Federasyon kullanıcısı Microsoft 365, Azure veya Intune oturum açtığında AD FS'den "Siteye erişilirken bir sorun oluştu" hatası

Sorun

Federasyon kullanıcısı Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açmaya çalıştığında, kullanıcı Active Directory Federasyon Hizmetleri (AD FS)'dan (AD FS) aşağıdaki hata iletisini alır:

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Bu hata oluştuğunda, web tarayıcısının adres çubuğu aşağıdakine benzer bir adreste şirket içi AD FS uç noktasını gösterir:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Neden

Bu sorun aşağıdaki nedenlerden biri nedeniyle oluşabilir:

• AD FS aracılığıyla çoklu oturum açma (SSO) kurulumu tamamlanmadı.
• AD FS belirteç imzalama sertifikasının süresi doldu.
• AD FS istemci erişim ilkesi talepleri yanlış ayarlanmıştır.
• Microsoft Entra ID ile bağlı olan taraf güveni eksik veya yanlış ayarlanmış.
• AD FS federasyon proxy sunucusu yanlış ayarlandı veya yanlış kullanıma sunuldu.
• AD FS IUSR hesabının "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı izni yoktur.

Çözüm

Bu sorunu çözmek için, durumunuz için uygun yöntemi kullanın.

Senaryo 1: AD FS belirteç imzalama sertifikasının süresi doldu

Belirteç imzalama sertifikasının süresinin dolup dolmadığını denetleyin

Belirteç imzalama sertifikasının süresinin dolup dolmadığını denetlemek için şu adımları izleyin:

1. Başlat'a, Tüm Programlar'a, Yönetimsel Araçlar'a ve ardından AD FS (2.0) Yönetimi'ne tıklayın.
2. AD FS yönetim konsolunda Hizmet'e tıklayın, Sertifikalar'a tıklayın ve ardından AD FS belirteç imzalama sertifikasının Geçerlilik ve Süre Sonu tarihlerini inceleyin.

Sertifikanın süresi dolduysa, SSO kimlik doğrulama işlevselliğini geri yüklemek için sertifikanın yenilenmesi gerekir.

Belirteç imzalama sertifikasını yenileme (süresi dolduysa)

Birincil AD FS sunucusundaki belirteç imzalama sertifikasını otomatik olarak imzalanan bir sertifika kullanarak yenilemek için şu adımları izleyin:

1. Aynı AD FS yönetim konsolunda Hizmet'e tıklayın, Sertifikalar'a tıklayın ve ardından Eylemler bölmesindeki **Sertifikalar **'ın altında sertifika ekle'ye Token-Signing.
2. "AD FS otomatik sertifika geçişi özelliği etkinken sertifikalar değiştirilemez" uyarısı görüntülenirse, 3. adıma gidin. Aksi takdirde sertifika geçerlilik ve son kullanma tarihlerini denetleyin. Sertifika başarıyla yenilenirse, 3. ve 4. adımları uygulamanız gerekmez.
3. Sertifika yenilenmediyse Başlat'a tıklayın, Tüm Programlar'ın üzerine gelin, Donatılar'a tıklayın, Windows PowerShell klasörüne tıklayın, Windows PowerShell sağ tıklayın ve ardından Yönetici olarak çalıştır'a tıklayın.
4. Windows PowerShell komut istemine aşağıdaki komutları girin. Her komutu girdikten sonra Enter tuşuna basın:
   • Microsoft.Adfs.Powershell Add-PSSnapin
   • Update-ADFSCertificate -CertificateType: Token-Signing

Birincil AD FS sunucusundaki belirteç imzalama sertifikasını sertifika yetkilisi (CA) imzalı bir sertifika kullanarak yenilemek için şu adımları izleyin:

1. WebServerTemplate.inf dosyasını oluşturun. Bunu yapmak için şu adımları uygulayın:

   1. Not Defteri'ni başlatın ve yeni, boş bir belge açın.

   2. Aşağıdakini dosyaya yapıştırın:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      

   3. dosyasında subject="CN=adfs.contoso.com" öğesini aşağıdakiyle değiştirin:

      subject="CN=your-federation-service-name"

   4. Dosya menüsünde, Farklı Kaydet'i tıklatın.

   5. ** Farklı Kaydet iletişim kutusunda Tüm Dosyalar (.) ** kayıt türü kutusunda.

