Nettleseren kan ikke vise påloggingsnettsiden for AD FS for brukere i forbund

  • Artikkel
  • Gjelder for:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Når en organisasjonsbasert bruker prøver å logge på en Microsoft-skytjeneste, for eksempel Microsoft 365, Microsoft Azure eller Microsoft Intune, kan ikke nettleseren vise påloggingsnettsiden for Active Directory Federation Services (AD FS). I tillegg kan brukeren få en feilmelding. Hvis brukeren for eksempel bruker Internet Explorer, kan brukeren få følgende feilmelding:

Internet Explorer kan ikke vise nettsiden.

Når denne feilen oppstår, ligner adressen som vises i nettleseren, følgende adresse:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Årsak

Dette problemet kan oppstå hvis brukeren ikke kan kontakte den lokale AD FS-forbundsserveren eller serverproxyen for AD FS-forbund på Internett. Dette kan skje når AD FS Federation Service slutter å kjøre eller når IP-tilkoblingen er marginalisert.

Løsning

Før du begynner å løse dette problemet, må du bestemme AD FS-endepunktadressen for den lokale forbundsserveren, og deretter finne ut hvilken server som har problemer.

Fastslå AD FS-endepunktadressen for den lokale forbundsserveren

Hvis du vil gjøre dette, følger du disse trinnene på en domenetilkoblet datamaskin som har Azure Active Directory-modul for Windows PowerShell installert:

  1. Kjør Azure Active Directory-modulen for Windows PowerShell som en opphøyd administrator. Dette gjør du ved å høyreklikke Windows Azure Active Directory-modulen for Windows PowerShell, og deretter klikke Kjør som administrator.

  2. Skriv inn følgende kommandoer. Trykk enter etter at du har skrevet inn hver kommando:

    $cred = get-credential

    Obs!

    Når du blir bedt om det, skriver du inn legitimasjonen for den globale administratoren.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Obs!

    Plassholderen <for AD FS Server> representerer datamaskinnavnet til den primære AD FS-serveren.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Obs!

    Samlede <domeneplassholdere> representerer domenenavnet som er i forbund med skytjenesten.

Undersøk ActiveClientSignInUrlproperty i utdataene. Domenedelen av nettadressen er endepunktet som kan brukes i oppløsningen som beskrives senere i denne artikkelen.

Obs!

Azure AD- og MSOnline PowerShell-moduler avvikles fra og med 30. mars 2024. Hvis du vil ha mer informasjon, kan du lese avskrivingsoppdateringen. Etter denne datoen er støtte for disse modulene begrenset til overføringshjelp til Microsoft Graph PowerShell SDK og sikkerhetsoppdateringer. De avskrevne modulene vil fortsette å fungere til og med 30. mars 2025.

Vi anbefaler at du overfører til Microsoft Graph PowerShell for å samhandle med Microsoft Entra ID (tidligere Azure AD). Se vanlige spørsmål om overføring for vanlige spørsmål om overføring. Merk: Versjoner 1.0.x av MSOnline kan oppleve forstyrrelser etter 30. juni 2024.

Fastslå serveren som har problemer

Omfang av problemet. Hvis du vil gjøre dette, må du finne ut hvilken server som har problemer. Hvis bare Internett-klienter har problemer, kan du først feilsøke serverproxyen for AD FS Federation. Hvis bedriftsnettverksklienter også har problemer, kan du først feilsøke AD FS-forbundsserveren.

Når du har funnet ut hvilken server som har problemer, følger du disse trinnene på riktig AD FS-server:

Trinn 1: Kontroller at den lokale AD FS-forbundsserveren kjører

  1. Åpne Kontrollpanel på AD FS-forbundsserveren, klikk Administrative verktøy, og klikk deretter Tjenester.
  2. Se etter Windows-tjenesten AD FS.
  3. Kontroller at statusen for AD FS Windows Service-tjenesten er startet. Hvis tjenesten stoppes, høyreklikker du tjenesten, og deretter klikker du Start for å starte tjenesten.

Trinn 2: Kontroller at webserveren kjører på riktig AD FS-server

  1. Åpne Serverbehandling på AD FS-forbundsserveren eller på AD FS-forbundsserverproxyen, utvid Roller, utvid Web Server (IIS), og velg deretter Internet Information Services.
  2. Utvid navnet på datamaskinen, og utvid deretter Områder.
  3. Kontroller at standard webområde er satt til Startet. Hvis det ikke er det, høyreklikker du standard webområde, peker på Alle oppgaver og klikker deretter Start.
  4. Utvid standard webområde, og kontroller deretter at adfene og /adfs/ls virtuelle mapper finnes.

Trinn 3: Kontroller at DNS har en vertspost for AD FS-endepunktet som passer for klienten som har problemer

For interne klienter bør intern DNS løse AD FS-endepunktnavnet til en intern IP-adresse (for eksempel sts.contoso.com A 192.168.1.104.). For Internett-klienter skal endepunktnavnet løses til en offentlig IP-adresse. Dette kan testes på klienten ved hjelp av følgende fremgangsmåte. Hvis det lokale nettverket inneholder en proxy-server, kan du prøve å legge til AD FS-endepunktet ved hjelp av Alternativer for Internett i Internet Explorer.

  1. Klikk Start, klikk Kjør, skriv inn cmd og klikk deretter OK.

  2. Skriv inn følgende kommando i ledeteksten, der plassholderen <STS.contoso.com> representerer navnet på AD FS-endepunktet:

    NSlookup <STS.contoso.com>

  3. Hvis kommandoen resulterer i feil IP-adresse, kan du løse problemet ved å oppdatere A-posten på enten den interne eller eksterne DNS-serveren. Hvis du vil sikre at DNS-forespørsler om AD FS-ressurser fra lokale datamaskiner løses til AD FS Federation-tjenesten i stedet for AD FS Proxy-serveren, kan du se følgende Microsoft Knowledge Base-artikkel for å kontrollere og oppdatere DNS-innstillingene for split-brain.

    2715326 DNS-feilkonfigurering i split-brain forhindrer sømløs SSO-påloggingsopplevelse

    Obs!

    Oppdaterte DNS-innstillinger som er vendt mot Internett, kan ta så lang tid som 48 timer å overføre til alle DNS-servere på Internett.

Trinn 4: Prøv å legge til AD FS-servernavnet som et unntak i Internett-proxy-innstillingene i Internet Explorer på klientdatamaskinen

Hvis det lokale nettverket inneholder en proxy, og hvis bare interne klienter har problemer med AD FS-tilgang, kan du prøve å legge til AD FS-servernavnet som et unntak i Innstillingene for Internett-proxy i Internet Explorer. Hvis du vil gjøre dette, følger du disse trinnene på klientdatamaskinen:

  1. Åpne Internet Explorer, og klikk deretter Alternativer for InternettVerktøy-menyen .
  2. Klikk fanen Connections, og klikk deretter LAN-innstillinger.
  3. Klikk for å fjerne merket i avmerkingsboksene under Automatisk konfigurasjon, og klikk deretter for å merke av for Bruk en proxy-server for lokalnettet under Proxy-server.
  4. Legg til proxy-serveradressen og porten som proxy-serveren bruker, under Proxy-server, og klikk deretter Avansert.
  5. Legg til AD FS-endepunktet under Unntak (for eksempel sts.contoso.com).

Mer informasjon

De Windows PowerShell kommandoene i denne artikkelen krever Azure Active Directory-modulen for Windows PowerShell.

Trenger du fremdeles hjelp? Gå til Microsoft Community eller nettstedet Microsoft Entra Forums.