페더레이션된 사용자가 Microsoft 365, Azure 또는 Intune 로그인할 때 AD FS에서 "사이트에 액세스하는 데 문제가 발생했습니다." 오류

문제

페더레이션된 사용자가 Microsoft 365, Microsoft Azure 또는 Microsoft Intune 같은 Microsoft 클라우드 서비스에 로그인하려고 하면 Active Directory Federation Services(AD FS)에서 다음과 같은 오류 메시지가 표시됩니다.

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

이 오류가 발생하면 웹 브라우저의 주소 표시줄은 다음과 유사한 주소의 온-프레미스 AD FS 엔드포인트를 가리킵니다.

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D129915248"

원인

이 문제는 다음 이유 중 하나로 발생할 수 있습니다.

• AD FS를 통한 SSO(Single Sign-On) 설정이 완료되지 않았습니다.
• AD FS 토큰 서명 인증서가 만료되었습니다.
• AD FS 클라이언트 액세스 정책 클레임이 잘못 설정되었습니다.
• Microsoft Entra ID 신뢰 당사자 트러스트가 누락되었거나 잘못 설정되었습니다.
• AD FS 페더레이션 프록시 서버가 잘못 설정되었거나 잘못 노출되었습니다.
• AD FS IUSR 계정에는 "인증 후 클라이언트 가장" 사용자 권한이 없습니다.

해결 방법

이 문제를 resolve 상황에 적합한 메서드를 사용합니다.

시나리오 1: AD FS 토큰 서명 인증서가 만료됨

토큰 서명 인증서가 만료되었는지 확인

토큰 서명 인증서가 만료되었는지 검사 다음 단계를 수행합니다.

1. 시작을 클릭하고 모든 프로그램을 클릭하고 관리 도구를 클릭한 다음 AD FS(2.0) 관리를 클릭합니다.
2. AD FS 관리 콘솔 서비스를 클릭하고 인증서를 클릭한 다음 AD FS 토큰 서명 인증서의 유효 및 만료 날짜를 검사합니다.

인증서가 만료된 경우 SSO 인증 기능을 복원하려면 인증서를 갱신해야 합니다.

토큰 서명 인증서 갱신(만료된 경우)

자체 서명된 인증서를 사용하여 기본 AD FS 서버에서 토큰 서명 인증서를 갱신하려면 다음 단계를 수행합니다.

1. 동일한 AD FS 관리 콘솔 서비스를 클릭하고 인증서를 클릭한 다음 작업 창의 **인증 **에서 Token-Signing 인증서 추가를 클릭합니다.
2. "AD FS 자동 인증서 롤오버 기능을 사용하는 동안 인증서를 수정할 수 없습니다." 경고가 표시되면 3단계로 이동합니다. 그렇지 않으면 인증서 유효 및 만료 날짜를 검사. 인증서가 성공적으로 갱신된 경우 3단계와 4단계를 수행할 필요가 없습니다.
3. 인증서가 갱신되지 않은 경우 시작을 클릭하고 모든 프로그램, 보조프로그램, Windows PowerShell 폴더, Windows PowerShell 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.
4. Windows PowerShell 명령 프롬프트에서 다음 명령을 입력합니다. 각 명령을 입력한 후 Enter 키를 누릅니다.
   • Microsoft.Adfs.Powershell Add-PSSnapin
   • Update-ADFSCertificate -CertificateType: Token-Signing

CA(인증 기관) 서명된 인증서를 사용하여 기본 AD FS 서버에서 토큰 서명 인증서를 갱신하려면 다음 단계를 수행합니다.

1. WebServerTemplate.inf 파일을 만듭니다. 이렇게 하려면 다음과 같이 하십시오.

   1. 메모장을 시작하고 비어 있는 새 문서를 엽니다.

   2. 다음을 파일에 붙여넣습니다.

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      

   3. 파일에서 subject="CN=adfs.contoso.com"을 다음으로 변경합니다.

      subject="CN=your-federation-service-name"

   4. 파일 메뉴에서 다른 이름으로 저장을 클릭합니다.

   5. ** 다른 이름으로 저장 대화 상자에서 모든 파일(.)을 클릭합니다. ** 형식으로 저장 상자에서

   6. 파일 이름 상자에 WebServerTemplate.inf를 입력하고 저장을 클릭합니다.

2. WebServerTemplate.inf 파일을 AD FS 페더레이션 서버 중 하나에 복사합니다.

3. AD FS 서버에서 관리 명령 프롬프트 창을 엽니다.

4. cd(디렉터리 변경) 명령을 사용하여 .inf 파일을 복사한 디렉터리로 변경합니다.

5. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

   CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

6. 서명을 위해 출력 파일 AdfsSSL.req를 CA에 보냅니다.

7. CA는 서명된 공개 키 부분을 .p7b 또는 .cer 형식으로 반환합니다. 요청을 생성한 AD FS 서버에 이 파일을 복사합니다.

8. AD FS 서버에서 관리 명령 프롬프트 창을 엽니다.

9. cd(디렉터리 변경) 명령을 사용하여 .p7b 또는 .cer 파일을 복사한 디렉터리로 변경합니다.

10. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

SSO 기능 복원 완료

자체 서명된 인증서 또는 CA 서명 인증서를 사용하는지 여부에 관계없이 SSO 인증 기능 복원을 완료해야 합니다. 이렇게 하려면 다음과 같이 하십시오.

