Internetbrowser kann die AD FS-Anmeldewebseite für Verbundbenutzer nicht anzeigen

  • Artikel
  • Gilt für::
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Wenn ein Verbundbenutzer versucht, sich bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune anzumelden, kann der Internetbrowser die Active Directory-Verbunddienste (AD FS)-Webseite (AD FS) nicht anzeigen. Darüber hinaus erhält der Benutzer möglicherweise eine Fehlermeldung. Wenn der Benutzer beispielsweise Internet Explorer verwendet, erhält der Benutzer möglicherweise die folgende Fehlermeldung:

Internet Explorer kann die Webseite nicht anzeigen.

Wenn dieser Fehler auftritt, ähnelt die Adresse, die im Webbrowser angezeigt wird, der folgenden Adresse:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Ursache

Dieses Problem kann auftreten, wenn der Benutzer keine Verbindung mit dem lokalen AD FS-Verbundserver oder dem Proxy des AD FS-Verbundservers mit Internetzugriff herstellen kann. Dies kann auftreten, wenn der AD FS-Verbunddienst nicht mehr ausgeführt wird oder wenn die IP-Konnektivität marginalisiert wird.

Lösung

Bevor Sie mit der Behebung dieses Problems beginnen, ermitteln Sie die AD FS-Endpunktadresse für den lokalen Verbundserver, und ermitteln Sie dann, auf welchem Server Probleme auftreten.

Ermitteln der AD FS-Endpunktadresse für den lokalen Verbundserver

Führen Sie dazu die folgenden Schritte auf einem mit der Domäne verbundenen Computer aus, auf dem das Azure Active Directory-Modul für Windows PowerShell installiert ist:

  1. Führen Sie das Azure Active Directory-Modul für Windows PowerShell als Administrator mit erhöhten Rechten aus. Klicken Sie hierzu mit der rechten Maustaste auf Windows Azure Active Directory-Modul für Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

  2. Geben Sie die folgenden Befehle ein. Drücken Sie die EINGABETASTE, nachdem Sie die einzelnen Befehle eingegeben haben:

    $cred = get-credential

    Hinweis

    Wenn Sie dazu aufgefordert werden, geben Sie Ihre anmeldeinformationen für den globalen Administrator ein.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Hinweis

    Der <AD FS-Serverplatzhalter> stellt den Computernamen Ihres primären AD FS-Servers dar.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Hinweis

    Der <Platzhalter Verbunddomäne> stellt den Domänennamen dar, der mit dem Clouddienst verbunden ist.

Untersuchen Sie in der Ausgabe die ActiveClientSignInUrl-Eigenschaft. Der Domänenteil der URL ist der Endpunkt, der in der weiter unten in diesem Artikel beschriebenen Auflösung verwendet werden kann.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

Ermitteln des Servers, auf dem Probleme auftreten

Bereich des Problems. Ermitteln Sie dazu den Server, auf dem Probleme auftreten. Wenn nur Internetclients Probleme haben, beheben Sie zuerst den AD FS-Verbundserverproxy. Wenn bei Den Unternehmensnetzwerkclients ebenfalls Probleme auftreten, führen Sie zunächst eine Problembehandlung für den AD FS-Verbundserver durch.

Nachdem Sie ermittelt haben, auf welchem Server Probleme auftreten, führen Sie die folgenden Schritte auf dem entsprechenden AD FS-Server aus:

Schritt 1: Stellen Sie sicher, dass der lokale AD FS-Verbundserver ausgeführt wird.

  1. Öffnen Sie auf dem AD FS-Verbundserver Systemsteuerung, klicken Sie auf Verwaltung, und klicken Sie dann auf Dienste.
  2. Suchen Sie nach dem AD FS-Windows-Dienstdienst.
  3. Stellen Sie sicher, dass der status des AD FS-Windows-Diensts Gestartet lautet. Wenn der Dienst beendet wird, klicken Sie mit der rechten Maustaste auf den Dienst, und klicken Sie dann auf Starten , um den Dienst zu starten.

Schritt 2: Stellen Sie sicher, dass der Webserver auf dem entsprechenden AD FS-Server ausgeführt wird.

