Fout 'Er is een probleem opgetreden bij het openen van de site' van AD FS wanneer een federatieve gebruiker zich aanmeldt bij Microsoft 365, Azure of Intune

  • Artikel
  • Van toepassing op:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Probleem

Wanneer een federatieve gebruiker zich probeert aan te melden bij een Microsoft-cloudservice zoals Microsoft 365, Microsoft Azure of Microsoft Intune, ontvangt de gebruiker het volgende foutbericht van Active Directory Federation Services (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Wanneer deze fout optreedt, verwijst de adresbalk van de webbrowser naar het on-premises AD FS-eindpunt op een adres dat er ongeveer als volgt uitziet:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Oorzaak

Dit probleem kan een van de volgende oorzaken hebben:

  • De installatie van eenmalige aanmelding (SSO) via AD FS is niet voltooid.
  • Het AD FS-tokenondertekeningscertificaat is verlopen.
  • De claims voor toegangsbeleid voor AD FS-client zijn onjuist ingesteld.
  • De relying party-vertrouwensrelatie met Microsoft Entra-id ontbreekt of is onjuist ingesteld.
  • De AD FS-federatieproxyserver is onjuist ingesteld of onjuist weergegeven.
  • Het AD FS IUSR-account heeft niet de gebruikersmachtiging 'Een client imiteren na verificatie'.

Oplossing

U kunt dit probleem oplossen door de methode te gebruiken die geschikt is voor uw situatie.

Scenario 1: Het AD FS-tokenondertekeningscertificaat is verlopen

Controleren of het tokenondertekeningscertificaat is verlopen

Voer de volgende stappen uit om te controleren of het tokenondertekeningscertificaat is verlopen:

  1. Klik op Start, klik op Alle programma's, klik op Systeembeheer en klik vervolgens op AD FS (2.0) Beheer.
  2. Klik in de AD FS-beheerconsole op Service, klik op Certificaten en bekijk vervolgens de ingangs- en vervaldatums voor het AD FS-tokenondertekeningscertificaat.

Als het certificaat is verlopen, moet het worden vernieuwd om de SSO-verificatiefunctionaliteit te herstellen.

Het certificaat voor tokenondertekening vernieuwen (als het is verlopen)

Voer de volgende stappen uit om het tokenondertekeningscertificaat op de primaire AD FS-server te vernieuwen met behulp van een zelfondertekend certificaat:

  1. Klik in dezelfde AD FS-beheerconsole op Service, klik op Certificaten en klik vervolgens onder **Certificeringen **in het deelvenster Acties op Token-Signing Certificaat toevoegen.
  2. Als de waarschuwing 'Certificaten kunnen niet worden gewijzigd terwijl de functie voor automatische rollover van AD FS-certificaten is ingeschakeld' wordt weergegeven, gaat u naar stap 3. Controleer anders de ingangsdatum en vervaldatum van het certificaat. Als het certificaat is vernieuwd, hoeft u stap 3 en 4 niet uit te voeren.
  3. Als het certificaat niet is vernieuwd, klikt u op Start, wijst u Alle programma's aan, klikt u op Accessoires, klikt u op de map Windows PowerShell, klikt u met de rechtermuisknop op Windows PowerShell en klikt u vervolgens op Als administrator uitvoeren.
  4. Voer bij de Windows PowerShell opdrachtprompt de volgende opdrachten in. Druk op Enter nadat u elke opdracht hebt ingevoerd:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Voer de volgende stappen uit om het tokenondertekeningscertificaat op de primaire AD FS-server te vernieuwen met behulp van een certificaat met certificeringsinstantie (CA):

  1. Maak het bestand WebServerTemplate.inf. Ga hiervoor als volgt te werk:

    1. Start Kladblok en open een nieuw, leeg document.

    2. Plak het volgende in het bestand:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. Wijzig subject="CN=adfs.contoso.com" in het bestand in het volgende:

      subject="CN=your-federation-service-name"

    4. Klik op Opslaan als in het menu Bestand.

    5. Klik in het dialoogvenster** Opslaan als op Alle bestanden (.) ** in het vak Opslaan als .

    6. Typ WebServerTemplate.inf in het vak Bestandsnaam en klik vervolgens op Opslaan.

  2. Kopieer het bestand WebServerTemplate.inf naar een van uw AD FS Federation-servers.

  3. Open op de AD FS-server een beheeropdrachtpromptvenster.

  4. Gebruik de opdracht cd(change directory) om over te schakelen naar de map waar u het .inf-bestand hebt gekopieerd.

  5. Typ de volgende opdracht en druk daarna op Enter.

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Verzend het uitvoerbestand, AdfsSSL.req, naar uw CA voor ondertekening.

  7. De CA retourneert een ondertekend gedeelte van de openbare sleutel in de indeling .p7b of .cer. Kopieer dit bestand naar uw AD FS-server waar u de aanvraag hebt gegenereerd.

  8. Open op de AD FS-server een beheeropdrachtpromptvenster.

  9. Gebruik de opdracht cd(change directory) om over te schakelen naar de map waar u het .p7b- of CER-bestand hebt gekopieerd.

