Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für einen Fehler, wenn Sie versuchen, auf eine Anwendung auf einer Website zuzugreifen, die AD FS 2.0 verwendet.
Ursprüngliche KB-Nummer: 3044971
Übersicht
Die meisten Active Directory-Verbunddienste (AD FS) 2.0-Probleme gehören zu einer der folgenden Hauptkategorien. Dieser Artikel enthält schrittweise Anleitungen zur Behandlung von Konnektivitätsproblemen.
- ADFS 2.0-Dienst kann nicht gestartet werden (KB-3044971)
- ADFS-Dienstprobleme (KB 3044973)
- Zertifikatprobleme (KB-3044974)
- Authentifizierungsprobleme (KB-3044976)
- Probleme mit Anspruchsregeln (KB 3044977)
Symptome
Symptom 1
Wenn Sie versuchen, auf eine Webanwendung auf einer Website zuzugreifen, die Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 verwendet, wird die folgende Fehlermeldung angezeigt:
Diese Seite kann nicht angezeigt werden.
Symptom 2
Sie können nicht auf die folgende vom IDP initiierte Anmeldeseite und AD FS-Metadaten zugreifen:
https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml
https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx
Lösung
Führen Sie die folgenden Schritte in der Reihenfolge aus, um dieses Problem zu beheben. Diese Schritte helfen Ihnen, die Ursache des Problems zu ermitteln. Stellen Sie sicher, dass Sie überprüfen, ob das Problem nach jedem Schritt behoben wurde.
Schritt 1: Überprüfen, ob der Client an die richtige AD FS-URL umgeleitet wird
Überprüfen
- Starten Sie Internet Explorer.
- Drücken Sie F12, um das Entwicklertoolsfenster zu öffnen.
- Wählen Sie auf der Registerkarte "Netzwerk " die Startschaltfläche aus, oder drücken Sie "Aufzeichnung starten" , um die Erfassung von Netzwerkdatenverkehr zu ermöglichen.
- Navigieren Sie zur URL der Webanwendung.
- Überprüfen Sie die Netzwerkablaufverfolgungen, um festzustellen, dass der Client zur Authentifizierung an die URL des AD FS-Diensts umgeleitet wird. Stellen Sie sicher, dass die AD FS-Dienst-URL korrekt ist.
Im folgenden Screenshot ist die erste URL für die Webanwendung und die zweite URL für den AD FS-Dienst.
So behebt man den Fehler
Wenn Sie zu einer falschen Adresse umgeleitet werden, verfügen Sie wahrscheinlich über falsche AD FS-Verbundeinstellungen in Ihrer Webanwendung. Überprüfen Sie diese Einstellungen, um sicherzustellen, dass die AD FS-Verbunddienst-URL (SAML-Dienstanbieter) korrekt ist.
Schritt 2: Überprüfen, ob der AD FS-Dienstname in die richtige IP-Adresse aufgelöst werden kann
Überprüfen
Verwenden Sie auf einem Clientcomputer und einem AD FS-Proxyserver (falls vorhanden) einen Ping- oder nslookup-Befehl, um zu bestimmen, ob der AD FS-Dienstname in die richtige IP-Adresse aufgelöst wird. Verwenden Sie die folgenden Richtlinien:
Intranet: Der Name sollte in die INTERNE AD FS-Server-IP oder die Lastenausgleichs-IP des AD FS-Servers (Intern) aufgelöst werden.
Extern: Der Name sollte in die externe/öffentliche IP des AD FS-Diensts aufgelöst werden. In diesem Fall wird das öffentliche DNS verwendet, um den Namen aufzulösen. Wenn Sie feststellen, dass unterschiedliche öffentliche IPs von verschiedenen Computern für denselben AD FS-Dienstnamen zurückgegeben werden, wird die jüngste Änderung im öffentlichen DNS möglicherweise noch nicht auf allen öffentlichen DNS-Servern weltweit verteilt. Eine solche Änderung kann bis zu 24 Stunden erfordern, um repliziert zu werden.
