Benutzer wird bei anspruchsbasierten Authentifizierung nicht validiert (SharePoint Server)
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Wenn Benutzer versuchen, sich mit einer Webanwendung zu verbinden, werden nicht erfolgreiche Authentifizierungsereignisse in Protokollen aufgezeichnet. Wenn Sie mit von Microsoft bereitgestellten Tools systematisch versuchen, die Fehler zu untersuchen, können sich mit gängigen Problemen bei der Forderungsauthentifizierung vertraut machen und diese beheben.
Für einen erfolgreichen Zugriff auf eine SharePoint-Ressource werden eine Authentifizierung und Autorisierung benötigt. Wenn Sie mit Ansprüchen arbeiten, wird bei der Authentifizierung geprüft, ob das Sicherheitstoken gültig ist. Bei der Autorisierung wird geprüft, ob der Zugriff auf die Ressource erlaubt ist, was von der Gruppe der Ansprüche im Sicherheitstoken und den für die Ressource konfigurierten Berechtigungen abhängt.
Um zu prüfen, ob ein Zugriffsproblem auf die Authentifizierung oder Autorisierung zurückzuführen ist, untersuchen Sie im Browserfenster eingehend die Fehlermeldung.
Wenn die Fehlermeldung besagt, dass der Benutzer keinen Zugriff auf die Website hat, war die Authentifizierung erfolgreich, die Autorisierung hingegen nicht. Versuchen Sie Probleme bei der Autorisierung wie folgt zu lösen:
Der gängigste Grund einer nicht erfolgreichen Autorisierung bei Verwenden der SAML-Forderungsauthentifizierung (Security Assertion Markup Language) ist, dass Berechtigungen dem Windows-basierten Konto eines Benutzers (Domäne\Benutzer) und nicht dem SAML-Identitätsanspruch des Benutzers zugewiesen wurden.
Prüfen Sie, ob der Benutzer oder eine Gruppe, zu der der Benutzer gehört, für die Verwendung der entsprechenden Berechtigungen konfiguriert wurde. Weitere Informationen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen in SharePoint Server.
Mithilfe der Tools und Techniken in diesem Artikel können Sie die verschiedenen Ansprüche im Sicherheitstoken des Benutzers bestimmen und anschließend mit den konfigurierten Berechtigungen vergleichen.
Wenn die Meldung besagt, dass die Authentifizierung keinen Erfolg hatte, liegt ein Authentifizierungsproblem vor. Wenn die Ressource in einer SharePoint-Webanwendung mit Forderungsauthentifizierung enthalten ist, nutzen Sie die Informationen in diesem Artikel, um mit der Problembehandlung zu beginnen.
Tools zur Problembehandlung
Es folgen die primären von Microsoft bereitgestellten Tools zur Problembehandlung, mit denen Sie Informationen zur Forderungsauthentifizierung in SharePoint Server erfassen können:
Nutzen Sie Protokolle des vereinheitlichten Protokollierungsdiensts (Unified Logging Service, ULS), um Details zu Authentifizierungstransaktionen zu erhalten.
Verwenden Sie die Zentraladministration, um die Details der Benutzerauthentifizierungseinstellungen für SharePoint-Webanwendungen und Zonen zu überprüfen und ULS-Protokollierungsstufen zu konfigurieren.
Bei Verwenden der Active Directory-Verbunddienste 2.0 (AD FS) als Verbundanbieter für die auf SAML (Security Assertion Markup Language) basierende Forderungsauthentifizierung können Sie die AD FS-Protokollierung nutzen, um die Ansprüche in Sicherheitstoken zu bestimmen, die AD FS für Webclientcomputer ausstellt.
Nutzen Sie Netzwerkmonitor 3.4 zum Erfassen und Untersuchen der Details zum Netzwerkdatenverkehr bei der Benutzerauthentifizierung.
Festlegen der ULS-Protokollierungsstufe für die Benutzerauthentifizierung
Im folgenden Verfahren wird SharePoint Server für die Protokollierung der Höchstmenge an Informationen für Versuche der Forderungsauthentifizierung konfiguriert.
