Internetový prohlížeč nemůže zobrazit přihlašovací webovou stránku služby AD FS pro federované uživatele

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problém

Když se federovaný uživatel pokusí přihlásit ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Azure nebo Microsoft Intune, internetový prohlížeč nemůže zobrazit přihlašovací webovou stránku Active Directory Federation Services (AD FS) (AD FS). Kromě toho se uživateli může zobrazit chybová zpráva. Pokud například uživatel používá Internet Explorer, může se uživateli zobrazit následující chybová zpráva:

Internet Explorer nemůže zobrazit webovou stránku.

Když dojde k této chybě, adresa zobrazená ve webovém prohlížeči bude vypadat podobně jako následující adresa:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Příčina

K tomuto problému může dojít, pokud uživatel nemůže kontaktovat místní federační server služby AD FS nebo proxy federačního serveru AD FS s připojením k internetu. K tomu může dojít v případě, že se zastaví služba AD FS Federation Service nebo když je připojení PROTOKOLU IP na okraji sítě.

Řešení

Než začnete tento problém řešit, určete adresu koncového bodu služby AD FS pro místní federační server a pak zjistěte, na kterém serveru dochází k problémům.

Určení adresy koncového bodu služby AD FS pro místní federační server

Chcete-li to provést, postupujte podle těchto kroků na počítači připojeném k doméně, který má nainstalovaný modul Azure Active Directory pro Windows PowerShell:

  1. Spusťte modul Azure Active Directory pro Windows PowerShell jako správce se zvýšenými oprávněními. Uděláte to tak, že kliknete pravým tlačítkem na modul Windows Azure Active Directory pro Windows PowerShell a potom kliknete na Spustit jako správce.

  2. Zadejte následující příkazy. Po zadání každého příkazu stiskněte Klávesu Enter:

    $cred = get-credential

    Poznámka

    Po zobrazení výzvy zadejte přihlašovací údaje globálního správce.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Poznámka

    Zástupný <symbol serveru> SLUŽBY AD FS představuje název počítače vašeho primárního serveru AD FS.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Poznámka

    Zástupný <symbol federované domény> představuje název domény, která je federovaná s cloudovou službou.

Ve výstupu prozkoumejte activeclientSignInUrlproperty. Doménová část adresy URL je koncový bod, který se dá použít v řešení popsaném dále v tomto článku.

Poznámka

Moduly PowerShellu Azure AD a MSOnline jsou k 30. březnu 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.

Pokud chcete pracovat s Microsoft Entra ID (dříve Azure AD), doporučujeme migrovat na Microsoft Graph PowerShell. Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.

Určení serveru, u kterého dochází k problémům

Vymešte rozsah problému. Uděláte to tak, že určíte server, u kterého dochází k problémům. Pokud mají problémy jenom internetoví klienti, nejprve vyřešte potíže s proxy federačního serveru SLUŽBY AD FS. Pokud mají problémy také klienti podnikové sítě, vyřešte nejprve federační server služby AD FS.

Jakmile zjistíte, u kterého serveru dochází k problémům, postupujte na příslušném serveru SLUŽBY AD FS takto:

Krok 1: Ujistěte se, že je místní federační server služby AD FS spuštěný.

  1. Na federačním serveru služby AD FS otevřete Ovládací panely, klikněte na Nástroje pro správu a potom klikněte na Služby.
  2. Vyhledejte službu služby AD FS pro Windows.
  3. Ujistěte se, že je stav služby AD FS pro Windows Spuštěno. Pokud je služba zastavená, klikněte pravým tlačítkem na službu a potom kliknutím na Spustit službu spusťte.

Krok 2: Ujistěte se, že webový server běží na příslušném serveru SLUŽBY AD FS.

  1. Na federačním serveru služby AD FS nebo na proxy federačního serveru služby AD FS otevřete Správce serveru, rozbalte položku Role, rozbalte položku Webový server (IIS) a pak vyberte Internetová informační služba.
  2. Rozbalte název počítače a pak rozbalte Weby.
  3. Ujistěte se, že výchozí web je nastavený na Spuštěno. Pokud tomu tak není, klikněte pravým tlačítkem na Výchozí web, přejděte na Všechny úkoly a potom klikněte na Spustit.
  4. Rozbalte položku Výchozí web a ujistěte se, že virtuální adresáře adfs a /adfs/ls existují.

Krok 3: Ujistěte se, že DNS obsahuje záznam hostitele pro koncový bod služby AD FS, který je vhodný pro klienta, který má problémy.

U interních klientů by interní DNS měl přeložit název koncového bodu služby AD FS na interní IP adresu (například sts.contoso.com A 192.168.1.104.). U internetových klientů by se měl název koncového bodu přeložit na veřejnou IP adresu. To se dá otestovat na klientovi pomocí následujícího postupu. Pokud místní síť obsahuje proxy server, zkuste přidat koncový bod služby AD FS pomocí možností Internetu v Internet Exploreru.

  1. Klikněte na Start, klikněte na Spustit, zadejte cmd a poté klikněte na OK.

  2. Na příkazovém řádku zadejte následující příkaz, kde zástupný <symbol STS.contoso.com> představuje název koncového bodu služby AD FS:

    NSlookup <STS.contoso.com>

  3. Pokud výsledkem příkazu je nesprávná IP adresa, vyřešte problém aktualizací záznamu A na interním nebo externím serveru DNS. Pokud chcete zajistit, aby se požadavky DNS na prostředky služby AD FS z místních počítačů překlyšly do federační služby AD FS místo na proxy server služby AD FS, přečtěte si následující článek znalostní báze Microsoft Knowledge Base, kde najdete informace o kontrole a aktualizaci nastavení DNS s rozděleným mozkem.

    2715326 chybná konfigurace DNS s rozděleným mozkem brání bezproblémovému přihlašování

    Poznámka

    Aktualizované internetové nastavení DNS může trvat až 48 hodin, než se rozšíří na všechny internetové servery DNS.

Krok 4: Pokuste se přidat název serveru SLUŽBY AD FS jako výjimku v nastavení internetového proxy serveru v Internet Exploreru na klientském počítači

Pokud místní síť obsahuje proxy server a problémy s přístupem ke službě AD FS mají jenom interní klienti, zkuste v nastavení internetového proxy serveru v Internet Exploreru přidat název serveru AD FS jako výjimku. Chcete-li to provést, postupujte v klientském počítači takto:

  1. Otevřete Internet Explorer a v nabídce Nástroje klikněte na Možnosti Internetu.
  2. Klikněte na kartu Connections a potom klikněte na Nastavení sítě LAN.
  3. V části Automatická konfigurace zrušte zaškrtnutí políček a potom zaškrtněte políčko Použít proxy server pro síť LAN v části Proxy server.
  4. V části Proxy server přidejte adresu proxy serveru a port, který proxy server používá, a potom klikněte na Upřesnit.
  5. V části Výjimky přidejte koncový bod služby AD FS (například sts.contoso.com).

Další informace

Příkazy Windows PowerShell v tomto článku vyžadují modul Azure Active Directory pro Windows PowerShell.

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.