   6. Dosya adı kutusuna WebServerTemplate.inf yazın ve Kaydet'e tıklayın.

2. WebServerTemplate.inf dosyasını AD FS Federasyon sunucularınızdan birine kopyalayın.

3. AD FS sunucusunda, bir Yönetim Komut İstemi penceresi açın.

4. .inf dosyasını kopyaladığınız dizine geçmek için cd(dizini değiştir) komutunu kullanın.

5. Aşağıdaki komutu yazın ve Enter tuşuna basın:

   CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

6. AdfsSSL.req çıkış dosyasını imzalamak üzere CA'nıza gönderin.

7. CA, .p7b veya .cer biçiminde imzalı bir ortak anahtar bölümü döndürür. Bu dosyayı isteği oluşturduğunuz AD FS sunucunuza kopyalayın.

8. AD FS sunucusunda, bir Yönetim Komut İstemi penceresi açın.

9. .p7b veya .cer dosyasını kopyaladığınız dizine geçmek için cd(dizini değiştir) komutunu kullanın.

10. Aşağıdaki komutu yazın ve Enter tuşuna basın:

    CertReq.exe -"CA'nızdan dosya-p7b-or-cer" kabul etme

SSO işlevselliğini geri yüklemeyi tamamlayın

Otomatik olarak imzalanan veya CA ile imzalanan bir sertifika kullanılıp kullanılmadığına bakılmaksızın, SSO kimlik doğrulama işlevselliğini geri yüklemeyi tamamlamanız gerekir. Bunu yapmak için şu adımları uygulayın:

1. Birincil AD FS sunucusundaki AD FS hizmet hesabının özel anahtarına Okuma erişimi ekleyin. Bunu yapmak için şu adımları uygulayın:
   1. Başlat'a tıklayın, Çalıştır'a tıklayın, mmc.exe yazın ve Enter tuşuna basın.
   2. Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın.
   3. Sertifikalar'a çift tıklayın, Bilgisayar hesabı'yı seçin ve İleri'ye tıklayın.
   4. Yerel bilgisayar'ı seçin, Son'a ve ardından Tamam'a tıklayın.
   5. Sertifikalar 'ı (Yerel Bilgisayar) genişletin, Kişisel'i genişletin ve ardından Sertifikalar'a tıklayın.
   6. Yeni belirteç imzalama sertifikasına sağ tıklayın, Tüm Görevler'in üzerine gelin ve özel anahtarları yönet'e tıklayın.
   7. AD FS hizmet hesabına Okuma erişimi ekleyin ve ardından Tamam'a tıklayın.
   8. Sertifikalar ek bileşeninden çıkın.
2. Yeni sertifikanın parmak izini ve bağlı olan taraf güveninin tarihini Microsoft Entra ID ile güncelleştirin. Bunu yapmak için Microsoft 365, Azure veya Intune federasyon etki alanının ayarlarını güncelleştirme veya onarma bölümündeki "Microsoft 365 federasyon etki alanının yapılandırmasını güncelleştirme" bölümüne bakın.
3. AD FS proxy güven yapılandırmasını yeniden oluşturun. Bunu yapmak için şu adımları uygulayın:
   1. Birincil AD FS sunucusunda AD FS Windows Hizmetini yeniden başlatın.
   2. Sertifikanın federasyon sunucusu grubunun tüm üyelerine çoğaltılması için 10 dakika bekleyin ve ardından AD FS sunucularının geri kalanında AD FS Windows Hizmeti'ni yeniden başlatın.
   3. Her AD FS proxy sunucusunda Ara Sunucu Yapılandırma Sihirbazı'nı yeniden çalıştırın. Daha fazla bilgi için bkz . Federasyon sunucusu proxy rolü için bilgisayar yapılandırma.

