AD FS 2.0-Fehler: 401 Die angeforderte Ressource erfordert eine Benutzerauthentifizierung.

In diesem Artikel wird ein Problem behandelt, bei dem Sie zur Eingabe von Anmeldeinformationen aufgefordert werden und das Ereignis 111 protokolliert wird, wenn Sie ein Konto in Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 authentifizieren.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 3044976

Zusammenfassung

Die meisten Active Directory-Verbunddienste (AD FS) 2.0-Probleme gehören zu einer der folgenden Standard Kategorien. Dieser Artikel enthält schrittweise Anweisungen zur Behandlung von Authentifizierungsproblemen.

• Konnektivitätsprobleme (KB-3044971)
• Ad FS-Dienstprobleme (KB-3044973)
• Zertifikatprobleme (KB-3044974)
• Authentifizierungsprobleme (KB-3044976)
• Probleme mit Anspruchsregeln (KB-3044977)

Symptome

Wenn Sie versuchen, ein Konto in Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 zu authentifizieren, treten die folgenden Fehler auf:

• Der AD FS-Server gibt die folgende Fehlermeldung zurück:

  Not Authorized-HTTP-Fehler 401. Die angeforderte Ressource erfordert eine Benutzerauthentifizierung.

• Auf einem formularbasierten Anmeldebildschirm gibt der Server die folgende Fehlermeldung zurück:

  Der Benutzername oder das Kennwort ist falsch.

• Sie werden ständig zur Eingabe von Anmeldeinformationen aufgefordert.

• Ereignis 111 wird wie folgt im AD FS-Admin protokoll protokolliert:

  Protokollname: AD FS 2.0/Admin
  Ereignis-ID: 111
  Ebene: Fehler
  Schlüsselwörter: AD FS
  Beschreibung:
  Beim Verbunddienst ist bei der Verarbeitung der WS-Trust-Anforderung ein Fehler aufgetreten.
  Anforderungstyp: http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
  Ausnahmedetails:
  Microsoft.IdentityModel.SecurityTokenService.FailedAuthenticationException: MSIS3019: Fehler bei der Authentifizierung. >--- System.IdentityModel.Tokens.SecurityTokenValidationException: ID4063: LogonUser failed for the 'user1' user. Stellen Sie sicher, dass der Benutzer über ein gültiges Windows-Konto verfügt. >--- System.ComponentModel.Win32Exception: Anmeldefehler: Unbekannter Benutzername oder ungültiges Kennwort

Lösung

Führen Sie die folgenden Schritte in der angegebenen Reihenfolge aus, um dieses Problem zu beheben. Mithilfe dieser Schritte können Sie die Ursache des Problems ermitteln.

Schritt 1: Zuweisen des richtigen AD FS-Verbunddienstnamens

Stellen Sie sicher, dass das DNS über einen HOST (A)-Eintrag für den AD FS-Verbunddienstnamen verfügt, und vermeiden Sie die Verwendung eines CNAME-Eintrags. Weitere Informationen finden Sie unter Internet Explorer Verhalten mit Kerberos-Authentifizierung.

Schritt 2: Überprüfen der Registrierung des Verbunddienstnamens

Suchen Sie den Namen des Verbunddiensts, und überprüfen Sie, ob der Name unter dem AD FS-Dienstkonto registriert ist. Gehen Sie dazu wie folgt vor:

1. Suchen Sie den Namen des HOST-/<Verbunddiensts> :

   1. Öffnen Sie AD FS 2.0 Manager.

   2. Klicken Sie mit der rechten Maustaste auf AD FS 2.0, und wählen Sie verbunddiensteigenschaften bearbeiten aus.

   3. Suchen Sie auf der Registerkarte Allgemein das Feld Verbunddienstname, um den Namen anzuzeigen.

      

2. Überprüfen Sie, ob der Name des HOST-/<Verbunddiensts> unter dem AD FS-Dienstkonto registriert ist:

   1. Öffnen Sie das Verwaltungs-Snap-In. Klicken Sie dazu auf Start, auf Alle Programme, auf Verwaltung und dann auf Dienste.

   2. Doppelklicken Sie auf AD FS (2.0) Windows-Dienst.

   3. Notieren Sie sich auf der Registerkarte Anmelden das Dienstkonto, das im Feld Dieses Konto angezeigt wird.

      

   4. Klicken Sie nacheinander auf Start, Alle Programme und Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

   5. Führen Sie den folgenden Befehl aus:

      SETSPN -L domain\<ADFS Service Account>
      

      

Wenn der Verbunddienstname noch nicht vorhanden ist, führen Sie den folgenden Befehl aus, um den Dienstprinzipalnamen (SPN) zum AD FS-Konto hinzuzufügen:

SetSPN -a host/<Federation service name> <username of service account>

Schritt 3: Überprüfen auf doppelte SPNs

Stellen Sie sicher, dass für den AD FS-Kontonamen keine doppelten SPNs vorhanden sind. Gehen Sie dazu wie folgt vor:

1. Klicken Sie nacheinander auf Start, Alle Programme und Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

2. Führen Sie den folgenden Befehl aus, um sicherzustellen, dass keine doppelten SPNs für den AD FS-Kontonamen vorhanden sind:

   SETSPN -X -F
   

Schritt 4: Überprüfen, ob der Browser die integrierte Windows-Authentifizierung verwendet

Stellen Sie sicher, dass der internet-Explorer Browser, den Sie verwenden, für die Verwendung der integrierten Windows-Authentifizierung konfiguriert ist. Starten Sie hierzu Internet Explorer, klicken Sie auf Einstellungen, dann auf Internetoptionen, erweitert und dann auf IntegrierteWindows-Authentifizierung aktivieren.

Schritt 5: Überprüfen des Authentifizierungstyps

Stellen Sie sicher, dass der Standardauthentifizierungstyp auf dem AD FS-Server ordnungsgemäß konfiguriert ist. Gehen Sie dazu wie folgt vor:

1. Navigieren Sie in Windows Explorer zu C:\inetpub\adfs\ls (dies setzt voraus, dass sich inetpub auf Laufwerk C befindet).
2. Suchen Sie Web.config, und öffnen Sie die Datei im Editor.
3. Suchen Sie in der Datei nach localAuthenticationTypes> (STRG+F<).
4. Suchen Sie unter <localAuthenticationTypes die vier Zeilen, die die lokalen Authentifizierungstypen> darstellen.
5. Wählen Sie Ihren bevorzugten lokalen Authentifizierungstyp (die gesamte Zeile) aus, und löschen Sie sie. Fügen Sie dann die Zeile am Anfang der Liste ein (unter <localAuthenticationTypes>).
6. Speichern und schließen Sie die Datei Web.config.

Weitere Informationen zum lokalen Authentifizierungstyp finden Sie im folgenden TechNet-Thema:

AD FS 2.0: Ändern des lokalen Authentifizierungstyps

Schritt 6: Überprüfen der Authentifizierungseinstellungen

Stellen Sie sicher, dass die virtuellen AD FS-Verzeichnisse ordnungsgemäß für die Authentifizierung in Internetinformationsdienste (IIS) konfiguriert sind.

• Öffnen Sie im Knoten Standardwebsite/adfs die Einstellung Authentifizierung , und stellen Sie dann sicher, dass die anonyme Authentifizierung aktiviert ist.
• Öffnen Sie im Knoten Standardwebsite/adfs/ls die Einstellung Authentifizierung , und stellen Sie dann sicher, dass sowohl die anonyme als auch die Windows-Authentifizierung aktiviert sind.

Schritt 7: Überprüfen der Proxyvertrauenseinstellungen

Wenn Sie einen AD FS-Proxyserver konfiguriert haben, überprüfen Sie, ob die Proxyvertrauensstellung während der Verbindungsintervalle zwischen den AD FS- und AD FS-Proxyservern erneuert wird.

Der Proxyserver erneuert automatisch die Vertrauensstellung mit dem AD FS-Verbunddienst. Wenn dieser Prozess fehlschlägt, wird das Ereignis 394 Ereignisanzeige protokolliert, und Sie erhalten die folgende Fehlermeldung:

Der Verbundserverproxy konnte seine Vertrauensstellung beim Verbunddienst nicht erneuern.

Um dieses Problem zu beheben, versuchen Sie erneut, den AD FS-Proxykonfigurations-Assistenten auszuführen. Stellen Sie während der Ausführung des Assistenten sicher, dass gültige Domänenbenutzernamen und Kennwörter verwendet werden. Diese Anmeldeinformationen werden nicht auf dem AD FS-Proxyserver gespeichert. Bei der Eingabe von Anmeldeinformationen für den Proxyvertrauenskonfigurations-Assistenten haben Sie zwei Möglichkeiten.

• Verwenden Sie Domänenanmeldeinformationen, die über lokale Administratorrechte auf den AD FS-Servern verfügen.
• Verwenden der Anmeldeinformationen für das AD FS-Dienstkonto

Schritt 8: Überprüfen der erweiterten IIS-Schutzeinstellungen

Bestimmte Browser können sich nicht authentifizieren, wenn der erweiterte Schutz (d. h. die Windows-Authentifizierung) in IIS aktiviert ist, wie in Schritt 5 gezeigt. Versuchen Sie, die Windows-Authentifizierung zu deaktivieren, um festzustellen, ob das Problem dadurch behoben wird.

Der erweiterte Schutz lässt die Windows-Authentifizierung nicht zu, wenn der SSL-Proxy von Tools wie Fiddler oder einigen intelligenten Lastenausgleichsmodulen ausgeführt wird.

