Błąd "Wystąpił problem z dostępem do witryny" z usług AD FS, gdy użytkownik federacyjny loguje się do platformy Microsoft 365, platformy Azure lub Intune

  • Artykuł
  • Dotyczy:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problem

Gdy użytkownik federacyjny próbuje zalogować się do usługi w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune, użytkownik otrzymuje następujący komunikat o błędzie z usługi Active Directory Federation Services (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

W przypadku wystąpienia tego błędu pasek adresu przeglądarki internetowej wskazuje lokalny punkt końcowy usług AD FS pod adresem podobnym do następującego:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Przyczyna

Ten problem może wystąpić z jednego z następujących powodów:

  • Konfiguracja logowania jednokrotnego za pośrednictwem usług AD FS nie została ukończona.
  • Certyfikat podpisywania tokenu usług AD FS wygasł.
  • Oświadczenia zasad dostępu klienta usług AD FS są niepoprawnie skonfigurowane.
  • Brak zaufania jednostki uzależnionej z Tożsamość Microsoft Entra lub jest on niepoprawnie skonfigurowany.
  • Serwer proxy federacji usług AD FS jest skonfigurowany niepoprawnie lub nieprawidłowo uwidocznione.
  • Konto IUSR usług AD FS nie ma uprawnienia użytkownika "Personifikuj klienta po uwierzytelnieniu".

Rozwiązanie

Aby rozwiązać ten problem, użyj metody, która jest odpowiednia dla danej sytuacji.

Scenariusz 1. Certyfikat podpisywania tokenu usług AD FS wygasł

Sprawdzanie, czy certyfikat podpisywania tokenu wygasł

Aby sprawdzić, czy certyfikat podpisywania tokenu wygasł, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie usługami AD FS (2.0).
  2. W konsoli zarządzania usług AD FS kliknij pozycję Usługa, kliknij pozycję Certyfikaty, a następnie sprawdź daty obowiązywania i wygaśnięcia certyfikatu podpisywania tokenu usług AD FS.

Jeśli certyfikat wygasł, należy go odnowić w celu przywrócenia funkcji uwierzytelniania logowania jednokrotnego.

Odnów certyfikat podpisywania tokenu (jeśli wygasł)

Aby odnowić certyfikat podpisywania tokenu na podstawowym serwerze usług AD FS przy użyciu certyfikatu z podpisem własnym, wykonaj następujące kroki:

  1. W tej samej konsoli zarządzania usług AD FS kliknij pozycję Usługa, kliknij pozycję Certyfikaty, a następnie w obszarze **Certyfikaty ** w okienku Akcje kliknij pozycję Dodaj certyfikat Token-Signing.
  2. Jeśli zostanie wyświetlone ostrzeżenie "Nie można zmodyfikować certyfikatów, gdy funkcja automatycznego przerzucania certyfikatów usług AD FS jest włączona", przejdź do kroku 3. W przeciwnym razie sprawdź daty wejścia w życie i wygaśnięcia certyfikatu. Jeśli certyfikat został pomyślnie odnowiony, nie musisz wykonywać kroków 3 i 4.
  3. Jeśli certyfikat nie zostanie odnowiony, kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Akcesoria, kliknij folder Windows PowerShell, kliknij prawym przyciskiem myszy Windows PowerShell, a następnie kliknij przycisk Uruchom jako administrator.
  4. W wierszu polecenia Windows PowerShell wprowadź następujące polecenia. Naciśnij klawisz Enter po wprowadzeniu każdego polecenia:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Aby odnowić certyfikat podpisywania tokenu na podstawowym serwerze usług AD FS przy użyciu certyfikatu z podpisem urzędu certyfikacji ,wykonaj następujące kroki:

  1. Utwórz plik WebServerTemplate.inf. Aby to zrobić, wykonaj następujące kroki.

    1. Uruchom Notatnik i otwórz nowy, pusty dokument.

    2. Wklej następujące elementy do pliku:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. W pliku zmień parametr subject="CN=adfs.contoso.com" na następujący:

      subject="CN=your-federation-service-name"