So konfigurieren Sie SharePoint Server für die Protokollierung der Höchstmenge an Informationen bei der Authentifizierung
Klicken Sie in der Zentraladministration im Schnellstartmenü auf Überwachung und anschließend auf Diagnoseprotokollierung konfigurieren.
Erweitern Sie in der Liste der Kategorien SharePoint Foundation, und wählen Sie dann Authentifizierungsautorisierung und anschließend Forderungsauthentifizierung aus.
Wählen Sie für Unwichtigstes, im Ereignisprotokoll aufzuzeichnendes Ereignis die Option Ausführlich aus.
Wählen Sie für Unwichtigstes, im Ablaufverfolgungsprotokoll aufzuzeichnendes Ereignis die Option Ausführlich aus.
Klicken Sie auf OK.
Befolgen Sie zum Optimieren der Leistung, wenn Sie keine Probleme mit der Forderungsauthentifizierung behandeln, diese Schritte, um die Protokollierung der Benutzerauthentifizierung auf die Standardeinstellungen festzulegen.
So konfigurieren Sie SharePoint Server für die Protokollierung der Standardmenge an Informationen bei der Authentifizierung
Klicken Sie in der Zentraladministration im Schnellstartmenü auf Überwachung und anschließend auf Diagnoseprotokollierung konfigurieren.
Erweitern Sie in der Liste der Kategorien SharePoint Foundation, und wählen Sie dann Authentifizierungsautorisierung und anschließend Forderungsauthentifizierung aus.
Wählen Sie für Unwichtigstes, im Ereignisprotokoll aufzuzeichnendes Ereignis die Option Information aus.
Wählen Sie für Unwichtigstes, im Ablaufverfolgungsprotokoll aufzuzeichnendes Ereignis die Option Mittel aus.
Klicken Sie auf OK.
Konfigurieren der AD FS-Protokollierung
Selbst wenn Sie die Höchststufe der ULS -Protokollierung aktivieren, zeichnet SharePoint Server nicht die Ansprüche in einem empfangenen Sicherheitstoken auf. Wenn Sie AD FS für die SAML-basierte Forderungsauthentifizierung verwenden, können Sie die AD FS-Protokollierung aktivieren und mithilfe der Ereignisanzeige die Ansprüche auf Sicherheitstoken untersuchen, die SharePoint Server ausstellt.
So aktivieren Sie die AD FS-Protokollierung
Klicken Sie auf dem Server mit AD FS in der Ereignisanzeige auf Ansicht und anschließend auf Analytische und Debugprotokolle einblenden.
Erweitern Sie in der Konsolenstruktur der Ereignisanzeige Anwendungs- und Dienstprotokolle/AD FS 2.0-Ablaufverfolgung.
Klicken Sie mit der rechten Maustaste auf Debuggen, und klicken Sie anschließend auf Protokoll aktivieren.
Öffnen Sie den Ordner %ProgramFiles%\Active Directory Federation Services 2.0.
Öffnen Sie in Editor die Datei Microsoft.IdentityServer.ServiceHost.Exe.Config.
Klicken Sie auf Bearbeiten, dann auf Suchen, geben Sie <source name="Microsoft.IdentityModel" switchValue="Off"> ein, und klicken Sie danach auf OK.
Ändern Sie switchValue="Off" in switchValue="Verbose".
Klicken Sie auf Datei, dann auf Speichern, und schließen Sie Editor.
Klicken Sie im Dienst-Snap-In mit der rechten Maustaste auf den AD FS 2.0-Dienst, und klicken Sie dann auf Neu starten.
Sie können nun in der Ereignisanzeige auf dem Server mit AD FS im Knoten Anwendungs- und Dienstprotokolle/AD FS 2.0-Ablaufverfolgung/Debugging die Details zu Ansprüchen untersuchen. Suchen Sie nach Ereignissen mit der Ereignis-ID 1001.
