İnternet tarayıcısı, federasyon kullanıcıları için AD FS oturum açma web sayfasını görüntüleyemiyor

  • Makale
  • Şunlara uygulanır:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Sorun

Federasyon kullanıcısı Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açmaya çalıştığında, İnternet tarayıcısı Active Directory Federasyon Hizmetleri (AD FS) (AD FS) oturum açma web sayfasını görüntüleyemez. Ayrıca, kullanıcı bir hata iletisi alabilir. Örneğin, kullanıcı Internet Explorer kullanıyorsa, kullanıcı aşağıdaki hata iletisini alabilir:

Internet Explorer web sayfasını görüntüleyemez.

Bu hata oluştuğunda, web tarayıcısında görüntülenen adres aşağıdaki adrese benzer:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Neden

Bu sorun, kullanıcı şirket içi AD FS federasyon sunucusuna veya İnternet'e yönelik AD FS Federasyon sunucusu proxy'sine başvuramazsa oluşabilir. Ad FS Federasyon Hizmeti çalışmayı durdurduğunda veya IP bağlantısı marjinalleştirildiğinde bu durum oluşabilir.

Çözüm

Bu sorunu çözmeye başlamadan önce, şirket içi federasyon sunucusunun AD FS uç nokta adresini belirleyin ve ardından hangi sunucunun sorun yaşadığını belirleyin.

Şirket içi federasyon sunucusu için AD FS uç noktası adresini belirleme

Bunu yapmak için, Windows PowerShell için Azure Active Directory modülünün yüklü olduğu etki alanına bağlı bir bilgisayarda şu adımları izleyin:

  1. yükseltilmiş yönetici olarak Windows PowerShell için Azure Active Directory modülünü çalıştırın. Bunu yapmak için, Windows PowerShell için Windows Azure Active Directory modülüne sağ tıklayın ve ardından Yönetici olarak çalıştır'a tıklayın.

  2. Aşağıdaki komutları yazın. Her komutu yazdıktan sonra Enter tuşuna basın:

    $cred = get-credential

    Not

    İstendiğinde genel yönetici kimlik bilgilerinizi girin.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Not

    <AD FS Sunucusu> yer tutucusu, birincil AD FS sunucunuzun bilgisayar adını temsil eder.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Not

    <Federasyon Etki Alanı> yer tutucusu, bulut hizmetiyle birleştirilmiş etki alanı adını temsil eder.

Çıktıda ActiveClientSignInUrlproperty dosyasını inceleyin. URL'nin etki alanı bölümü, bu makalenin ilerleyen bölümlerinde açıklanan çözümlemede kullanılabilecek uç noktadır.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Sorun yaşayan sunucuyu belirleme

Sorunun kapsamını belirleyin. Bunu yapmak için sorun yaşayan sunucuyu belirleyin. Yalnızca İnternet istemcileri sorun yaşıyorsa, önce AD FS Federasyon sunucusu proxy'sini giderin. Kurumsal ağ istemcileri de sorun yaşıyorsa, önce AD FS federasyon sunucusunu giderin.

Hangi sunucunun sorun yaşadığını belirledikten sonra, uygun AD FS sunucusunda şu adımları izleyin:

1. Adım: Şirket içi AD FS federasyon sunucusunun çalıştığından emin olun

  1. AD FS federasyon sunucusunda Denetim Masası açın, Yönetim Araçları'na ve ardından Hizmetler'e tıklayın.
  2. AD FS Windows Hizmeti hizmetini arayın.
  3. AD FS Windows Hizmeti hizmetinin durumunun Başlatıldı olduğundan emin olun. Hizmet durdurulursa, hizmete sağ tıklayın ve ardından Hizmeti başlatmak için Başlat'a tıklayın.