  10. Typ de volgende opdracht en druk daarna op Enter.

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Herstel van eenmalige aanmeldingsfunctionaliteit voltooien

Ongeacht of een zelfondertekend of ca-ondertekend certificaat wordt gebruikt, moet u het herstellen van de functionaliteit voor eenmalige aanmeldingsverificatie voltooien. Ga hiervoor als volgt te werk:

  1. Voeg leestoegang toe aan de persoonlijke sleutel voor het AD FS-serviceaccount op de primaire AD FS-server. Ga hiervoor als volgt te werk:
    1. Klik op Start, klik op Uitvoeren, typ mmc.exe en druk op Enter.
    2. Klik in het menu Bestand op Module toevoegen/verwijderen.
    3. Dubbelklik op Certificaten, selecteer Computeraccount en klik vervolgens op Volgende.
    4. Selecteer Lokale computer, klik op Voltooien en klik vervolgens op OK.
    5. Vouw Certificaten (lokale computer) uit, vouw Persoonlijk uit en klik vervolgens op Certificaten.
    6. Klik met de rechtermuisknop op het nieuwe tokenondertekeningscertificaat, wijs Alle taken aan en klik vervolgens op Persoonlijke sleutels beheren.
    7. Voeg Leestoegang toe aan het AD FS-serviceaccount en klik vervolgens op OK.
    8. Sluit de module Certificaten af.
  2. Werk de vingerafdruk van het nieuwe certificaat en de datum van de relying party-vertrouwensrelatie bij met Microsoft Entra-id. Zie hiervoor de sectie De configuratie van het federatieve Microsoft 365-domein bijwerken in De instellingen van een federatief domein bijwerken of herstellen in Microsoft 365, Azure of Intune.
  3. Maak de configuratie van de AD FS-proxyvertrouwensrelatie opnieuw. Ga hiervoor als volgt te werk:
    1. Start de AD FS Windows-service opnieuw op de primaire AD FS-server.
    2. Wacht 10 minuten totdat het certificaat is gerepliceerd naar alle leden van de federatieserverfarm en start vervolgens de AD FS Windows-service opnieuw op de rest van de AD FS-servers.
    3. Voer de wizard Proxyconfiguratie opnieuw uit op elke AD FS-proxyserver. Zie Een computer configureren voor de federatieve serverproxyfunctie voor meer informatie.

Scenario 2: u hebt onlangs het clienttoegangsbeleid bijgewerkt via claims en nu werkt aanmelden niet meer

Controleer of het clienttoegangsbeleid correct is toegepast. Zie Toegang tot Microsoft 365-services beperken op basis van de locatie van de client voor meer informatie.

Scenario 3: Het eindpunt voor federatieve metagegevens of de relying party-vertrouwensrelatie is mogelijk uitgeschakeld

Schakel het eindpunt voor federatieve metagegevens en de relying party-vertrouwensrelatie in met Microsoft Entra id op de primaire AD FS-server. Ga hiervoor als volgt te werk:

  1. Open de AD FS 2.0-beheerconsole.
  2. Zorg ervoor dat het eindpunt voor federatieve metagegevens is ingeschakeld. Ga hiervoor als volgt te werk:
    1. Blader in het linkernavigatiedeelvenster naar AD FS (2.0), Service, Eindpunten.
    2. Klik in het middelste deelvenster met de rechtermuisknop op de vermelding /Federatiemetagegevens/2007-06/FederationMetadata.xml en klik vervolgens om Inschakelen en Inschakelen op proxy te selecteren.
  3. Zorg ervoor dat de relying party-vertrouwensrelatie met Microsoft Entra-id is ingeschakeld. Ga hiervoor als volgt te werk:
    1. Blader in het linkernavigatiedeelvenster naar AD FS (2.0), vervolgens Vertrouwensrelaties en vervolgens Relying Party-vertrouwensrelaties.
    2. Als Microsoft Office 365 Identity Platform aanwezig is, klikt u met de rechtermuisknop op deze vermelding en klikt u vervolgens op Inschakelen.
  4. Herstel de relying party-vertrouwensrelatie met Microsoft Entra-id door de sectie 'Eigenschappen van vertrouwensrelatie bijwerken' te zien van Eenmalige aanmelding verifiëren en beheren met AD FS.

Scenario 4: De relying party-vertrouwensrelatie ontbreekt of is beschadigd

Verwijder de relying party-vertrouwensrelatie en voeg deze opnieuw toe. Ga hiervoor als volgt te werk:

  1. Meld u aan bij de kern-AD FS-server.
  2. Klik op Start, wijs Alle programma's aan, klik op Systeembeheer en klik vervolgens op AD FS (2.0) Beheer.
  3. Vouw in de beheerconsole AD FS (2.0) uit, vouw Vertrouwensrelaties uit en vouw vervolgens Relying Party-vertrouwensrelaties uit.
  4. Als Microsoft Office 365 Identity Platform aanwezig is, klikt u met de rechtermuisknop op deze vermelding en klikt u vervolgens op Verwijderen.
  5. Voeg de relying party-vertrouwensrelatie opnieuw toe door de sectie 'Eigenschappen van vertrouwensrelatie bijwerken' te zien van Controleren en beheren van eenmalige aanmelding met AD FS.

Scenario 5: Het AD FS-serviceaccount beschikt niet over de gebruikersmachtiging 'Een client imiteren na verificatie'

Zie Gebeurtenis-id 128 - Configuratie van toepassing op basis van tokens voor Windows NT als u de gebruikersmachtiging 'Een client na verificatie imiteren' wilt verlenen aan het AD FS IUSR-serviceaccount.

Verwijzingen

Zie de volgende Microsoft Knowledge Base-artikelen voor meer informatie over het oplossen van aanmeldingsproblemen voor federatieve gebruikers:

  • 2530569 Problemen met het instellen van eenmalige aanmelding in Microsoft 365, Intune of Azure oplossen
  • 2712961 Verbindingsproblemen met AD FS-eindpunten oplossen wanneer gebruikers zich aanmelden bij Microsoft 365, Intune of Azure

Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.