Beispiel: Möglicherweise werden wiederholte Authentifizierungsaufforderungen angezeigt, wenn Fiddler-Webdebugger auf dem Client ausgeführt wird.

Um den erweiterten Schutz für die Authentifizierung zu deaktivieren, befolgen Sie je nach Clienttyp die entsprechende Methode.

Für passive Clients

Verwenden Sie diese Methode für die virtuellen Anwendungen "Standardwebsite/adfs/ls" auf allen Servern in der AD FS-Verbundserverfarm. Gehen Sie dazu wie folgt vor:

1. Öffnen Sie den IIS-Manager, und suchen Sie dann die Ebene, die Sie verwalten möchten.

   Weitere Informationen zum Öffnen des IIS-Managers finden Sie unter Öffnen des IIS-Managers (IIS 7).

2. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.

3. Wählen Sie auf der Seite Authentifizierung die Option Windows-Authentifizierung aus.

4. Klicken Sie im Bereich Aktionen auf Erweiterte Einstellungen.

5. Wenn das Dialogfeld Erweiterte Einstellungen angezeigt wird, klicken Sie im Menü Erweiterter Schutz auf Aus.

Für aktive Clients

Verwenden Sie diese Methode für den primären AD FS-Server:

1. Starten Sie Windows PowerShell.

2. Führen Sie den folgenden Befehl aus, um die Windows PowerShell für das AD FS-Snap-In zu laden:

   Add-PsSnapIn Microsoft.Adfs.Powershell
   

3. Führen Sie den folgenden Befehl aus, um den erweiterten Schutz für die Authentifizierung zu deaktivieren:

   Set-ADFSProperties -ExtendedProtectionTokenCheck "None"
   

Schritt 9: Überprüfen des sicheren Kanals status zwischen AD FS-Server und DCs

Stellen Sie sicher, dass der sichere Kanal zwischen AD FS und den DCs gut ist. Führen Sie dazu den folgenden Befehl aus:

Nltest /dsgetdc:domainname

Wenn die Antwort etwas anderes als "Erfolg" lautet, müssen Sie probleme mit dem sicheren Netlogon-Kanal beheben. Stellen Sie hierzu sicher, dass die folgenden Bedingungen erfüllt sind:

• Der Domänencontroller (DC) ist erreichbar
• DC-Namen können aufgelöst werden
• Kennwörter auf dem Computer und dessen Konto am Active Directory-Standort sind synchron.

Schritt 10: Überprüfen auf Engpässe

Überprüfen Sie, ob authentifizierungsbezogene Engpässe gemäß der Einstellung MaxconcurrentAPI auf dem AD FS-Server oder auf den DCs auftreten. Weitere Informationen zum Überprüfen dieser Einstellung finden Sie im folgenden Knowledge Base-Artikel:

Durchführen der Leistungsoptimierung für die NTLM-Authentifizierung mithilfe der MaxConcurrentApi-Einstellung

Schritt 11: Überprüfen, ob auf dem AD FS-Proxyserver eine Überlastung auftritt

Überprüfen Sie, ob der AD FS-Proxyserver Verbindungen drosselt, da er viele Anforderungen oder verzögerte Antworten vom AD FS-Server empfangen hat. Weitere Informationen finden Sie im folgenden TechNet-Thema:

AD FS 2.x: Problembehandlung bei Proxyserverereignis-ID 230 (Algorithmus zur Vermeidung von Überlastungen)

In diesem Szenario können Sie zeitweilige Anmeldefehler für AD FS feststellen.

Schritt 12: Überprüfen der Proxyvertrauenseinstellungen

Wenn Sie einen AD FS-Proxyserver konfiguriert haben, überprüfen Sie, ob die Proxyvertrauensstellung während der Verbindungsintervalle zwischen den AD FS- und AD FS-Proxyservern erneuert wird.

Der Proxyserver erneuert automatisch die Vertrauensstellung mit dem AD FS-Verbunddienst. Wenn dieser Prozess fehlschlägt, wird das Ereignis 394 Ereignisanzeige protokolliert, und Sie erhalten die folgende Fehlermeldung:

Der Verbundserverproxy konnte seine Vertrauensstellung beim Verbunddienst nicht erneuern.

Um dieses Problem zu beheben, versuchen Sie erneut, den AD FS-Proxykonfigurations-Assistenten auszuführen. Stellen Sie während der Ausführung des Assistenten sicher, dass gültige Domänenbenutzernamen und Kennwörter verwendet werden. Diese Anmeldeinformationen werden nicht auf dem AD FS-Proxyserver gespeichert.

Schritt 13: Aktivieren der AD FS-Überwachung zusammen mit Überwachen von Anmeldeereignissen – Erfolg und Fehler

Weitere Informationen finden Sie unter Konfigurieren von AD FS-Servern für die Problembehandlung.