Sie können Ansprüche auch mit einem HttpModule oder Webpart oder über OperationContext spezifizieren. Weitere Informationen finden Sie unter Abrufen aller Benutzeransprüche in Anspruchaugmentationszeit in SharePoint 2010. Diese Informationen für SharePoint 2010 gelten auch für SharePoint 2013.
Problembehandlungsmethoden für die Forderungsauthentifizierung
Anhand der folgenden Schritte können Sie die Ursache nicht erfolgreicher Versuche der Forderungsauthentifizierung bestimmen.
1. Schritt: Bestimmen der Details des nicht erfolgreichen Authentifizierungsversuchs
Um detaillierte und endgültige Informationen zu einem fehlgeschlagenen Authentifizierungsversuch zu erhalten, müssen Sie sie in den SharePoint ULS-Protokollen finden. Diese Protokolldateien werden im Ordner %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS gespeichert.
Informationen zu einem nicht erfolgreichen Authentifizierungsversuch können Sie in den ULS-Protokolldateien entweder manuell oder mithilfe der ULS-Protokollanzeige finden.
So finden Sie Informationen zu einem nicht erfolgreichen Authentifizierungsversuch manuell
Bestimmen Sie den Namen des Benutzerkontos mit dem nicht erfolgreichen Authentifizierungsversuch.
Navigieren Sie auf dem Server mit SharePoint Server oder SharePoint Foundation zum Ordner %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS oder %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\15\LOGS.
Klicken Sie im Ordner LOGS auf Geändert am, um den Ordner anhand des Datums mit dem neuesten Protokoll ganz oben zu sortieren.
Versuchen Sie es erneut mit der Authentifizierungsaufgabe.
Doppelklicken Sie im Fenster des Ordners LOGS auf die Protokolldatei ganz oben in der Liste, um diese in Editor zu öffnen.
Klicken Sie in Editor auf Bearbeiten, dann auf Suchen, geben Sie Authentication Authorization oder Claims Authentication ein, und klicken Sie auf Weitersuchen.
Klicken Sie auf Abbrechen, und lesen Sie den Inhalt in der Spalte Meldung.
Den ULS Viewer müssen Sie zunächst von der Website ULS Viewer herunterladen und in einem Ordner auf dem Server mit SharePoint Server oder SharePoint Foundation speichern. Befolgen Sie nach der Installation die folgenden Schritte, um den nicht erfolgreichen Authentifizierungsversuch zu ermitteln.
So finden Sie Informationen zu einem nicht erfolgreichen Authentifizierungsversuch mit ULS Viewer
Doppelklicken Sie auf dem Server mit SharePoint Server oder SharePoint Foundation im Speicherordner auf Ulsviewer.
Klicken Sie im ULS Viewer auf File, zeigen Sie auf Open From, und klicken Sie auf ULS.
Vergewissern Sie sich im Dialogfeld ULS-Laufzeitfeed einrichten , dass der Ordner %CommonProgramFiles% \Common Files\Microsoft Shared\Web Server Extensions\16\LOGS oder \Common Files\Microsoft Shared\Web Server Extensions\15\LOGS unter UlS-Feed aus standardprotokolldateiverzeichnis verwenden angegeben ist. Falls nicht, klicken Sie auf Use directory location for real-time feeds und geben Sie den Ordner %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\16\LOGS oder \Microsoft Shared\Web Server Extensions\15\LOGS in Log file location an.
Ersetzen Sie %CommonProgramFiles% durch den Wert der Umgebungsvariablen CommonProgramFiles des Servers mit SharePoint Server oder SharePoint Foundation. Wenn der Speicherort beispielsweise Laufwerk C ist, wird %CommonProgramFiles% auf C:\Programme\Common Files festgelegt.
Klicken Sie auf OK.
Klicken Sie auf Edit und dann auf Modify Filter.
Klicken Sie im Dialogfeld Filtern nach unter Feld auf Kategorie.
