Felet "Det gick inte att komma åt webbplatsen" från AD FS när en federerad användare loggar in på Microsoft 365, Azure eller Intune

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problem

När en federerad användare försöker logga in på en Microsoft-molntjänst som Microsoft 365, Microsoft Azure eller Microsoft Intune får användaren följande felmeddelande från Active Directory Federation Services (AD FS) (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

När det här felet inträffar pekar webbläsarens adressfält på den lokala AD FS-slutpunkten på en adress som liknar följande:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Orsak

Det här problemet kan inträffa av någon av följande orsaker:

  • Installationen av enkel inloggning (SSO) via AD FS slutfördes inte.
  • AD FS-tokensigneringscertifikatet har upphört att gälla.
  • AD FS-klientåtkomstprincipanspråken har konfigurerats felaktigt.
  • Det förlitande partsförtroendet med Microsoft Entra ID saknas eller har konfigurerats felaktigt.
  • AD FS-federationsproxyservern har konfigurerats felaktigt eller exponeras felaktigt.
  • AD FS IUSR-kontot har inte användarbehörigheten Personifiera en klient efter autentisering.

Lösning

Lös problemet genom att använda den metod som är lämplig för din situation.

Scenario 1: AD FS-tokensigneringscertifikatet har upphört att gälla

Kontrollera om tokensigneringscertifikatet har upphört att gälla

Följ dessa steg för att kontrollera om certifikatet för tokensignering har upphört att gälla:

  1. Klicka på Start, klicka på Alla program, klicka på Administrationsverktyg och klicka sedan på AD FS -hantering (2.0).
  2. I AD FS-hanteringskonsolen klickar du på Tjänst, klickar på Certifikat och undersöker sedan giltighets- och förfallodatum för AD FS-tokensigneringscertifikatet.

Om certifikatet har upphört att gälla måste det förnyas för att återställa funktioner för SSO-autentisering.

Förnya certifikatet för tokensignering (om det har upphört att gälla)

Så här förnyar du certifikatet för tokensignering på den primära AD FS-servern med hjälp av ett självsignerat certifikat:

  1. I samma AD FS-hanteringskonsol klickar du på Tjänst, klickar på Certifikat och klickar sedan på Lägg till Token-Signing certifikat under **Certifieringar **i fönstret Åtgärder.
  2. Om varningen "Certifikat kan inte ändras medan funktionen för automatisk överrullning av AD FS-certifikat är aktiverad" visas går du till steg 3. Annars kontrollerar du certifikatets giltighets- och förfallodatum. Om certifikatet förnyas behöver du inte utföra steg 3 och 4.
  3. Om certifikatet inte förnyas klickar du på Start, pekar på Alla program, klickar på Tillbehör, klickar på mappen Windows PowerShell, högerklickar på Windows PowerShell och klickar sedan på Kör som administratör.
  4. I kommandotolken Windows PowerShell anger du följande kommandon. Tryck på Retur när du har angett varje kommando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Följ dessa steg för att förnya certifikatet för tokensignering på den primära AD FS-servern med hjälp av ett certifikatutfärdare (CA)-signerat certifikat:

  1. Skapa filen WebServerTemplate.inf. Gör så här:

    1. Starta Anteckningar och öppna ett nytt tomt dokument.

    2. Klistra in följande i filen:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. I filen ändrar du subject="CN=adfs.contoso.com" till följande:

      subject="CN=your-federation-service-name"

    4. Klicka på Spara somArkiv-menyn.

    5. I dialogrutan** Spara som klickar du på Alla filer (.) ** i rutan Spara som-typ .

    6. Skriv WebServerTemplate.inf i rutan Filnamn och klicka sedan på Spara.

  2. Kopiera filen WebServerTemplate.inf till en av ad FS-federationsservrarna.

  3. Öppna ett administrativt kommandotolksfönster på AD FS-servern.

  4. Använd kommandot cd(change directory) för att ändra till katalogen där du kopierade .inf-filen.

  5. Skriv följande kommando och tryck sedan på Retur:

    CertReq.exe -New WebServerTemplate.inf AdfsSL.req

  6. Skicka utdatafilen AdfsSSL.req till certifikatutfärdaren för signering.

  7. Ca:en returnerar en signerad offentlig nyckeldel i formatet .p7b eller .cer. Kopiera den här filen till din AD FS-server där du genererade begäran.

  8. Öppna ett administrativt kommandotolksfönster på AD FS-servern.

