當同盟使用者登入 Microsoft 365、Azure 或 Intune 時,AD FS 的「存取網站時發生問題」錯誤

  • 發行項
  • 適用於:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

問題

當同盟用戶嘗試登入 Microsoft 365、Microsoft Azure 或 Microsoft Intune 等 Microsoft 雲端服務時,使用者會從 AD FS Active Directory 同盟服務 (收到下列錯誤訊息) :

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

發生此錯誤時,網頁瀏覽器的網址列會指向內部部署AD FS端點,其位址如下所示:

“https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248”

原因

此問題可能會因為下列其中一個原因而發生:

  • 未完成透過AD FS 設定單一登錄 (SSO) 。
  • AD FS 令牌簽署憑證已過期。
  • AD FS 用戶端存取原則宣告設定不正確。
  • 信賴憑證者與 Microsoft Entra ID的信任遺失或設定不正確。
  • AD FS 同盟 Proxy 伺服器設定不正確或公開不正確。
  • AD FS IUSR 帳戶沒有「驗證后模擬用戶端」用戶權力。

解決方案

若要解決此問題,請使用適合您情況的方法。

案例 1:AD FS 令牌簽署憑證已過期

檢查令牌簽署憑證是否已過期

若要檢查令牌簽署憑證是否已過期,請遵循下列步驟:

  1. 依序按兩下 [ 開始]、 [所有程式] 和 [ 系統管理工具],然後按兩下 [AD FS (2.0) 管理]
  2. 在AD FS管理控制台中,按兩下 [服務],按兩下 [憑證],然後檢查AD FS令牌簽署憑證的有效和到期日。

如果憑證已過期,則必須更新憑證才能還原 SSO 驗證功能。

如果令牌簽署憑證已過期,請更新令牌簽署憑證 ()

若要使用自我簽署憑證更新主要 AD FS 伺服器上的令牌簽署憑證,請遵循下列步驟:

  1. 在相同的 AD FS 管理控制台中,依序按兩下 [服務]、[ 憑證],然後在 [ 動作 ] 窗格的 [憑證] 下方,按兩下 [ 新增 Token-Signing 憑證]
  2. 如果出現「啟用 AD FS 自動憑證變換功能時無法修改憑證」警告,請移至步驟 3。 否則,請檢查憑證 [有效] 和 [到期日]。 如果憑證已成功更新,您就不需要執行步驟 3 和 4。
  3. 如果憑證未更新,請按兩下 [開始],指向 [所有程式],按兩下 [配件],按兩下 [Windows PowerShell] 資料夾,以滑鼠右鍵按兩下 [Windows PowerShell],然後按兩下 [以系統管理員身分執行]
  4. 在 Windows PowerShell 命令提示字元中,輸入下列命令。 輸入每個命令之後,按 Enter:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType:Token-Signing

若要在主要 AD FS 伺服器上使用證書頒發機構單位 (CA) 簽署憑證來更新令牌簽署憑證,請遵循下列步驟:

  1. 建立 WebServerTemplate.inf 檔案。 如果要執行這項操作,請依照下列步驟執行:

    1. 啟動記事本,然後開啟新的空白檔。

    2. 將下列內容貼到 檔案中:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. 在 檔案中,將 subject=“CN=adfs.contoso.com” 變更為下列內容:

      subject=“CN=your-federation-service-name

    4. 在 [檔案] 功能表上按一下 [另存新檔]

    5. 在 [另存新檔] 對話框中,按兩下 [另存新檔] 塊中的 [所有檔案 (]。) **

    6. 在 [ 檔名 ] 方塊中輸入 WebServerTemplate.inf,然後按兩下 [ 儲存]

  2. 將 WebServerTemplate.inf 檔案複製到其中一部 AD FS 同盟伺服器。

  3. 在 AD FS 伺服器上,開啟 [系統管理命令提示字元] 視窗。

  4. 使用 cd (change directory) 命令來變更為您複製 .inf 檔案的目錄。

  5. 輸入下列命令,然後按 Enter:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. 將輸出檔案 AdfsSSL.req 傳送至您的 CA 進行簽署。

  7. CA 會以 .p7b 或.cer格式傳回已簽署的公鑰部分。 將此檔案複製到您產生要求的AD FS 伺服器。

  8. 在 AD FS 伺服器上,開啟 [系統管理命令提示字元] 視窗。

  9. 使用 cd (change directory) 命令來變更為您複製 .p7b 或 .cer 檔案的目錄。

  10. 輸入下列命令,然後按 Enter:

    CertReq.exe -接受 “file-from-your-CA-p7b-or-cer”

完成還原 SSO 功能

不論是否使用自我簽署或 CA 簽署的憑證,您都應該完成還原 SSO 驗證功能。 如果要執行這項操作,請依照下列步驟執行:

  1. 為主要 AD FS 伺服器上的 AD FS 服務帳戶新增私鑰的讀取存取權。 如果要執行這項操作,請依照下列步驟執行:
    1. 按兩下 [開始],按兩下 [ 執行],輸入 mmc.exe,然後按 Enter。
    2. 在 [檔案] 功能表中,按一下 [新增/移除嵌入式管理單元]。
    3. 按兩下 [憑證],選取 [ 計算機帳戶],然後按 [ 下一步]
    4. 選取 [本機計算機],按兩下 [ 完成],然後按兩下 [ 確定]
    5. 依序展開 [憑證 (本機電腦)][個人] [憑證]。
    6. 以滑鼠右鍵按兩下新的令牌簽署憑證,指向[ 所有工作],然後按兩下 [ 管理私鑰]
    7. 將讀取許可權新增至 AD FS 服務帳戶,然後按兩下 [ 確定]
    8. 結束 [憑證] 嵌入式管理單元。
  2. 使用 Microsoft Entra ID 更新新憑證的指紋和信賴憑證者信任的日期。 To do this, see the "How to update the configuration of the Microsoft 365 federated domain" section in How to update or repair the settings of a federated domain in Microsoft 365, Azure, or Intune.
  3. 重新建立AD FS Proxy 信任設定。 如果要執行這項操作,請依照下列步驟執行:
    1. 在主要 AD FS 伺服器上重新啟動 AD FS Windows 服務。
    2. 等候 10 分鐘,讓憑證複寫到同盟伺服器陣列的所有成員,然後在 AD FS 伺服器的其餘部分重新啟動 AD FS Windows 服務。
    3. 在每個 AD FS Proxy 伺服器上重新執行 Proxy 設定精靈。 如需詳細資訊, 請參閱為同盟伺服器 Proxy 角色設定計算機

案例 2:您最近已透過宣告更新用戶端存取原則,現在登入無法運作

檢查是否已正確套用用戶端存取原則。 如需詳細資訊,請參閱 根據用戶端的位置限制對 Microsoft 365 服務的存取

案例 3:同盟元數據端點或信賴憑證者信任可能會停用

在主要 AD FS 伺服器上啟用與 Microsoft Entra ID 的同盟元數據端點和信賴憑證者信任。 如果要執行這項操作,請依照下列步驟執行:

  1. 開啟 AD FS 2.0 管理控制台。
  2. 請確定同盟元數據端點已啟用。 如果要執行這項操作,請依照下列步驟執行:
    1. 在左側瀏覽窗格中,流覽至 AD FS (2.0) 、服務、端點
    2. 在中央窗格中,以滑鼠右鍵按兩下 /Federation Metadata/2007-06/FederationMetadata.xml 專案,然後按下以選取 [在 Proxy 上 啟用 ] 和 [ 啟用]
  3. 請確定已啟用信賴憑證者與 Microsoft Entra ID的信任。 如果要執行這項操作,請依照下列步驟執行:
    1. 在左側瀏覽窗格中,流覽至 AD FS (2.0) ,然後流覽至 [ 信任關係],然後流覽至 [ 信賴憑證者信任]
    2. 如果 Microsoft Office 365 身分識別平臺存在,請以滑鼠右鍵按下此專案,然後按兩下 [啟用]
  4. 透過 Microsoft Entra ID 來修復信賴憑證者信任,方法是查看使用AD FS驗證和管理單一登錄的一節。

案例 4:信賴憑證者信任可能遺失或損毀

拿掉並重新新增信賴憑證者信任。 如果要執行這項操作,請依照下列步驟執行:

  1. 登入核心AD FS 伺服器。
  2. 按兩下 [開始],指向 [所有程式],按兩下 [ 系統管理工具],然後按兩下 [AD FS (2.0) 管理]
  3. 在管理控制台中,展開 [AD FS (2.0) ],展開 [ 信任關係],然後展開 [ 信賴憑證者信任]
  4. 如果 Microsoft Office 365 身分識別平臺存在,請以滑鼠右鍵按下此項目,然後按兩下 [刪除]
  5. 查看使用 AD FS驗證和管理單一登錄的一節,以重新新增信賴憑證者信任。

案例 5:AD FS 服務帳戶沒有「驗證后模擬用戶端」用戶權力

若要將「驗證后模擬用戶端」用戶權力授與 AD FS IUSR 服務帳戶,請參閱事件標識碼 128 — Windows NT 令牌型應用程式組態

參考資料

如需如何針對同盟使用者的登入問題進行疑難解答的詳細資訊,請參閱下列 Microsoft 知識庫文章:

  • 2530569針對 Microsoft 365、Intune 或 Azure 中的單一登錄設定問題進行疑難解答
  • 2712961如何針對使用者登入 Microsoft 365、Intune 或 Azure 時的 AD FS 端點連線問題進行疑難解答

是否仍需要協助? 移至 Microsoft 社群Microsoft Entra 論壇網站。