Geben Sie in Value entweder Authentication Authorization oder Claims Authentication ein, und klicken Sie dann auf OK.
Wiederholen Sie den Authentifizierungsversuch.
Doppelklicken Sie im Fenster ULS Viewer auf die angezeigten Zeilen, um den Bereich Message anzuzeigen.
Im Abschnitt zur Anspruchscodierung des Bereichs „Message" bei Nicht-OAuth-Anforderungen können Sie die Authentifizierungsmethode und codierte Benutzeridentität in der mit dem Anspruch codierten Zeichenfolge (Beispiel: i:0#.w|contoso\chris) finden. Weitere Informationen finden Sie unter SharePoint 2013 und SharePoint 2010-Anspruchscodierung.
2. Schritt: Überprüfen der Konfigurationsanforderungen
In der die Website für die SharePoint-Zentraladministration können Sie bestimmen, wie eine Webanwendung oder Zone zur Unterstützung einer oder mehrerer Forderungsauthentifizierungsmethoden konfiguriert sein muss.
So überprüfen Sie die Authentifizierungskonfiguration für eine Webanwendung oder Zone
Klicken Sie in der Zentraladministration im Schnellstartmenü auf die Anwendungsverwaltung und dann auf Webanwendungen verwalten.
Klicken Sie auf den Namen der Webanwendung, auf die der Benutzer zuzugreifen versucht, und anschließend in der Gruppe Sicherheit des Menübands auf Authentifizierungsanbieter.
Klicken Sie in der Liste der Authentifizierungsanbieter auf die gewünschte Zone (z. B. Standard).
Überprüfen Sie im Dialogfeld Authentifizierung bearbeiten im Abschnitt Anspruchsauthentifizierungstypen die Einstellungen für die Anspruchsauthentifizierung.
Überprüfen Sie für die Windows-Forderungsauthentifizierung, dass Windows-Authentifizierung aktivieren und Integrierte Windows-Authentifizierung ausgewählt sind und dass entweder NTLM oder Aushandeln (Kerberos) bei Bedarf ausgewählt ist. Wählen Sie bei Bedarf Standardauthentifizierung aus.
Überprüfen Sie, ob für die formularbasierte Authentifizierung Formularbasierte Authentifizierung aktivieren aktiviert ist. Überprüfen Sie die Werte in Name des ASP.NET-Mitgliedschaftsanbieters und Name des ASP.NET-Rollen-Managers. Diese Werte müssen den Mitgliedschaftsanbieter- und Rollenwerten entsprechen, die Sie in Ihren Dateien vom Typ web.config für die die Website für die SharePoint-Zentraladministration, Webanwendung und SharePoint Web Services\SecurityTokenServiceApplication konfiguriert haben. Weitere Informationen finden Sie unter Configure forms-based authentication for a claims-based web application in SharePoint Server.
Überprüfen Sie bei der SAML-basierten Forderungsauthentifizierung, ob Vertrauenswürdiger Identitätsanbieter und der ordnungsgemäße vertrauenswürdige Anbietername ausgewählt sind. Weitere Informationen finden Sie unter Configure SAML-based claims authentication with AD FS in SharePoint Server.
Überprüfen Sie im Abschnitt URL der Anmeldeseite die Option für die Anmeldeseite. Für eine Standardanmeldeseite muss Standardanmeldeseite ausgewählt sein. Überprüfen Sie bei einer benutzerdefinierten Anmeldeseite die für diese angegebene URL. Kopieren Sie zu diese zur Überprüfung, und versuchen Sie, darauf in einem Webbrowser zuzugreifen.
Klicken Sie auf Speichern, um die Änderungen an den Authentifizierungseinstellungen zu speichern.
Wiederholen Sie den Authentifizierungsversuch. Wird bei der formular- oder SAML-basierten Authentifizierung die erwartete Anmeldeseite mit den ordnungsgemäßen Anmeldeoptionen angezeigt?
