Erro de ADFS 2.0: 401 o recurso solicitado requer a autenticação do usuário

Sumário

A maioria dos Federated serviços de Active Directory (AD FS) 2.0 problemas pertencem a uma das seguintes categorias principais. Este artigo contém instruções passo a passo para solucionar problemas de autenticação.

Sintomas

Quando você tenta autenticar uma conta nos serviços de Federação do Active Directory (AD FS) 2.0, os seguintes erros ocorrem:
  • O servidor do AD FS retorna a seguinte mensagem de erro:

    Não autorizado-erro de HTTP 401. O recurso solicitado requer a autenticação do usuário.
  • Na tela de logon baseado em formulários, o servidor retorna a seguinte mensagem de erro:

    O nome de usuário ou senha está incorreta.
  • Continuamente, você será solicitado para credenciais.
  • Evento 111 é registrado no log do AD FS Admin, da seguinte maneira:

    Log Name:  AD FS 2.0/AdminEvent ID: 111
    Level: Error
    Keywords: AD FS
    Description:
    The Federation Service encountered an error while processing the WS-Trust request.
    Request type: http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
    Exception details:
    Microsoft.IdentityModel.SecurityTokenService.FailedAuthenticationException: MSIS3019: Authentication failed. ---> System.IdentityModel.Tokens.SecurityTokenValidationException: ID4063: LogonUser failed for the 'user1' user. Ensure that the user has a valid Windows account. ---> System.ComponentModel.Win32Exception: Logon failure: unknown user name or bad password

Resolução

Para resolver esse problema, siga estas etapas na ordem apresentada. Essas etapas o ajudarão a determinar a causa do problema.

Etapa 1: Atribuir o registro correto de nome de serviço de Federação AD FS

Certifique-se de que o DNS tem um HOST (A) registro para o nome do serviço de Federação do AD FS e evitar o uso de um registro CNAME. Para obter mais informações, consulte comportamentos do Internet Explorer com a autenticação Kerberos.

Etapa 2: Registro de nome de serviço de federação de seleção

Localize o nome do serviço de Federação e verificar se o nome está registrado com a conta de serviço do AD FS. Para fazer isso, execute as seguintes etapas:
  1. Localizar o HOST /< nome do serviço de Federação > nome:
    1. Abra o AD FS 2.0 Manager.
    2. Clique com botão direito ADFS 2.0e, em seguida, selecione Editar propriedades de serviço de Federação.
    3. Na guia Geral , localize o campo de nome de serviço de federação para ver o nome.

      The screenshot for ADFS service name
  2. Seleção se HOST /< nome do serviço de Federação > nome é registrado com a conta de serviço do AD FS:
    1. Abra o snap-in de gerenciamento. Para fazer isso, clique em Iniciar, clique em Todos os programas, clique em Ferramentas administrativase, em seguida, clique em Serviços.
    2. Clique duas vezes em serviço de Windows (2.0) do AD FS.
    3. Na guia Log , observe a conta de serviço é exibida no campo essa conta .

      The screenshout about service account
    4. Clique em Iniciar, em Todos os programas, em Acessórios, clique com botão direito Prompt de comandoe, em seguida, clique em Executar como administrador.
    5. Execute o seguinte comando:
      SETSPN -L domain\<ADFS Service Account> 
      The screenshot for the result of setspn
Se o nome do serviço de Federação ainda não existir, execute o seguinte comando para adicionar o nome principal de serviço (SPN) para a conta do AD FS:
SetSPN –a host/<Federation service name> <username of service account> 
The screenshot for setspn command

Etapa 3: Verifique se os SPNs duplicados

Verifique se não existem SPNs duplicados para o nome de conta do AD FS. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar, em Todos os programas, em Acessórios, clique com botão direito Prompt de comandoe, em seguida, clique em Executar como administrador.
  2. Execute o comando a seguir para certificar-se de que não existem SPNs duplicados para o nome de conta do AD FS:

    SETSPN –X -F 

Etapa 4: Verifique se o navegador usa autenticação integrada do Windows

Certifique-se de que o navegador Internet Explorer que você está usando está configurado para usar autenticação integrada do Windows. Para fazer isso, inicie o Internet Explorer, clique em configurações, clique em Opções da Internet, clique em Avançadoe clique em utenticação habilitar integrada do Windows A.

Etapa 5: Verificar o tipo de autenticação

Certifique-se de que o tipo de autenticação padrão do servidor do AD FS está configurado corretamente. Para fazer isso, execute as seguintes etapas:
  1. No Windows Explorer, navegue para C:\inetpub\adfs\ls (Isso pressupõe que inetpub está localizado na unidade C).
  2. Localize o Web. confige, em seguida, abra o arquivo no bloco de notas.
  3. No arquivo, localize (Ctrl + F) < localAuthenticationTypes >.
  4. Em < localAuthenticationTypes >, localize as quatro linhas que representam os tipos de autenticação local.
  5. Selecione e exclua o tipo de autenticação local preferencial (a linha inteira). Em seguida, cole a linha na parte superior da lista (em < localAuthenticationTypes >).
  6. Salve e feche o arquivo Web. config.
Para obter mais informações sobre o tipo de autenticação Local, consulte o seguinte tópico no TechNet:

Etapa 6: Verificar as configurações de autenticação

Certifique-se de que os diretórios virtuais do AD FS estão configurados corretamente para autenticação no Internet Information Services (IIS).
  • No nó "Site da Web padrão/adfs", abra a configuração de autenticação e, em seguida, verifique se que a Autenticação anônima estiver ativada.
  • No nó "Padrão da Web Site/adfs/ls", abra a configuração de autenticação e certifique-se de que anônimo e Autenticação do Windows estão habilitado.

