인터넷 브라우저에서 페더레이션된 사용자의 AD FS 로그인 웹 페이지를 표시할 수 없음

문제

페더레이션된 사용자가 Microsoft 365, Microsoft Azure 또는 Microsoft Intune 같은 Microsoft 클라우드 서비스에 로그인하려고 하면 인터넷 브라우저에서 Active Directory Federation Services(AD FS) 로그인 웹 페이지를 표시할 수 없습니다. 또한 사용자에게 오류 메시지가 표시될 수 있습니다. 예를 들어 사용자가 인터넷 Explorer 사용하는 경우 사용자에게 다음 오류 메시지가 표시될 수 있습니다.

인터넷 Explorer 웹 페이지를 표시할 수 없습니다.

이 오류가 발생하면 웹 브라우저에 표시되는 주소는 다음 주소와 유사합니다.

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

원인

이 문제는 사용자가 온-프레미스 AD FS 페더레이션 서버 또는 인터넷 연결 AD FS 페더레이션 서버 프록시에 연결할 수 없는 경우에 발생할 수 있습니다. 이 문제는 AD FS 페더레이션 서비스 실행이 중지되거나 IP 연결이 미미한 경우에 발생할 수 있습니다.

해결 방법

이 문제를 resolve 전에 온-프레미스 페더레이션 서버의 AD FS 엔드포인트 주소를 확인한 다음 문제가 있는 서버를 확인합니다.

온-프레미스 페더레이션 서버의 AD FS 엔드포인트 주소 확인

이렇게 하려면 Windows PowerShell 대한 Azure Active Directory 모듈이 설치된 도메인 연결 컴퓨터에서 다음 단계를 수행합니다.

1. 관리자 권한으로 Windows PowerShell Azure Active Directory 모듈을 실행합니다. 이렇게 하려면 Windows PowerShell Windows Azure Active Directory 모듈을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.

2. 다음 명령을 입력합니다. 각 명령을 입력한 후 Enter 키를 누릅니다.

   $cred = get-credential
   

   참고

   메시지가 표시되면 전역 관리자 자격 증명을 입력합니다.

   Connect-MsolService –credential $credS  
   

   Set-MsolADFSContext -Computer <AD FS Server>
   

   참고

   <AD FS 서버> 자리 표시자는 기본 AD FS 서버의 컴퓨터 이름을 나타냅니다.

   Get-MSOLFederationProperty –DomainName <Federated Domain> | FL
   

   참고

   <페더레이션된 도메인> 자리 표시자는 클라우드 서비스와 페더레이션된 도메인 이름을 나타냅니다.

출력에서 ActiveClientSignInUrlproperty를 검사합니다. URL의 도메인 부분은 이 문서의 뒷부분에 설명된 해상도에서 사용할 수 있는 엔드포인트입니다.

문제가 있는 서버 확인

문제의 범위를 지정합니다. 이렇게 하려면 문제가 있는 서버를 확인합니다. 인터넷 클라이언트에만 문제가 있는 경우 먼저 AD FS 페더레이션 서버 프록시 문제를 해결합니다. 회사 네트워크 클라이언트에도 문제가 있는 경우 먼저 AD FS 페더레이션 서버 문제를 해결합니다.

어떤 서버에 문제가 있는지 확인한 후 적절한 AD FS 서버에서 다음 단계를 수행합니다.

1단계: 온-프레미스 AD FS 페더레이션 서버가 실행 중인지 확인

1. AD FS 페더레이션 서버에서 제어판 열고 관리 도구를 클릭한 다음 서비스를 클릭합니다.
2. AD FS Windows 서비스 서비스를 찾습니다.
3. AD FS Windows 서비스 서비스의 상태 시작되었는지 확인합니다. 서비스가 중지된 경우 서비스를 마우스 오른쪽 단추로 클릭한 다음 시작을 클릭하여 서비스를 시작합니다.

2단계: 웹 서버가 적절한 AD FS 서버에서 실행되고 있는지 확인합니다.