Wichtig
Stellen Sie auf allen AD FS-Servern sicher, dass die AD FS-Proxyserver den Namen des AD FS-Diensts in die interne AD FS-Server-IP oder auf die IP-Adresse des internen AD FS-Servers auflösen können. Die beste Möglichkeit hierfür ist das Hinzufügen eines Eintrags in der HOST-Datei auf dem AD FS-Proxyserver oder die Verwendung einer geteilten DNS-Konfiguration in einem Umkreisnetzwerk (auch bekannt als "DMZ", "demilitarisierte Zone" und "abgeschirmtes Subnetz").
Beispiel für den Befehl "nslookup":
Nslookup sts.contoso.com
So behebt man den Fehler
Überprüfen Sie den Eintrag für den AD FS-Dienstnamen über den DNS-Server oder Internetdienstanbieter (INTERNET Service Provider, ISP). Stellen Sie sicher, dass die IP-Adresse korrekt ist.
Schritt 3: Überprüfen, ob auf den AD FS-Server auf TCP-Port 443 zugegriffen werden kann
Überprüfen
Verwenden Sie Telnet oder PortQryUI – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner , um die Konnektivität von Port 443 auf dem AD FS-Server abzufragen. Stellen Sie sicher, dass der 443-Port überwacht wird.
So behebt man den Fehler
Wenn der AD FS-Server den 443-Port nicht überwacht, führen Sie die folgenden Schritte aus:
- Stellen Sie sicher, dass der AD FS 2.0-Windows-Dienst gestartet wird.
- Überprüfen Sie die Windows-Firewalleinstellung auf dem AD FS-Server, um sicherzustellen, dass der TCP 433-Port Verbindungen herstellen darf.
- Wenn ein Lastenausgleichsmodul vor den AD FS-Diensten verwendet wird, versuchen Sie, den Lastenausgleich zu umgehen, um zu überprüfen, ob dies nicht die Ursache des Problems ist. (Lastenausgleich ist eine häufige Ursache.)
Schritt 4: Überprüfen, ob Sie eine idP-initiierte Anmeldeseite verwenden können, um sich bei ADFS zu authentifizieren
Überprüfen
Starten Sie Internet Explorer, und navigieren Sie dann zur folgenden Webadresse. Wenn Beim Öffnen dieser Seite eine Zertifikatwarnung angezeigt wird, wählen Sie "Weiter" aus.
<http:// YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx
Notiz
In dieser URL <stellt YourADFSServiceName> den tatsächlichen AD FS-Dienstnamen dar.
In der Regel greifen Sie auf einen Anmeldebildschirm zu, und dann können Sie sich mit Ihren Anmeldeinformationen anmelden.
So behebt man den Fehler
Wenn Sie Schritt 1 bis Schritt 3 erfolgreich ausführen können, aber immer noch nicht auf die Webanwendung zugreifen können, führen Sie die folgenden Schritte aus:
- Verwenden Sie einen anderen Clientcomputer und einen anderen Browser, um die Tests durchzuführen. Es kann ein Problem geben, das sich auf den Client auswirkt.
- Führen Sie die folgenden erweiterten Schritte zur Problembehandlung aus:
- Sammeln Sie Fiddler Web Debugger-Ablaufverfolgungs- und Netzwerkerfassungsinformationen, während Sie auf die
IDPInitiatedsignon
Seite zugreifen. Weitere Informationen finden Sie unter AD FS 2.0: Verwenden des Fiddler-Webdebuggers zum Analysieren einer passiven WS-Verbundanmeldung. - Sammeln Sie Netzwerkablaufverfolgungen vom Clientcomputer, um zu überprüfen, ob der SSL-Handshake erfolgreich abgeschlossen wurde, ob eine verschlüsselte Nachricht vorhanden ist, ob Sie auf die richtige IP-Adresse zugreifen usw. Weitere Informationen finden Sie unter Aktivieren der Schannel-Ereignisprotokollierung in Windows und Windows Server.
Informationen zum Haftungsausschluss von Drittanbietern
Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.