Senaryo 2: kısa süre önce istemci erişim ilkesini talepler aracılığıyla güncelleştirmişsiniz ve şimdi oturum açma çalışmıyor

İstemci erişim ilkesinin doğru uygulanıp uygulanmadığını denetleyin. Daha fazla bilgi için bkz. İstemcinin konumuna göre Microsoft 365 hizmetlerine erişimi sınırlama.

Senaryo 3: Federasyon meta veri uç noktası veya bağlı olan taraf güveni devre dışı bırakılmış olabilir

Birincil AD FS sunucusunda Microsoft Entra ID ile federasyon meta veri uç noktasını ve bağlı olan taraf güvenini etkinleştirin. Bunu yapmak için şu adımları uygulayın:

1. AD FS 2.0 Yönetim Konsolu'nu açın.
2. Federasyon meta veri uç noktasının etkinleştirildiğinden emin olun. Bunu yapmak için şu adımları uygulayın:
   1. Sol gezinti bölmesinde AD FS (2.0), Hizmet, Uç Noktalar'a gidin.
   2. Orta bölmede , /Federation Metadata/2007-06/FederationMetadata.xml girdisine sağ tıklayın ve ardından Etkinleştir ve Ara Sunucuda Etkinleştir'i seçmek için tıklayın.
3. Microsoft Entra ID ile bağlı olan taraf güveninin etkinleştirildiğinden emin olun. Bunu yapmak için şu adımları uygulayın:
   1. Sol gezinti bölmesinde AD FS (2.0)'a, güven ilişkilerine ve ardından Bağlı Olan Taraf Güvenleri'ne gidin.
   2. Microsoft Office 365 Kimlik Platformu varsa, bu girdiye sağ tıklayın ve ardından Etkinleştir'e tıklayın.
4. AD FS ile çoklu oturum açmayı doğrulama ve yönetme bölümünün "Güven özelliklerini güncelleştirme" bölümüne bakarak bağlı olan taraf güvenini Microsoft Entra ID ile onarın.

Senaryo 4: Bağlı olan taraf güveni eksik veya bozulmuş olabilir

Bağlı olan taraf güvenini kaldırın ve yeniden ekleyin. Bunu yapmak için şu adımları uygulayın:

1. Çekirdek AD FS sunucusunda oturum açın.
2. Başlat'a tıklayın, Tüm Programlar'ın üzerine gelin, Yönetim Araçları'na tıklayın ve ardından AD FS (2.0) Yönetimi'ne tıklayın.
3. Yönetim konsolunda AD FS (2.0) öğesini genişletin, Güven İlişkileri'ni genişletin ve ardından Bağlı Olan Taraf Güvenleri'ni genişletin.
4. Microsoft Office 365 Kimlik Platformu varsa, bu girdiye sağ tıklayın ve ardından Sil'e tıklayın.
5. AD FS ile çoklu oturum açmayı doğrulama ve yönetme bölümünün "Güven özelliklerini güncelleştirme" bölümüne bakarak bağlı olan taraf güvenini yeniden ekleyin.

Senaryo 5: AD FS hizmet hesabının "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı izni yok

AD FS IUSR hizmet hesabına "Kimlik doğrulamasından sonra istemcinin kimliğine bürün" kullanıcı izni vermek için bkz. Olay Kimliği 128 — belirteç tabanlı uygulama yapılandırması Windows NT.

Başvurular

Federasyon kullanıcıları için oturum açma sorunlarını giderme hakkında daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalelerine bakın:

• 2530569 Microsoft 365, Intune veya Azure'da çoklu oturum açma kurulumu sorunlarını giderme
• 2712961 Kullanıcılar Microsoft 365, Intune veya Azure'da oturum açarken AD FS uç noktası bağlantı sorunlarını giderme

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.