  1. Öffnen Sie auf dem AD FS-Verbundserver oder auf dem AD FS-Verbundserverproxy Server-Manager, erweitern Sie Rollen, erweitern Sie Webserver (IIS), und wählen Sie dann Internetinformationsdienste aus.
  2. Erweitern Sie den Computernamen und dann Websites.
  3. Stellen Sie sicher, dass Standardwebsite auf Gestartet festgelegt ist. Wenn dies nicht der Fall ist, klicken Sie mit der rechten Maustaste auf Standardwebsite, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Start.
  4. Erweitern Sie Standardwebsite, und stellen Sie dann sicher, dass die virtuellen Verzeichnisse adfs und /adfs/ls vorhanden sind.

Schritt 3: Stellen Sie sicher, dass DNS über einen Hosteintrag für den AD FS-Endpunkt verfügt, der für den Client geeignet ist, bei dem Probleme auftreten.

Bei internen Clients sollte das interne DNS den AD FS-Endpunktnamen in eine interne IP-Adresse auflösen (z. B. sts.contoso.com A 192.168.1.104.). Bei Internetclients sollte der Endpunktname in eine öffentliche IP-Adresse aufgelöst werden. Dies kann mit dem folgenden Verfahren auf dem Client getestet werden. Wenn das lokale Netzwerk einen Proxyserver enthält, versuchen Sie, den AD FS-Endpunkt mithilfe von Internetoptionen in Internet Explorer hinzuzufügen.

  1. Klicken Sie auf Start und auf Ausführen, geben Sie „cmd“ ein, und klicken Sie dann auf OK.

  2. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, wobei der Platzhalter <STS.contoso.com> den AD FS-Endpunktnamen darstellt:

    NSlookup <STS.contoso.com>

  3. Wenn der Befehl zu einer falschen IP-Adresse führt, beheben Sie das Problem, indem Sie den A-Eintrag auf dem internen oder externen DNS-Server aktualisieren. Um sicherzustellen, dass DNS-Anforderungen für AD FS-Ressourcen von lokalen Computern in den AD FS-Verbunddienst anstelle des AD FS-Proxyservers aufgelöst werden, lesen Sie den folgenden Microsoft Knowledge Base-Artikel, um die DNS-Einstellungen für split-brain zu überprüfen und zu aktualisieren.

    2715326 Dns-Fehlkonfiguration von Split-Brain verhindert eine nahtlose SSO-Anmeldung

    Hinweis

    Aktualisierte DNS-Einstellungen mit Internetzugriff können bis zu 48 Stunden dauern, bis sie an alle Internet-DNS-Server weitergegeben werden.

Schritt 4: Versuchen Sie, den AD FS-Servernamen als Ausnahme in den Internetproxyeinstellungen in Internet Explorer auf dem Clientcomputer hinzuzufügen.

Wenn das lokale Netzwerk einen Proxy enthält und nur interne Clients Probleme mit dem AD FS-Zugriff haben, versuchen Sie, den AD FS-Servernamen als Ausnahme in den Internetproxyeinstellungen in Internet Explorer hinzuzufügen. Führen Sie dazu die folgenden Schritte auf dem Clientcomputer aus:

  1. Öffnen Sie Internet Explorer, und klicken Sie dann im Menü Extras auf Internetoptionen.
  2. Klicken Sie auf die Registerkarte Connections und dann auf LAN-Einstellungen.
  3. Aktivieren Sie unter Automatische Konfiguration die Kontrollkästchen, und aktivieren Sie dann unter Proxyserver das Kontrollkästchen Proxyserver für Ihr LAN verwenden.
  4. Fügen Sie unter Proxyserver die Proxyserveradresse und den vom Proxyserver verwendeten Port hinzu, und klicken Sie dann auf Erweitert.
  5. Fügen Sie unter Ausnahmen Ihren AD FS-Endpunkt hinzu (z. B. sts.contoso.com).

Weitere Informationen

Die Windows PowerShell Befehle in diesem Artikel erfordern das Azure Active Directory-Modul für Windows PowerShell.

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Entra Foren-Website.