Erro do ADFS 2.0: esta página não pode ser exibida
Este artigo fornece uma solução para um erro ao tentar acessar um aplicativo em um site que usa o AD FS 2.0.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 3044971
Resumo
A maioria dos problemas do AD FS (Active Directory Federated Services) 2.0 pertence a uma das seguintes categorias de main. Este artigo contém instruções passo a passo para solucionar problemas de conectividade.
- Falha no início do serviço do ADFS 2.0 (3044971 do KB)
- Problemas de serviço do ADFS (3044973 do KB)
- Problemas de certificado (3044974 do KB)
- Problemas de autenticação (3044976 do KB)
- Problemas de regras de declaração (3044977 do KB)
Sintomas
Sintoma 1
Ao tentar acessar um aplicativo Web em um site que usa Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0, você recebe a seguinte mensagem de erro:
Esta página não pode ser exibida.
Sintoma 2
Você não pode acessar a seguinte página de logon iniciado pelo IDP e os metadados do AD FS:
https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml
https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx
Resolução
Para resolve esse problema, siga estas etapas na ordem. Essas etapas ajudarão você a determinar a causa do problema. Verifique se você marcar se o problema é resolvido após cada etapa.
Etapa 1: verifique se o cliente é redirecionado para a URL correta do AD FS
Como verificar
- Inicialize o Internet Explorer.
- Pressione F12 para abrir a janela ferramentas do desenvolvedor.
- Na guia Rede , selecione o botão iniciar ou pressione Iniciar a captura para habilitar a captura de tráfego de rede.
- Navegue até a URL do aplicativo Web.
- Examine os rastreamentos de rede para ver se o cliente é redirecionado para a URL do serviço AD FS para autenticação. Verifique se a URL de serviço do AD FS está correta.
Na captura de tela a seguir, a primeira URL é para o aplicativo Web e a segunda URL é para o serviço AD FS.
Como corrigir
Se você for redirecionado para um endereço incorreto, provavelmente terá configurações incorretas de federação do AD FS em seu aplicativo Web. Verifique essas configurações para verificar se a URL do serviço de federação do AD FS (provedor de serviços SAML) está correta.
Etapa 2: verifique se o nome do Serviço do AD FS pode ser resolvido para o endereço IP correto
Como verificar
Em um computador cliente e no servidor proxy do AD FS (se você tiver isso), use um comando ping ou nslookup para determinar se o nome do serviço do AD FS é resolvido para o endereço IP correto. Siga o procedimento abaixo.
Intranet: o nome deve resolve ao IP interno do servidor AD FS ou ao IP balanceado de carga do servidor AD FS (Interno).
Externo: o nome deve resolve para o IP externo/público do serviço AD FS. Nessa situação, o DNS público é usado para resolve o nome. Se você notar que diferentes IPs públicos são retornados de computadores diferentes para o mesmo nome de serviço do AD FS, a alteração recente no DNS público pode ainda não ser propagada em todos os servidores DNS públicos em todo o mundo. Essa alteração pode exigir até 24 horas para ser replicada.
Importante
Em todos os servidores do AD FS, verifique se os servidores proxy do AD FS podem resolve o nome do serviço AD FS para o IP interno do servidor AD FS ou para o IP balanceado de carga do servidor AD FS interno. A melhor maneira de fazer isso é adicionar uma entrada no arquivo HOST no servidor proxy do AD FS ou usar uma configuração DNS dividida em uma rede de perímetro (também conhecida como "DMZ", "zona desmilitarizada" e "sub-rede exibida").
Exemplo do comando nslookup:
Nslookup sts.contoso.com
Como corrigir
Verifique o registro do nome do serviço do AD FS por meio do servidor DNS ou provedor de serviços de Internet (ISP). Verifique se o endereço IP está correto.
Etapa 3: verificar se a porta TCP 443 no servidor do AD FS pode ser acessada
Como verificar
Use Telnet ou PortQryUI – Interface do Usuário para o Verificador de Porta de Linha de Comando do PortQry para consultar a conectividade da porta 443 no servidor do AD FS. Verifique se a porta 443 está escutando.
Como corrigir
Se o servidor do AD FS não estiver escutando na porta 443, siga estas etapas:
- Verifique se o Serviço Windows do AD FS 2.0 foi iniciado.
- Verifique a configuração de firewall do Windows no servidor AD FS para verificar se a porta TCP 433 tem permissão para fazer conexões.
- Se um balanceador de carga for usado antes dos serviços do AD FS, tente ignorar o processo de balanceamento de carga para verificar se essa não é a causa do problema. (Balanceamento de carga é uma causa comum.)
Etapa 4: verifique se você pode usar uma página de logon iniciada pelo IdP para autenticar no ADFS
Como verificar
Inicie o Explorer da Internet e navegue até o endereço Web a seguir. Se você receber um aviso de certificado ao tentar abrir esta página, selecione Continuar.
<http:// YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx
Observação
Nesta URL, <YourADFSServiceName> representa o nome de serviço real do AD FS.
Normalmente, você acessa uma tela de entrada e, em seguida, pode entrar usando suas credenciais.
Como corrigir
Se você puder fazer com êxito a Etapa 1 até a Etapa 3, mas ainda não puder acessar o aplicativo Web, siga estas etapas:
- Use outro computador cliente e navegador para fazer os testes. Pode haver um problema que afeta o cliente.
- Faça as seguintes etapas avançadas de solução de problemas:
- Colete informações de rastreamento do Depurador Web do Fiddler e informações de captura de rede enquanto você está acessando a
IDPInitiatedsignon
página. Para obter mais informações, consulte AD FS 2.0: Como usar o Depurador Web do Fiddler para analisar um WS-Federation entrada passiva. - Colete rastreamentos de rede do computador cliente para marcar se o aperto de mão SSL foi concluído com êxito, se há uma mensagem criptografada, se você está acessando o endereço IP correto e assim por diante. Para obter mais informações, confira Como habilitar o log de eventos do Schannel no Windows e no Windows Server.
Aviso de isenção de responsabilidade para informações de terceiros
Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de