Wenn die Authentifizierung weiter keinen Erfolg hat, überprüfen Sie die ULS-Protokolle, um zu ermitteln, ob es Unterschiede zwischen dem Authentifizierungsversuch vor der Änderung der Authentifizierungskonfiguration und danach gibt.
3. Schritt: Weitere zu überprüfende Elemente
Überprüfen Sie nach der Prüfung der Protokolldateien und Webanwendungskonfiguration Folgendes:
Der Webbrowser auf dem Webclientcomputer unterstützt Ansprüche. Weitere Informationen finden Sie unter Planen der Browserunterstützung in SharePoint Server 2016.
Überprüfen Sie für die Windows-Forderungsauthentifizierung Folgendes:
Der Computer, auf dem der Benutzer die Authentifizierung versucht, ist Mitglied derselben Domäne wie der Server, der die SharePoint-Webanwendung hostet, oder einer Domäne, der der hostende Server vertraut.
Der Computer, auf dem der Benutzer den Authentifizierungsversuch ausgibt, ist bei seiner Active Directory Domain Services-Domäne (AD DS) angemeldet. Geben Sie nltest /dsgetdc: /force an einer Eingabeaufforderung oder in der SharePoint-Verwaltungsshell auf dem Webclientcomputer ein, um sicherzustellen, dass er auf einen Domänencontroller zugreifen kann. Wenn keine Domänencontroller aufgeführt sind, beheben Sie die fehlende Auffindbarkeit und Konnektivität zwischen dem Webclientcomputer und einem AD DS-Domänencontroller.
Der Server, auf dem SharePoint Server oder SharePoint Foundation ausgeführt wird, ist bei seiner AD DS-Domäne angemeldet. Geben Sie nltest /dsgetdc: /force an einer Eingabeaufforderung oder in der SharePoint-Verwaltungsshell auf dem Server ein, auf dem SharePoint Server oder SharePoint Foundation ausgeführt wird, um sicherzustellen, dass er auf einen Domänencontroller zugreifen kann. Wenn keine Domänencontroller aufgeführt sind, beheben Sie die fehlende Erkennbarkeit und Konnektivität zwischen dem Server, auf dem SharePoint Server oder SharePoint Foundation ausgeführt wird, und einem AD DS-Domänencontroller.
Überprüfen Sie für die formularbasierte Authentifizierung Folgendes:
Die Benutzeranmeldeinformationen für die konfigurierte ASP.NET-Mitgliedschaft und den Rollenanbieter sind ordnungsgemäß.
Die Systeme, die die ASP.NET-Mitgliedschaft und den Rollenanbieter hosten, sind im Netzwerk verfügbar.
Auf benutzerdefinierten Anmeldeseiten werden die Anmeldeinformationen des Benutzers ordnungsgemäß erfasst und übertragen. Um dies zu testen, konfigurieren Sie die Webanwendung für eine vorübergehende Verwendung der Standardanmeldeseite, und prüfen Sie, ob diese funktioniert.
Überprüfen Sie für die SAML-basierte Authentifizierung Folgendes:
Die Benutzeranmeldeinformationen für den konfigurierten Identitätsanbieter sind ordnungsgemäß.
Systeme, die als Verbundanbieter (z. B. AD FS) und Identitätsanbieter (z. B. AD DS oder Drittanbieter) sind im Netzwerk verfügbar.
Auf benutzerdefinierten Anmeldeseiten werden die Anmeldeinformationen des Benutzers ordnungsgemäß erfasst und übertragen. Um dies zu testen, konfigurieren Sie die Webanwendung für eine vorübergehende Verwendung der Standardanmeldeseite, und prüfen Sie, ob diese funktioniert.
4. Schritt: Überwachen und Analysieren des Internetdatenverkehrs mit einem Debuggingtool
Analysieren Sie mit einem Tool, wie z. B. HttpWatch oder Fiddler die folgenden Typen von HTTP-Datenverkehr:
Zwischen dem Webclientcomputer und dem Server mit SharePoint Server oder SharePoint Foundation
Sie können beispielsweise die HTTP Redirect-Nachrichten überwachen, die der Server mit SharePoint Server oder SharePoint Foundation sendet, um den Webclientcomputer über den Standort eines Verbundservers (z. B. AD FS) zu informieren.
