Feilmeldingen «Det oppstod et problem under tilgang til nettstedet» fra AD FS når en organisasjonsbasert bruker logger seg på Microsoft 365, Azure eller Intune

  • Artikkel
  • Gjelder for:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problem

Når en organisasjonsbasert bruker prøver å logge på en Microsoft-skytjeneste, for eksempel Microsoft 365, Microsoft Azure eller Microsoft Intune, får brukeren følgende feilmelding fra Active Directory Federation Services (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Når denne feilen oppstår, peker nettleserens adresselinje til det lokale AD FS-endepunktet på en adresse som ligner på følgende:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Årsak

Dette problemet kan oppstå av én av følgende årsaker:

  • Konfigurasjonen av enkel pålogging (SSO) gjennom AD FS ble ikke fullført.
  • Sertifikatet for AD FS-tokensignering er utløpt.
  • Krav om AD FS-klienttilgangspolicy er konfigurert på feil måte.
  • Den avhengige partens klarering med Microsoft Entra ID mangler eller er konfigurert feil.
  • Proxy-serveren for AD FS-forbund er feil konfigurert eller eksponert på feil måte.
  • AD FS IUSR-kontoen har ikke brukertillatelsen «Representer en klient etter godkjenning».

Løsning

Du kan løse dette problemet ved å bruke metoden som passer for din situasjon.

Scenario 1: Sertifikatet for AD FS-tokensignering er utløpt

Kontroller om tokensigneringssertifikatet er utløpt

Følg disse trinnene for å kontrollere om tokensigneringssertifikatet er utløpt:

  1. Klikk Start, klikk Alle programmer, klikk Administrative verktøy, og klikk deretter AD FS (2.0) Behandling.
  2. Klikk Tjeneste i AD FS-administrasjonskonsollen, klikk Sertifikater, og undersøk deretter gyldighets - og utløpsdatoene for AD FS-tokensigneringssertifikatet.

Hvis sertifikatet er utløpt, må det fornyes for å gjenopprette SSO-godkjenningsfunksjonalitet.

Forny tokensigneringssertifikatet (hvis det er utløpt)

Følg disse trinnene for å fornye tokensigneringssertifikatet på den primære AD FS-serveren ved hjelp av et selvsignert sertifikat:

  1. Klikk Tjeneste i samme AD FS-administrasjonskonsoll, klikk Sertifikater, og klikk deretter Legg til Token-Signing sertifikat under **Sertifiseringer **i Handlinger-ruten.
  2. Hvis en advarsel om at sertifikater ikke kan endres mens den automatiske rollover-funksjonen for AD FS er aktivert, vises, går du til trinn 3. Ellers kan du kontrollere gyldighets- og utløpsdatoene for sertifikatet. Hvis sertifikatet er fornyet, trenger du ikke å utføre trinn 3 og 4.
  3. Hvis sertifikatet ikke fornyes, klikker du Start, peker på Alle programmer, klikker Tilbehør, klikker mappen Windows PowerShell, høyreklikkerWindows PowerShell og klikker deretter Kjør som administrator.
  4. Skriv inn følgende kommandoer i ledeteksten Windows PowerShell. Trykk enter etter at du har skrevet inn hver kommando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Følg disse trinnene for å fornye tokensigneringssertifikatet på den primære AD FS-serveren ved hjelp av et sertifiseringsinstans (CA)-signert sertifikat:

  1. Opprett filen WebServerTemplate.inf. Dette gjør du slik:

    1. Start Notisblokk, og åpne et nytt, tomt dokument.

    2. Lim inn følgende i filen:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. Endre emne="CN=adfs.contoso.com" til følgende i filen:

      subject="CN=your-federation-service-name"

    4. Klikk Lagre somFil-menyen.

    5. Klikk Alle filer (.) i dialogboksen ** Lagre som ** i Filtype-boksen.

    6. Skriv inn WebServerTemplate.inf i Filnavn-boksen , og klikk deretter Lagre.

  2. Kopier WebServerTemplate.inf-filen til en av AD FS Federation-serverne.

  3. Åpne et administrativt ledetekstvindu på AD FS-serveren.

  4. Bruk cd(endre katalog)-kommandoen til å endre til katalogen der du kopierte INF-filen.

  5. Skriv inn følgende kommando, og trykk deretter på Enter:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Send utdatafilen, AdfsSSL.req, til sertifiseringsinstansen for signering.

  7. Sertifiseringsinstansen returnerer en signert fellesnøkkeldel i et .p7b- eller .cer-format. Kopier denne filen til AD FS-serveren der du genererte forespørselen.

  8. Åpne et administrativt ledetekstvindu på AD FS-serveren.