    4. W menu Plik kliknij polecenie Zapisz jako.

    5. W oknie dialogowym ** Zapisz jako kliknij pozycję Wszystkie pliki ().) ** w polu Zapisz jako typ .

    6. Wpisz WebServerTemplate.inf w polu Nazwa pliku , a następnie kliknij przycisk Zapisz.

  2. Skopiuj plik WebServerTemplate.inf na jeden z serwerów federacyjnych usług AD FS.

  3. Na serwerze usług AD FS otwórz okno wiersza polecenia administracyjnego.

  4. Użyj polecenia cd(change directory), aby zmienić katalog, w którym skopiowano plik inf.

  5. Wpisz następujące polecenie i naciśnij klawisz ENTER:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Wyślij plik wyjściowy AdfsSSL.req do urzędu certyfikacji w celu podpisania.

  7. Urząd certyfikacji zwróci podpisaną część klucza publicznego w formacie p7b lub .cer. Skopiuj ten plik na serwer usług AD FS, na którym wygenerowano żądanie.

  8. Na serwerze usług AD FS otwórz okno wiersza polecenia administracyjnego.

  9. Użyj polecenia cd(change directory), aby zmienić katalog, w którym skopiowano plik p7b lub .cer.

  10. Wpisz następujące polecenie i naciśnij klawisz ENTER:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Zakończ przywracanie funkcji logowania jednokrotnego

Niezależnie od tego, czy jest używany certyfikat z podpisem własnym, czy certyfikat z podpisem urzędu certyfikacji, należy zakończyć przywracanie funkcji uwierzytelniania logowania jednokrotnego. Aby to zrobić, wykonaj następujące kroki.

  1. Dodaj dostęp do odczytu do klucza prywatnego dla konta usługi AD FS na podstawowym serwerze usług AD FS. Aby to zrobić, wykonaj następujące kroki.
    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc.exe, a następnie naciśnij klawisz Enter.
    2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
    3. Kliknij dwukrotnie pozycję Certyfikaty, wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.
    4. Wybierz pozycję Komputer lokalny, kliknij przycisk Zakończ, a następnie kliknij przycisk OK.
    5. Rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste, a następnie kliknij pozycję Certyfikaty.
    6. Kliknij prawym przyciskiem myszy nowy certyfikat podpisywania tokenu, wskaż pozycję Wszystkie zadania, a następnie kliknij pozycję Zarządzaj kluczami prywatnymi.
    7. Dodaj dostęp do odczytu do konta usługi AD FS, a następnie kliknij przycisk OK.
    8. Zamknij przystawkę Certyfikaty.
  2. Zaktualizuj odcisk palca nowego certyfikatu i datę zaufania jednostki uzależnionej przy użyciu Tożsamość Microsoft Entra. Aby to zrobić, zobacz sekcję "Jak zaktualizować konfigurację domeny federacyjnej platformy Microsoft 365" w temacie How to update or repair the settings of a federated domain in Microsoft 365, Azure, or Intune (Jak zaktualizować lub naprawić ustawienia domeny federacyjnej na platformie Microsoft 365, azure lub Intune).
  3. Utwórz ponownie konfigurację zaufania serwera proxy usług AD FS. Aby to zrobić, wykonaj następujące kroki.
    1. Uruchom ponownie usługę systemu Windows usług AD FS na podstawowym serwerze usług AD FS.
    2. Poczekaj 10 minut na replikowanie certyfikatu do wszystkich członków farmy serwerów federacyjnych, a następnie uruchom ponownie usługę systemu Windows usług AD FS na pozostałych serwerach usług AD FS.
    3. Uruchom ponownie Kreatora konfiguracji serwera proxy na każdym serwerze proxy usług AD FS. Aby uzyskać więcej informacji, zobacz Konfigurowanie komputera dla roli serwera proxy serwera federacyjnego.

