Ad FS 2.0 のエラー: このページを表示できません

適用対象: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

概要


ほとんど Active Directory フェデレーション サービス (AD FS) 2.0 の問題は、次の主要なカテゴリのいずれかに所属します。この資料には、接続に関する問題をトラブルシューティングするための手順が含まれています。

現象


現象 1

Active Directory フェデレーション サービス (AD FS) を使用する web サイト上の web アプリケーションにアクセスしようとすると 2.0 では、次のエラー メッセージが表示されます。

このページを表示できません。


Symptom 2

次 IDP によるサインオンのページおよび AD FS のメタデータにアクセスすることはできません。

https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

解決策


この問題を解決するには、所定の順序で次の手順に従います。問題の原因を特定するには、次の手順が役立ちます。各手順の実行後、問題が解決するかどうかを確認することを確認します。

ステップ 1: 適切な AD FS の URL にクライアントをリダイレクトするかどうかを確認します。

チェックする方法

  1. Internet Explorer を起動します。
  2. 開発者ツール ウィンドウを開くに f12 キーを押します。
  3. [ネットワーク] タブで、[スタート] ボタンをクリックします (The screenshot of the start button ) かのキャプチャを開始するネットワーク トラフィックのキャプチャを有効にするキーを押します。
  4. Web アプリケーションの URL を参照します。
  5. AD FS サービス認証用の URL にクライアントをリダイレクトすることを確認するのには、ネットワーク トレースを確認します。AD FS サービスの URL が正しいことを確認します。
次のスクリーン ショットで、最初の URL は、web アプリケーションと、2 番目の URL は、AD FS サービスのことを確認します。

The screenshot for IE Developer tool

修正する方法

無効なアドレスにリダイレクトした場合 web アプリケーションで AD FS フェデレーションの設定が正しくない可能性があります。AD FS フェデレーション サービス (SAML サービス プロバイダー) の URL が正しいかどうかを確認するのにはこれらの設定を確認してください。

手順 2: AD FS サービス名を正しい IP アドレスに解決できるかどうかを確認します。

チェックする方法

クライアント コンピューターおよび (これがある) 場合に、AD FS プロキシ サーバーでは、AD FS サービス名が正しい IP アドレスに解決されているかどうかを判断するのには、 pingまたはnslookupコマンドを使用します。次のガイドラインを使用します。
  • イントラネット:内部の AD FS サーバーの ip アドレスに解決される必要があります名前または負荷の分散 (内部) の AD FS サーバーの ip アドレスです。
  • 外部:名前は、AD FS サービスの外部またはパブリック ip アドレスに解決する必要があります。このような場合は、パブリック DNS を使用して、名前を解決します。AD FS サービス名が同じの別のコンピューターから別のパブリック ip アドレスが返されることを確認する場合パブリック DNS 内の最近の変更がまだ反映されませんサーバー間でパブリック DNS 世界中。このような変更は、レプリケートするのには最大で 24 時間を必要があります。
重要 すべての AD FS サーバーの AD FS サーバーの内部 ip アドレスまたは内部の AD FS サーバーの負荷分散された IP に、AD FS プロキシ サーバーが AD FS のサービスの名前を解決できることを確認します。これを行う最善の方法は、AD FS プロキシ サーバーのホスト ファイルにエントリを追加するのにはネットワークの境界に分割 DNS 構成を使用する ("DMZ"とも呼ばれる「非武装ゾーン」と「スクリーンド サブネット」)。

Nslookup コマンドの例:

Nslookup sts.contoso.com 

The screenshot for nslookup command

修正する方法

レコードの DNS サーバーまたは ISP のプロバイダーを使用して AD FS サービス名を確認してください。IP アドレスが正しいことを確認します。

手順 3: AD FS サーバー上の TCP ポート 443 にアクセスできるかどうかを確認します。

チェックする方法

Telnet またはPortQryUIを使用して、AD FS サーバーのポート 443 の接続のクエリを実行します。443 ポートがリッスン状態であることを確認します。

The screenshot for Port query result

修正する方法

AD FS サーバーがポートが 443 でリッスンしていない場合は、これらの手順に従います。
  1. AD FS 2.0 Windows サービスがあるかどうかを確認を開始します。
  2. 433 の TCP ポートが接続可能であるかどうかを確認するのには、AD FS サーバー上の Windows ファイアウォールの設定を確認してください。
  3. AD FS サービスより、ロード バランサーを使用する場合は、負荷分散の問題の原因ではないことを確認するプロセスをバイパスしてみてください。(負荷分散は一般的な原因) です。

手順 4: ADFS を認証するために、IdP によるサインオン ページを使用するにはかどうかを確認します。

チェックする方法

Internet Explorer を起動し、次の web アドレスを参照します。このページを開こうとするときに、証明書の警告が表示される場合は [続行] をクリックします。

http://<YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx
注: この URL では、 < YourADFSServiceName >は、実際の AD FS サービス名を表します。

通常、サインインの画面にアクセスして、ユーザーの資格情報を使用してサインインするし。

The screenshot of ADFS sign-on page

修正する方法

正常に手順 3 から手順 1 を実行することができますが、web アプリケーションにアクセスできない場合、以下の手順を実行します。
  1. テストを実行するのにには、別のクライアント コンピューターとブラウザーを使用します。クライアントに影響する問題があります。
  2. 次の高度なトラブルシューティングの手順を実行します。
    1. 収集の Fiddler Web デバッガーのトレース、ネットワークは、IDPInitiatedsignon ページにアクセスするときに情報をキャプチャします。詳細については、Technet の次のトピックを参照してください。
    2. SSL ハンドシェイクが正常に完了したかどうかを確認して、正しい IP アドレスにアクセスしているし、いうようにするかどうか、暗号化されたメッセージが表示されるかどうかをクライアント コンピューターからネットワーク トレースを収集します。詳細については、次のマイクロソフトの資料を参照してください。
サードパーティの情報に関する免責事項
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示または黙示にかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。