  9. Bruk cd(endre katalog)-kommandoen til å endre til katalogen der du kopierte P7B- eller .cer-filen.

  10. Skriv inn følgende kommando, og trykk deretter på Enter:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Fullfør gjenopprettingen av SSO-funksjonalitet

Uavhengig av om et selvsignert eller CA-signert sertifikat brukes, bør du fullføre gjenopprettingen av SSO-godkjenningsfunksjonalitet. Dette gjør du slik:

  1. Legg til lesetilgang i den private nøkkelen for AD FS-tjenestekontoen på den primære AD FS-serveren. Dette gjør du slik:
    1. Klikk Start, klikk Kjør, skriv inn mmc.exe, og trykk deretter ENTER.
    2. Klikk Legg til / fjern snapin-modulen på Fil-menyen.
    3. Dobbeltklikk sertifikater, velg Datamaskinkonto, og klikk deretter Neste.
    4. Velg Lokal datamaskin, klikk Fullfør, og klikk deretter OK.
    5. Utvid sertifikater (lokal datamaskin), utvid Personlig, og klikk deretter Sertifikater.
    6. Høyreklikk det nye tokensigneringssertifikatet, pek på Alle oppgaver, og klikk deretter Behandle private nøkler.
    7. Legg til lesetilgang i AD FS-tjenestekontoen, og klikk deretter OK.
    8. Avslutt snapin-modulen for sertifikater.
  2. Oppdater det nye sertifikatets avtrykk og datoen for den beroende partens klarering med Microsoft Entra ID. Hvis du vil gjøre dette, kan du se delen «Slik oppdaterer du konfigurasjonen av microsoft 365-forbundsdomenet» i Slik oppdaterer eller reparerer du innstillingene for et forbundsdomene i Microsoft 365, Azure eller Intune.
  3. Opprett AD FS-proxy-klareringskonfigurasjonen på nytt. Dette gjør du slik:
    1. Start Windows-tjenesten AD FS på nytt på den primære AD FS-serveren.
    2. Vent 10 minutter til sertifikatet replikeres til alle medlemmene av forbundsserverfarmen, og start deretter Windows-tjenesten AD FS på resten av AD FS-serverne på nytt.
    3. Kjør veiviseren for proxy-konfigurasjon på nytt på hver AD FS-proxyserver. Hvis du vil ha mer informasjon, kan du se Konfigurere en datamaskin for forbundsserverproxyrollen.

Scenario 2: Du har nylig oppdatert policyen for klienttilgang via krav, og nå fungerer ikke pålogging

Kontroller om policyen for klienttilgang ble brukt på riktig måte. Hvis du vil ha mer informasjon, kan du se Begrense tilgangen til Microsoft 365-tjenester basert på klientens plassering.

Scenario 3: Endepunktet for forbundsmetadata eller den beroende partklareringen kan være deaktivert

Aktiver endepunktet for forbundsmetadata og klarering fra den beroende parten med Microsoft Entra ID på den primære AD FS-serveren. Dette gjør du slik:

  1. Åpne administrasjonskonsollen for AD FS 2.0.
  2. Kontroller at endepunktet for forbundsmetadata er aktivert. Dette gjør du slik:
    1. Bla til AD FS (2.0), Service, Endpoints i venstre navigasjonsrute.
    2. Høyreklikk oppføringen /Federation Metadata/2007-06/FederationMetadata.xml i den midterste ruten, og klikk deretter for å velge Aktiver og aktiver ved proxy.
  3. Kontroller at tillit fra den beroende parten med Microsoft Entra ID er aktivert. Dette gjør du slik:
    1. Bla til AD FS (2.0) i venstre navigasjonsrute, og deretter Klarer relasjoner, og deretter Klarer partyklareringer.
    2. Hvis Microsoft Office 365 identitetsplattformen finnes, høyreklikker du denne oppføringen, og deretter klikker du Aktiver.
  4. Reparer klarering fra den beroende parten med Microsoft Entra ID ved å se delen «Oppdater klareringsegenskaper» i Bekreft og administrer enkel pålogging med AD FS.

Scenario 4: Klarering fra den beroende parten kan mangle eller være skadet

Fjern og legg til klarering fra den avhengige parten på nytt. Dette gjør du slik:

  1. Logg på kjerneserveren for AD FS.
  2. Klikk Start, pek på Alle programmer, klikk Administrative verktøy, og klikk deretter AD FS (2.0) Behandling.
  3. Utvid AD FS (2.0) i administrasjonskonsollen, utvid Klareringsrelasjoner, og utvid deretter Klareringer for Beroende part.
  4. Hvis Microsoft Office 365 identitetsplattformen finnes, høyreklikker du denne oppføringen og klikker deretter Slett.
  5. Legg til den avhengige partens klarering på nytt ved å se delen «Oppdater klareringsegenskaper» i Bekreft og administrer enkel pålogging med AD FS.

Scenario 5: AD FS-tjenestekontoen har ikke brukertillatelsen «Representer en klient etter godkjenning»

Hvis du vil gi brukertillatelsen Representer en klient etter godkjenning til AD FS IUSR-tjenestekontoen, kan du se Hendelses-ID 128 – Windows NT-tokenbasert programkonfigurasjon.

Referanser

Hvis du vil ha mer informasjon om hvordan du feilsøker påloggingsproblemer for brukere i forbund, kan du se følgende Microsoft Knowledge Base-artikler:

  • 2530569 Feilsøke problemer med konfigurasjon av enkel pålogging i Microsoft 365, Intune eller Azure
  • 2712961 Slik feilsøker du tilkoblingsproblemer med AD FS-endepunktet når brukere logger på Microsoft 365, Intune eller Azure

Trenger du fremdeles hjelp? Gå til Microsoft Community eller nettstedet Microsoft Entra Forums.