  9. Använd kommandot cd(change directory) för att ändra till katalogen där du kopierade .p7b- eller .cer-filen.

  10. Skriv följande kommando och tryck sedan på Retur:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Slutför återställningen av SSO-funktioner

Oavsett om ett självsignerat eller CA-signerat certifikat används bör du slutföra återställningen av funktioner för SSO-autentisering. Gör så här:

  1. Lägg till läsåtkomst till den privata nyckeln för AD FS-tjänstkontot på den primära AD FS-servern. Gör så här:
    1. Klicka på Start, klicka på Kör, skriv mmc.exe och tryck sedan på Retur.
    2. Välj Lägg till/Ta bort snapin-modul i Arkiv-menyn.
    3. Dubbelklicka på Certifikat, välj Datorkonto och klicka sedan på Nästa.
    4. Välj Lokal dator, klicka på Slutför och klicka sedan på OK.
    5. Expandera Certifikat (lokal dator), expandera Personligt och klicka sedan på Certifikat.
    6. Högerklicka på det nya certifikatet för tokensignering, peka på Alla uppgifter och klicka sedan på Hantera privata nycklar.
    7. Lägg till Läs-åtkomst till AD FS-tjänstkontot och klicka sedan på OK.
    8. Avsluta snapin-modulen Certifikat.
  2. Uppdatera det nya certifikatets tumavtryck och datumet för det förlitande partsförtroendet med Microsoft Entra ID. Det gör du genom att läsa avsnittet "Så här uppdaterar du konfigurationen av den federerade Microsoft 365-domänen" i Så här uppdaterar eller reparerar du inställningarna för en federerad domän i Microsoft 365, Azure eller Intune.
  3. Återskapa konfigurationen av AD FS-proxyförtroendet. Gör så här:
    1. Starta om AD FS Windows-tjänsten på den primära AD FS-servern.
    2. Vänta 10 minuter på att certifikatet ska replikeras till alla medlemmar i federationsservergruppen och starta sedan om AD FS Windows-tjänsten på resten av AD FS-servrarna.
    3. Kör guiden Proxykonfiguration igen på varje AD FS-proxyserver. Mer information finns i Konfigurera en dator för federationsserverproxyrollen.

Scenario 2: Du uppdaterade nyligen klientåtkomstprincipen via anspråk och nu fungerar inte inloggningen

Kontrollera om klientåtkomstprincipen har tillämpats korrekt. Mer information finns i Begränsa åtkomsten till Microsoft 365-tjänster baserat på klientens plats.

Scenario 3: Federationsmetadataslutpunkten eller det förlitande partförtroendet kan inaktiveras

Aktivera federationsmetadataslutpunkten och förlitande partsförtroendet med Microsoft Entra ID på den primära AD FS-servern. Gör så här:

  1. Öppna AD FS 2.0-hanteringskonsolen.
  2. Kontrollera att slutpunkten för federationsmetadata är aktiverad. Gör så här:
    1. I det vänstra navigeringsfönstret bläddrar du till AD FS (2.0), Service, Endpoints.
    2. Högerklicka på posten /Federation Metadata/2007-06/FederationMetadata.xml i mittenfönstret och klicka sedan på aktivera och aktivera på proxy.
  3. Kontrollera att det förlitande partsförtroendet med Microsoft Entra ID är aktiverat. Gör så här:
    1. I det vänstra navigeringsfönstret bläddrar du till AD FS (2.0) och sedan Förtroenderelationer och sedan Förtroenden för förlitande part.
    2. Om Microsoft Office 365 Identity Platform finns högerklickar du på den här posten och klickar sedan på Aktivera.
  4. Reparera det förlitande partförtroendet med Microsoft Entra ID genom att se avsnittet "Uppdatera förtroendeegenskaper" i Verifiera och hantera enkel inloggning med AD FS.

Scenario 4: Det förlitande partsförtroendet kan vara saknat eller skadat

Ta bort och lägg till det förlitande partförtroendet igen. Gör så här:

  1. Logga in på AD FS-kärnservern.
  2. Klicka på Start, peka på Alla program, klicka på Administrationsverktyg och klicka sedan på AD FS -hantering (2.0).
  3. I hanteringskonsolen expanderar du AD FS (2.0), expanderar Förtroenderelationer och expanderar sedan Förlitande partsförtroenden.
  4. Om Microsoft Office 365 Identity Platform finns högerklickar du på den här posten och klickar sedan på Ta bort.
  5. Lägg till det förlitande partsförtroendet igen genom att se avsnittet "Uppdatera förtroendeegenskaper" i Verifiera och hantera enkel inloggning med AD FS.

Scenario 5: AD FS-tjänstkontot har inte användarbehörigheten "Personifiera en klient efter autentisering"

Information om hur du beviljar användarbehörigheten "Personifiera en klient efter autentisering" till AD FS IUSR-tjänstkontot finns i Händelse-ID 128 – Windows NT-tokenbaserad programkonfiguration.

Referenser

Mer information om hur du felsöker inloggningsproblem för federerade användare finns i följande Microsoft Knowledge Base-artiklar:

  • 2530569 Felsöka problem med konfiguration av enkel inloggning i Microsoft 365, Intune eller Azure
  • 2712961 Felsöka problem med AD FS-slutpunktsanslutning när användare loggar in på Microsoft 365, Intune eller Azure

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Microsoft Entra Forum.