

För interna klienter bör intern DNS matcha AD FS-slutpunktens namn till en intern IP-adress (till exempel sts.contoso.com A 192.168.1.104.). För Internetklienter ska slutpunktsnamnet matchas mot en offentlig IP-adress. Detta kan testas på klienten med hjälp av följande procedur. Om det lokala nätverket innehåller en proxyserver kan du försöka lägga till AD FS-slutpunkten med hjälp av Internetalternativ i Internet Explorer.

  1. Klicka på Start och Kör, skriv cmd och klicka sedan på OK.

  2. I kommandotolken skriver du följande kommando, där platshållaren <STS.contoso.com> representerar AD FS-slutpunktens namn:

    NSlookup <STS.contoso.com>

  3. Om kommandot resulterar i en felaktig IP-adress löser du problemet genom att uppdatera A-posten på antingen den interna eller externa DNS-servern. Information om hur du kontrollerar att DNS-begäranden för AD FS-resurser från lokala datorer matchar AD FS-federationstjänsten i stället för AD FS-proxyservern finns i följande Microsoft Knowledge Base-artikel för att kontrollera och uppdatera DNS-inställningarna för delad hjärna.

    2715326 DNS-felkonfiguration med delad hjärna förhindrar sömlös inloggning med enkel inloggning

    Obs!

    Det kan ta så lång tid som 48 timmar att sprida de internetuppkopplade DNS-inställningarna till alla Internet-DNS-servrar.

Steg 4: Försök att lägga till AD FS-servernamnet som ett undantag i inställningarna för Internetproxy i Internet Explorer på klientdatorn

Om det lokala nätverket innehåller en proxyserver och endast interna klienter har problem med AD FS-åtkomst kan du försöka lägga till AD FS-servernamnet som ett undantag i Internet-proxyinställningarna i Internet Explorer. Gör detta genom att följa dessa steg på klientdatorn:

  1. Öppna Internet Explorer och klicka sedan på Internetalternativverktygsmenyn .
  2. Klicka på fliken Connections och klicka sedan på LAN-inställningar.
  3. Under Automatisk konfiguration klickar du för att avmarkera kryssrutorna och klickar sedan på kryssrutan Använd en proxyserver för ditt LAN under Proxyserver.
  4. Under Proxyserver lägger du till proxyserveradressen och porten som proxyservern använder och klickar sedan på Avancerat.
  5. Under Undantag lägger du till din AD FS-slutpunkt (till exempel sts.contoso.com).

Mer information

De Windows PowerShell kommandona i den här artikeln kräver Azure Active Directory-modulen för Windows PowerShell.

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.