Scenariusz 2. Niedawno zaktualizowano zasady dostępu klienta za pośrednictwem oświadczeń, a teraz logowanie nie działa

Sprawdź, czy zasady dostępu klienta zostały zastosowane poprawnie. Aby uzyskać więcej informacji, zobacz Ograniczanie dostępu do usług Microsoft 365 na podstawie lokalizacji klienta.

Scenariusz 3. Punkt końcowy metadanych federacji lub relacja zaufania jednostki uzależnionej może zostać wyłączona

Włącz punkt końcowy metadanych federacji i relację zaufania jednostki uzależnionej z Tożsamość Microsoft Entra na podstawowym serwerze usług AD FS. Aby to zrobić, wykonaj następujące kroki.

  1. Otwórz konsolę zarządzania usług AD FS 2.0.
  2. Upewnij się, że punkt końcowy metadanych federacji jest włączony. Aby to zrobić, wykonaj następujące kroki.
    1. W okienku nawigacji po lewej stronie przejdź do usług AD FS (2.0), Service, Endpoints.
    2. W środkowym okienku kliknij prawym przyciskiem myszy wpis /Federation Metadata/2007-06/FederationMetadata.xml , a następnie kliknij, aby wybrać pozycję Włącz i włącz na serwerze proxy.
  3. Upewnij się, że relacja zaufania jednostki uzależnionej z Tożsamość Microsoft Entra jest włączona. Aby to zrobić, wykonaj następujące kroki.
    1. W okienku nawigacji po lewej stronie przejdź do usług AD FS (2.0),Relacje zaufania, a następnie Relacje jednostki uzależnionej.
    2. Jeśli Microsoft Office 365 platforma tożsamości jest obecna, kliknij prawym przyciskiem myszy ten wpis, a następnie kliknij przycisk Włącz.
  4. Napraw relację zaufania jednostki uzależnionej za pomocą Tożsamość Microsoft Entra, wyświetlając sekcję "Aktualizuj właściwości zaufania" w temacie Weryfikowanie logowania jednokrotnego i zarządzanie nimi w usługach AD FS.

Scenariusz 4. Zaufanie jednostki uzależnionej może być brakujące lub uszkodzone

Usuń i ponownie dodaj zaufanie jednostki uzależnionej. Aby to zrobić, wykonaj następujące kroki.

  1. Zaloguj się do podstawowego serwera usług AD FS.
  2. Kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie usługami AD FS (2.0).
  3. W konsoli zarządzania rozwiń węzeł AD FS (2.0), rozwiń węzeł Relacje zaufania, a następnie rozwiń węzeł Relacje zaufania jednostki uzależnionej.
  4. Jeśli Microsoft Office 365 platforma tożsamości jest obecna, kliknij prawym przyciskiem myszy ten wpis, a następnie kliknij przycisk Usuń.
  5. Ponownie dodaj relację zaufania jednostki uzależnionej, wyświetlając sekcję "Aktualizuj właściwości zaufania" w temacie Weryfikowanie logowania jednokrotnego i zarządzanie nimi za pomocą usług AD FS.

Scenariusz 5. Konto usługi AD FS nie ma uprawnienia użytkownika "Personifikuj klienta po uwierzytelnieniu"

Aby udzielić użytkownikowi uprawnienia "Personifikuj klienta po uwierzytelnieniu" do konta usługi IUSR usług AD FS, zobacz Event ID 128 — Windows NT token-based application configuration (Konfiguracja aplikacji opartej na tokenach systemu Windows NT).

Informacje

Aby uzyskać więcej informacji na temat rozwiązywania problemów z logowaniem dla użytkowników federacyjnych, zobacz następujące artykuły z bazy wiedzy Microsoft Knowledge Base:

  • 2530569 Rozwiązywanie problemów z konfiguracją logowania jednokrotnego na platformie Microsoft 365, Intune lub platformie Azure
  • 2712961 Jak rozwiązywać problemy z połączeniem z punktem końcowym usług AD FS, gdy użytkownicy logują się do platformy Microsoft 365, Intune lub platformy Azure

Nadal potrzebujesz pomocy? Przejdź do witryny microsoft community lub witryny internetowej forów Microsoft Entra.