1. AD FS 페더레이션 서버 또는 AD FS 페더레이션 서버 프록시에서 서버 관리자 열고 역할을 확장하고 웹 서버(IIS)를 확장한 다음 인터넷 정보 서비스를 선택합니다.
2. 컴퓨터 이름을 확장한 다음 사이트를 확장 합니다.
3. 기본 웹 사이트가시작됨으로 설정되어 있는지 확인합니다. 그렇지 않은 경우 기본 웹 사이트를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 시작을 클릭합니다.
4. 기본 웹 사이트를 확장한 다음 adfs 및 /adfs/ls 가상 디렉터리에 있는지 확인합니다.

3단계: 문제가 있는 클라이언트에 적합한 AD FS 엔드포인트에 대한 호스트 레코드가 DNS에 있는지 확인합니다.

내부 클라이언트의 경우 내부 DNS는 AD FS 엔드포인트 이름을 내부 IP 주소(예: A 192.168.1.104 sts.contoso.com)로 resolve 합니다. 인터넷 클라이언트의 경우 엔드포인트 이름이 공용 IP 주소로 resolve 합니다. 이 테스트는 다음 절차를 사용하여 클라이언트에서 테스트할 수 있습니다. 온-프레미스 네트워크에 프록시 서버가 포함된 경우 인터넷 Explorer 인터넷 옵션을 사용하여 AD FS 엔드포인트를 추가해 보세요.

1. 시작, 실행을 차례로 클릭하고 cmd를 입력한 다음 확인을 클릭합니다.

2. 명령 프롬프트에서 다음 명령을 입력합니다. 여기서 자리 표시자 <STS.contoso.com> AD FS 엔드포인트 이름을 나타냅니다.

   NSlookup <STS.contoso.com>
   

3. 명령으로 인해 잘못된 IP 주소가 발생하는 경우 내부 또는 외부 DNS 서버에서 A 레코드를 업데이트하여 문제를 resolve. 온-프레미스 컴퓨터에서 AD FS 프록시 서버 대신 AD FS 페더레이션 서비스로 resolve AD FS 리소스에 대한 DNS 요청이 있는지 확인하려면 다음 Microsoft 기술 자료 문서를 참조하여 분할 브레인 DNS 설정을 검사 업데이트합니다.

   2715326 분할 브레인 DNS 잘못된 구성은 원활한 SSO 로그인 환경을 방지합니다.

   참고

   업데이트된 인터넷 연결 DNS 설정은 모든 인터넷 DNS 서버에 전파하는 데 48시간이 걸릴 수 있습니다.

4단계: 클라이언트 컴퓨터의 인터넷 Explorer 인터넷 프록시 설정에서 AD FS 서버 이름을 예외로 추가합니다.

온-프레미스 네트워크에 프록시가 포함되어 있고 내부 클라이언트만 AD FS 액세스에 문제가 있는 경우 인터넷 Explorer 인터넷 프록시 설정에서 AD FS 서버 이름을 예외로 추가해 보세요. 이렇게 하려면 클라이언트 컴퓨터에서 다음 단계를 수행합니다.

1. 인터넷 Explorer 연 다음 도구 메뉴에서 인터넷 옵션을 클릭합니다.
2. Connections 탭을 클릭한 다음 LAN 설정을 클릭합니다.
3. 자동 구성에서 를 클릭하여 검사 상자를 지우고 프록시 서버에서 LAN 검사 프록시 서버 사용 상자를 클릭하여 선택합니다.
4. 프록시 서버에서 프록시 서버 주소와 프록시 서버에서 사용하는 포트를 추가한 다음 고급을 클릭합니다.
5. 예외에서 AD FS 엔드포인트(예: sts.contoso.com)를 추가합니다.

추가 정보

이 문서의 Windows PowerShell 명령에는 Windows PowerShell Azure Active Directory 모듈이 필요합니다.

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Microsoft Entra 포럼 웹 사이트로 이동합니다.