1. 기본 AD FS 서버의 AD FS 서비스 계정에 대한 프라이빗 키에 대한 읽기 권한을 추가합니다. 이렇게 하려면 다음과 같이 하십시오.
   1. 시작을 클릭하고 실행을 클릭하고 mmc.exe 입력한 다음 Enter 키를 누릅니다.
   2. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
   3. 인증서를 두 번 클릭하고 컴퓨터 계정을 선택한 다음 다음을 클릭합니다.
   4. 로컬 컴퓨터를 선택하고 마침을 클릭한 다음 확인을 클릭합니다.
   5. 인증서(로컬 컴퓨터), 개인을 차례로 확장한 후 인증서를 클릭합니다.
   6. 새 토큰 서명 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 프라이빗 키 관리를 클릭합니다.
   7. AD FS 서비스 계정에 읽기 권한을 추가한 다음 확인을 클릭합니다.
   8. 인증서 스냅인을 종료합니다.
2. 새 인증서의 지문 및 신뢰 당사자 트러스트 날짜를 Microsoft Entra ID 업데이트합니다. 이렇게 하려면 Microsoft 365, Azure 또는 Intune 페더레이션된 도메인의 설정을 업데이트하거나 복구하는 방법에서 "Microsoft 365 페더레이션 도메인의 구성을 업데이트하는 방법" 섹션을 참조하세요.
3. AD FS 프록시 트러스트 구성을 다시 만듭니다. 이렇게 하려면 다음과 같이 하십시오.
   1. 기본 AD FS 서버에서 AD FS Windows 서비스를 다시 시작합니다.
   2. 인증서가 페더레이션 서버 팜의 모든 멤버에 복제되기까지 10분 정도 기다린 다음 나머지 AD FS 서버에서 AD FS Windows 서비스를 다시 시작합니다.
   3. 각 AD FS 프록시 서버에서 프록시 구성 마법사를 다시 실행합니다. 자세한 내용은 페더레이션 서버 프록시 역할에 대한 컴퓨터 구성을 참조하세요.

시나리오 2: 최근에 클레임을 통해 클라이언트 액세스 정책을 업데이트했으며 이제 로그인이 작동하지 않습니다.

클라이언트 액세스 정책이 올바르게 적용되었는지 확인합니다. 자세한 내용은 클라이언트 위치에 따라 Microsoft 365 서비스에 대한 액세스 제한을 참조하세요.

시나리오 3: 페더레이션 메타데이터 엔드포인트 또는 신뢰 당사자 트러스트를 사용하지 않도록 설정할 수 있음

기본 AD FS 서버에서 Microsoft Entra ID 페더레이션 메타데이터 엔드포인트 및 신뢰 당사자 트러스트를 사용하도록 설정합니다. 이렇게 하려면 다음과 같이 하십시오.

1. AD FS 2.0 관리 콘솔을 엽니다.
2. 페더레이션 메타데이터 엔드포인트가 사용하도록 설정되어 있는지 확인합니다. 이렇게 하려면 다음과 같이 하십시오.
   1. 왼쪽 탐색 창에서 AD FS(2.0), 서비스, 엔드포인트로 이동합니다.
   2. 가운데 창에서 /Federation Metadata/2007-06/FederationMetadata.xml 항목을 마우스 오른쪽 단추로 클릭한 다음 프록시에서 사용 및 사용을 선택합니다.
3. Microsoft Entra ID 신뢰 당사자 트러스트가 사용하도록 설정되어 있는지 확인합니다. 이렇게 하려면 다음과 같이 하십시오.
   1. 왼쪽 탐색 창에서 AD FS(2.0)로 이동한 다음 트러스트 관계, 신뢰 당사자 트러스트로 이동합니다.
   2. Microsoft Office 365 ID 플랫폼이 있는 경우 이 항목을 마우스 오른쪽 단추로 클릭한 다음 사용을 클릭합니다.
4. AD FS를 사용하여 Single Sign-On 확인 및 관리의 "신뢰 속성 업데이트" 섹션을 확인하여 Microsoft Entra ID 신뢰 당사자 트러스트를 복구합니다.

시나리오 4: 신뢰 당사자 트러스트가 누락되거나 손상되었을 수 있음

신뢰 당사자 트러스트를 제거하고 다시 추가합니다. 이렇게 하려면 다음과 같이 하십시오.

1. 핵심 AD FS 서버에 로그온합니다.
2. 시작을 클릭하고 모든 프로그램을 가리킨 다음 관리 도구를 클릭한 다음 AD FS(2.0) 관리를 클릭합니다.
3. 관리 콘솔 AD FS(2.0)를 확장하고 트러스트 관계를 확장한 다음 신뢰 당사자 트러스트를 확장합니다.
4. Microsoft Office 365 ID 플랫폼이 있는 경우 이 항목을 마우스 오른쪽 단추로 클릭한 다음 삭제를 클릭합니다.
5. AD FS를 사용하여 Single Sign-On 확인 및 관리의 "신뢰 속성 업데이트" 섹션을 보고 신뢰 당사자 트러스트를 다시 추가합니다.

시나리오 5: AD FS 서비스 계정에 "인증 후 클라이언트 가장" 사용자 권한이 없습니다.

AD FS IUSR 서비스 계정에 "인증 후 클라이언트 가장" 사용자 권한을 부여하려면 이벤트 ID 128 — Windows NT 토큰 기반 애플리케이션 구성을 참조하세요.

참조

페더레이션된 사용자의 로그인 문제를 해결하는 방법에 대한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조하세요.

• 2530569 Microsoft 365, Intune 또는 Azure에서 Single Sign-On 설정 문제 해결
• 2712961 사용자가 Microsoft 365, Intune 또는 Azure에 로그인할 때 AD FS 엔드포인트 연결 문제를 해결하는 방법

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Microsoft Entra 포럼 웹 사이트로 이동합니다.