Zwischen dem Webclientcomputer und dem Verbundserver (z. B. AD FS)
Sie können beispielsweise die HTTP-Nachrichten, die der Webclientcomputer sendet, und die Antworten des Verbundservers überwachen, die ggf. Sicherheitstoken und ihre Ansprüche enthalten.
Hinweis
[!HINWEIS] Bei Fiddler kann der Authentifizierungsversuch nach der Anforderung von drei Authentifizierungsaufforderungen fehlschlagen. Um dies zu verhindern, lesen Sie Verwenden von Fiddler mit SAML und SharePoint zum Abrufen der letzten drei Authentifizierungsaufforderungen.
5. Schritt: Erfassen und Analysieren von Netzwerkdatenverkehr für die Authentifizierung
Erfassen und analysieren Sie mit einem Tool wie Netzwerkmonitor 3.4 den Datenverkehr zwischen dem Webclientcomputer, dem Server mit SharePoint Server oder SharePoint Foundation und den Systemen, auf denen SharePoint Server oder SharePoint Foundation die Forderungsauthentifizierung verwenden.
Hinweis
In vielen Fällen verwendet die Anspruchsauthentifizierung HTTPS-basierte Verbindungen (Hypertext Transfer Protocol Secure), die die zwischen Computern gesendeten Nachrichten verschlüsseln. Sie können den Inhalt verschlüsselter Nachrichten mit einem Tool für Netzwerkdatenverkehr nicht ohne die Hilfe eines Add-Ins oder einer Erweiterung anzeigen. Für Netzwerkmonitor müssen Sie beispielsweise den Entschlüsselungsexperten für Netzwerkmonitor installieren und konfigurieren. Als einfachere Alternative zum Versuch, HTTPS-Nachrichten zu entschlüsseln, verwenden Sie ein Tool wie Fiddler auf dem Server, der SharePoint Server oder SharePoint Foundation hostet, das die unverschlüsselten HTTP-Nachrichten melden kann.
Eine Analyse des Netzwerkdatenverkehrs kann die folgenden Informationen liefern:
Die exakte Menge von Protokollen und Nachrichten, die zwischen den am Forderungsauthentifizierungsvorgang beteiligten Computern gesendet werden. Antwortnachrichten können Informationen zu Fehlerbedingungen enthalten, mit deren Hilfe Sie weitere Schritte zur Problembehandlung bestimmen können.
Ob es für Anforderungsnachrichten entsprechende Antworten gibt. Wenn mehrere gesendete Anforderungsnachrichten keine Antwort erhalten, kann dies bedeuten, dass der Netzwerkdatenverkehr nicht sein vorgesehenes Ziel erreicht. Führen Sie eine Überprüfung auf Paketweiterleitungsprobleme, Paketfiltergeräte im Pfad (z. B. eine Firewall) oder Paketfilterung am Ziel (z. B. lokale Firewall) durch.
Ob mehrere Forderungsmethoden versucht werden, und welche keinen Erfolg haben.
Für die Windows-Forderungsauthentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:
Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation
Server mit SharePoint Server oder SharePoint Foundation und seinem Domänencontroller
Für die formularbasierte Authentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:
Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation
Server mit SharePoint Server oder SharePoint Foundation und dem ASP.NET-Mitgliedschafts- und Rollenanbieter
Für die SAML-basierte Authentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:
Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation
Webclientcomputer und dessen Identitätsanbieter (z. B. ein AD DS-Domänencontroller)
Webclientcomputer und Verbundanbieter (z. B. AD FS)
Siehe auch
Weitere Ressourcen
Configure forms-based authentication for a claims-based web application in SharePoint Server
Configure SAML-based claims authentication with AD FS in SharePoint Server