2. Adım: Web sunucusunun uygun AD FS sunucusunda çalıştığından emin olun

  1. AD FS federasyon sunucusunda veya AD FS federasyon sunucusu proxy'sinde Sunucu Yöneticisi açın, Roller'i genişletin, Web Sunucusu'nu (IIS) genişletin ve ardından Internet Information Services'ı seçin.
  2. Bilgisayarınızın adını genişletin ve ardından Siteler'i genişletin.
  3. Varsayılan Web Sitesi'ninBaşlatıldı olarak ayarlandığından emin olun. Değilse, Varsayılan Web Sitesi'ne sağ tıklayın, Tüm Görevler'in üzerine gelin ve Başlat'a tıklayın.
  4. Varsayılan Web Sitesi'ni genişletin ve adfs ve /adfs/ls sanal dizinlerinin mevcut olduğundan emin olun.

3. Adım: DNS'nin AD FS uç noktası için sorun yaşayan istemciye uygun bir konak kaydı olduğundan emin olun

İç istemciler için, iç DNS AD FS uç noktası adını bir iç IP adresine (örneğin, A 192.168.1.104 sts.contoso.com) çözümlemelidir. İnternet istemcileri için uç nokta adı genel IP adresine çözümlenmelidir. Bu, aşağıdaki yordam kullanılarak istemcide test edilebilir. Şirket içi ağ bir ara sunucu içeriyorsa, Internet Explorer'da Internet Seçenekleri'ni kullanarak AD FS uç noktasını eklemeyi deneyin.

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, cmd yazın ve ardından Tamam'a tıklayın.

  2. Komut isteminde aşağıdaki komutu yazın; burada yer tutucu <STS.contoso.com> AD FS uç noktası adını temsil eder:

    NSlookup <STS.contoso.com>

  3. Komut yanlış bir IP adresiyle sonuçlanırsa, iç veya dış DNS sunucusundaki A kaydını güncelleştirerek sorunu çözün. Şirket içi bilgisayarlardan AD FS kaynaklarına yönelik DNS isteklerinin AD FS Proxy sunucusu yerine AD FS Federasyon hizmetine çözümlenmesi için bölünmüş beyin DNS ayarlarını denetlemek ve güncelleştirmek için aşağıdaki Microsoft Bilgi Bankası makalesine bakın.

    2715326 Bölünmüş beyin DNS yanlış yapılandırması sorunsuz SSO oturum açma deneyimini önler

    Not

    İnternet'e yönelik DNS ayarlarının güncelleştirilmiş olması, tüm İnternet DNS sunucularına yayılması 48 saat kadar sürebilir.

4. Adım: AD FS sunucu adını, istemci bilgisayardaki Internet Explorer'daki Internet proxy ayarlarına özel durum olarak eklemeyi deneyin

Şirket içi ağ bir ara sunucu içeriyorsa ve yalnızca iç istemciler AD FS erişimiyle ilgili sorun yaşıyorsa, AD FS sunucu adını Internet Explorer'daki Internet proxy ayarlarına özel durum olarak eklemeyi deneyin. Bunu yapmak için istemci bilgisayarda şu adımları izleyin:

  1. Internet Explorer'ı açın ve araçlar menüsündeİnternet Seçenekleri'ne tıklayın.
  2. Connections sekmesine ve ardından LAN Ayarları'na tıklayın.
  3. Otomatik yapılandırma'nın altında onay kutularını temizlemek için tıklayın ve ardından Ara sunucu altındaki LAN'ınız için ara sunucu kullan onay kutusunu tıklayarak seçin.
  4. Ara sunucu altında ara sunucu adresini ve ara sunucunun kullandığı bağlantı noktasını ekleyin ve Gelişmiş'e tıklayın.
  5. Özel Durumlar'ın altında AD FS uç noktanızı ekleyin (örneğin, sts.contoso.com).

Daha fazla bilgi

Bu makaledeki Windows PowerShell komutları, Windows PowerShell için Azure Active Directory modülünü gerektirir.

Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.