Etapa 7: Verifique as configurações de confiança do proxy

Se você tiver um servidor de proxy AD FS configurado, verifique se a confiança de proxy é renovada durante os intervalos de conexão entre os servidores do AD FS e Proxy do AD FS.

O servidor Proxy automaticamente renova a relação de confiança com o serviço de Federação do AD FS. Se esse processo falhar, 394 de evento é registrado no Visualizar eventos e você recebe a seguinte mensagem de erro:

O proxy de servidor de Federação não pôde renovar sua relação de confiança com o serviço de Federação.

Para resolver esse problema, tente executar o proxy do AD FS Assistente de configuração novamente. Como o assistente é executado, certifique-se de que as senhas e nome de usuário de domínio válido são usadas. Essas credenciais não são armazenadas no servidor Proxy do AD FS. Ao inserir as credenciais para o Assistente de configuração de confiança do proxy, você tem duas opções.
  • Use credenciais de domínio que tenham direitos administrativos locais nos servidores do AD FS.
  • Usar as credenciais de conta de serviço do AD FS

Etapa 7: Seleção IIS "proteção estendida" configurações

Alguns navegadores não podem autenticar se "proteção estendida" (ou seja, a autenticação do Windows) está habilitada no IIS, conforme mostrado na etapa 5. Tente desativar a autenticação do Windows para determinar se isso resolve o problema.

Você também vê proteção estendida não permitir que a autenticação do Windows quando o proxy SSL está sendo feito por ferramentas como o Fiddler ou alguns balanceadores de carga inteligente.

Por exemplo: você pode ver solicitações repetidas de autenticação se você tiver o depurador do Fiddler Web executados no cliente.

Para desativar a proteção estendida para autenticação, execute o método apropriado, dependendo do tipo de cliente.

Para os clientes passivos
Use esse método para os aplicativos virtuais "Padrão da Web Site/adfs/ls" em todos os servidores no farm de servidores de Federação do AD FS. Para fazer isso, execute as seguintes etapas:
  1. Abra o Gerenciador do IIS e, em seguida, localize o nível que você deseja gerenciar.

    Para obter mais informações sobre como abrir o Gerenciador do IIS, consulte Abrir o Gerenciador do IIS (IIS 7).
  2. No modo de Exibição de recursos, clique duas vezes em autenticação.
  3. Na página de autenticação , selecione Autenticação do Windows.
  4. No painel de ações , clique em Configurações avançadas.
  5. Quando for exibida a caixa de diálogo Configurações avançadas , clique em Desativar no menu Proteção estendida .
Para os clientes do active
Use este método para o servidor primário do AD FS:
  1. Inicie o Windows PowerShell.
  2. Para carregar o Windows PowerShell para o snap-in do AD FS, execute o seguinte comando:

    Add-PsSnapIn Microsoft.Adfs.Powershell 
  3. Para desativar a proteção estendida para autenticação, execute o seguinte comando:

    Set-ADFSProperties –ExtendedProtectionTokenCheck “None” 

Etapa 8: Verifique o status do canal seguro entre controladores de domínio e o servidor ADFS

Certifique-se de que o canal seguro seguro entre controladores de domínio e o AD FS é bom. Para fazer isso, execute o seguinte comando:

Nltest /dsgetdc:domainname 
Se a resposta for algo diferente de "sucesso", você deve solucionar o canal seguro de netlogon. Para fazer isso, certifique-se de que as seguintes condições forem verdadeiras:
  • O controlador de domínio (DC) está acessível
  • Nomes de controlador de domínio podem ser resolvidos
  • Senhas no computador e sua conta no site do Active Directory são sincronizados.

Etapa 9: Seleção de gargalos

Verifique se você está enfrentando gargalos relacionados à autenticação por servidor do AD FS ou DCs a configuração de "MaxconcurrentAPI". Para obter mais informações sobre como fazer essa configuração, consulte o seguinte artigo da Base de Conhecimento:

Etapa 10: Verificar se o servidor de proxy do ADFS é congestionamento

Verifique se o servidor de proxy do ADFS está otimizando conexões porque ele foi recebido muitas solicitações ou atraso da resposta do servidor do AD FS. Para obter mais informações, consulte o seguinte tópico no TechNet:


Nesse cenário, você pode observar falhas de login intermitente no ADFS.

Etapa 11: Verifique as configurações de confiança do proxy

Se você tiver um servidor de proxy do ADFS configurado, verifique se a confiança de proxy é renovada durante os intervalos de conexão entre os servidores do AD FS e Proxy do AD FS.

O servidor Proxy automaticamente renova a relação de confiança com o serviço de Federação do AD FS. Se esse processo falhar, 394 de evento é registrado no Visualizar eventos e você recebe a seguinte mensagem de erro:
O proxy de servidor de Federação não pôde renovar sua relação de confiança com o serviço de Federação.

Para resolver esse problema, tente executar o proxy do AD FS Assistente de configuração novamente. Como o assistente é executado, certifique-se de que as senhas e nome de usuário de domínio válido são usadas. Essas credenciais não são armazenadas no servidor Proxy do AD FS.

Etapa 12: Habilitar ADFS com "Auditoria eventos de logon" – sucesso e falha de auditoria

Para obter mais informações, consulte Configurando servidores ADFS para solução de problemas.
Propriedades

ID do Artigo: 3044976 - Última Revisão: 19 de fev de 2017 - Revisão: 1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

Comentários