Przeglądarka internetowa nie może wyświetlić strony internetowej logowania usług AD FS dla użytkowników federacyjnych

  • Artykuł
  • Dotyczy:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

Gdy użytkownik federacyjny próbuje zalogować się do usługi w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune, przeglądarka internetowa nie może wyświetlić strony internetowej logowania Active Directory Federation Services (AD FS). Ponadto użytkownik może otrzymać komunikat o błędzie. Jeśli na przykład użytkownik korzysta z programu Internet Explorer, może otrzymać następujący komunikat o błędzie:

Program Internet Explorer nie może wyświetlić strony internetowej.

W przypadku wystąpienia tego błędu adres wyświetlany w przeglądarce internetowej przypomina następujący adres:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Przyczyna

Ten problem może wystąpić, jeśli użytkownik nie może skontaktować się z lokalnym serwerem federacyjnym usług AD FS lub serwerem proxy federacyjnym usług AD FS dostępnym z Internetu. Może to wystąpić, gdy usługa federacyjna usług AD FS przestanie działać lub gdy łączność IP zostanie zmarginalizowana.

Rozwiązanie

Przed rozpoczęciem rozwiązywania tego problemu określ adres punktu końcowego usług AD FS dla lokalnego serwera federacyjnego, a następnie określ, który serwer ma problemy.

Określanie adresu punktu końcowego usług AD FS dla lokalnego serwera federacyjnego

W tym celu wykonaj następujące kroki na komputerze połączonym z domeną, na który zainstalowano moduł usługi Azure Active Directory dla Windows PowerShell:

  1. Uruchom moduł usługi Azure Active Directory dla Windows PowerShell jako administrator z podwyższonym poziomem uprawnień. W tym celu kliknij prawym przyciskiem myszy moduł usługi Windows Azure Active Directory dla Windows PowerShell, a następnie kliknij pozycję Uruchom jako administrator.

  2. Wpisz następujące polecenia. Naciśnij klawisz Enter po wpisaniu każdego polecenia:

    $cred = get-credential

    Uwaga

    Po wyświetleniu monitu wprowadź poświadczenia administratora globalnego.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Uwaga

    Symbol zastępczy <serwera> usług AD FS reprezentuje nazwę komputera podstawowego serwera usług AD FS.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Uwaga

    Symbol zastępczy <domeny> federacyjnej reprezentuje nazwę domeny federacyjnej z usługą w chmurze.

W danych wyjściowych sprawdź wartość ActiveClientSignInUrlproperty. Częścią domeny adresu URL jest punkt końcowy, którego można użyć w rozwiązaniu opisanym w dalszej części tego artykułu.

Uwaga

Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Określanie serwera, na którym występują problemy

Zakres problemu. W tym celu określ serwer, na którym występują problemy. Jeśli tylko klienci internetowi mają problemy, najpierw rozwiąż problemy z serwerem proxy serwera federacyjnego usług AD FS. Jeśli klienci sieci firmowej również mają problemy, najpierw rozwiąż problemy z serwerem federacyjnym usług AD FS.

Po określeniu, który serwer ma problemy, wykonaj następujące kroki na odpowiednim serwerze usług AD FS:

Krok 1. Upewnij się, że lokalny serwer federacyjny usług AD FS jest uruchomiony

  1. Na serwerze federacyjnym usług AD FS otwórz Panel sterowania, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Usługi.
  2. Poszukaj usługi systemu Windows usług AD FS.
  3. Upewnij się, że stan usługi systemu Windows usług AD FS to Uruchomiono. Jeśli usługa zostanie zatrzymana, kliknij prawym przyciskiem myszy usługę, a następnie kliknij przycisk Uruchom , aby uruchomić usługę.

Krok 2. Upewnij się, że serwer internetowy jest uruchomiony na odpowiednim serwerze usług AD FS

  1. Na serwerze federacyjnym usług AD FS lub na serwerze proxy federacyjnym usług AD FS otwórz Menedżer serwera, rozwiń węzeł Role, rozwiń węzeł Serwer sieci Web (IIS), a następnie wybierz pozycję Internet Information Services.
  2. Rozwiń nazwę komputera, a następnie rozwiń pozycję Lokacje.
  3. Upewnij się, że domyślna witryna sieci Web ma ustawioną wartość Uruchomiono. Jeśli tak nie jest, kliknij prawym przyciskiem myszy pozycję Domyślna witryna sieci Web, wskaż polecenie Wszystkie zadania, a następnie kliknij przycisk Start.
  4. Rozwiń węzeł Domyślna witryna sieci Web, a następnie upewnij się, że istnieją katalogi wirtualne adfs i /adfs/ls.

Krok 3. Upewnij się, że system DNS ma rekord hosta dla punktu końcowego usług AD FS, który jest odpowiedni dla klienta, który ma problemy

W przypadku klientów wewnętrznych wewnętrzny system DNS powinien rozpoznawać nazwę punktu końcowego usług AD FS jako wewnętrzny adres IP (na przykład sts.contoso.com A 192.168.1.104). W przypadku klientów internetowych nazwa punktu końcowego powinna być rozpoznawana jako publiczny adres IP. Można to przetestować na kliencie przy użyciu poniższej procedury. Jeśli sieć lokalna zawiera serwer proxy, spróbuj dodać punkt końcowy usług AD FS przy użyciu opcji internetowych w programie Internet Explorer.

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ciąg cmd, a następnie kliknij przycisk OK.

  2. W wierszu polecenia wpisz następujące polecenie, gdzie symbol zastępczy <STS.contoso.com> reprezentuje nazwę punktu końcowego usług AD FS:

    NSlookup <STS.contoso.com>

  3. Jeśli polecenie powoduje nieprawidłowy adres IP, rozwiąż problem, aktualizując rekord A na wewnętrznym lub zewnętrznym serwerze DNS. Aby upewnić się, że żądania DNS dotyczące zasobów usług AD FS z komputerów lokalnych są rozpoznawane jako usługi federacyjne usług AD FS zamiast serwera proxy usług AD FS, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base, aby sprawdzić i zaktualizować ustawienia DNS podzielonej mózgów.

    2715326 błędna konfiguracja DNS podzielonej mózgów uniemożliwia bezproblemowe logowanie jednokrotne

    Uwaga

    Zaktualizowane internetowe ustawienia DNS mogą potrwać nawet 48 godzin, zanim zostaną rozpropagowane na wszystkie internetowe serwery DNS.

Krok 4. Spróbuj dodać nazwę serwera usług AD FS jako wyjątek w ustawieniach internetowego serwera proxy w programie Internet Explorer na komputerze klienckim

Jeśli sieć lokalna zawiera serwer proxy i jeśli tylko klienci wewnętrzni mają problemy z dostępem do usług AD FS, spróbuj dodać nazwę serwera usług AD FS jako wyjątek w ustawieniach internetowego serwera proxy w programie Internet Explorer. W tym celu wykonaj następujące kroki na komputerze klienckim:

  1. Otwórz program Internet Explorer, a następnie kliknij pozycję Opcje internetowe w menu Narzędzia .
  2. Kliknij kartę Connections, a następnie kliknij pozycję Ustawienia sieci LAN.
  3. W obszarze Konfiguracja automatyczna kliknij, aby wyczyścić pola wyboru, a następnie kliknij, aby zaznaczyć pole wyboru Użyj serwera proxy dla sieci LAN w obszarze Serwer proxy.
  4. W obszarze Serwer proxy dodaj adres serwera proxy i port używany przez serwer proxy, a następnie kliknij pozycję Zaawansowane.
  5. W obszarze Wyjątki dodaj punkt końcowy usług AD FS (na przykład sts.contoso.com).

Więcej informacji

Polecenia Windows PowerShell w tym artykule wymagają modułu usługi Azure Active Directory dla Windows PowerShell.

Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.