Freigeben über


ADFS 2.0-Fehler: Diese Seite kann nicht angezeigt werden.

Dieser Artikel enthält eine Lösung für einen Fehler, wenn Sie versuchen, auf eine Anwendung auf einer Website zuzugreifen, die AD FS 2.0 verwendet.

Ursprüngliche KB-Nummer: 3044971

Übersicht

Die meisten Active Directory-Verbunddienste (AD FS) 2.0-Probleme gehören zu einer der folgenden Hauptkategorien. Dieser Artikel enthält schrittweise Anleitungen zur Behandlung von Konnektivitätsproblemen.

Symptome

  • Symptom 1

    Wenn Sie versuchen, auf eine Webanwendung auf einer Website zuzugreifen, die Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 verwendet, wird die folgende Fehlermeldung angezeigt:

    Diese Seite kann nicht angezeigt werden.

  • Symptom 2

    Sie können nicht auf die folgende vom IDP initiierte Anmeldeseite und AD FS-Metadaten zugreifen:

    https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

    https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

Lösung

Führen Sie die folgenden Schritte in der Reihenfolge aus, um dieses Problem zu beheben. Diese Schritte helfen Ihnen, die Ursache des Problems zu ermitteln. Stellen Sie sicher, dass Sie überprüfen, ob das Problem nach jedem Schritt behoben wurde.

Schritt 1: Überprüfen, ob der Client an die richtige AD FS-URL umgeleitet wird

  • Überprüfen

    1. Starten Sie Internet Explorer.
    2. Drücken Sie F12, um das Entwicklertoolsfenster zu öffnen.
    3. Wählen Sie auf der Registerkarte "Netzwerk " die Startschaltfläche aus, oder drücken Sie "Aufzeichnung starten" , um die Erfassung von Netzwerkdatenverkehr zu ermöglichen.
    4. Navigieren Sie zur URL der Webanwendung.
    5. Überprüfen Sie die Netzwerkablaufverfolgungen, um festzustellen, dass der Client zur Authentifizierung an die URL des AD FS-Diensts umgeleitet wird. Stellen Sie sicher, dass die AD FS-Dienst-URL korrekt ist.

    Im folgenden Screenshot ist die erste URL für die Webanwendung und die zweite URL für den AD FS-Dienst.

    Die URL der Webanwendung und die A D F S-Dienst-URL, die in den Entwicklertools aufgeführt sind.

  • So behebt man den Fehler

    Wenn Sie zu einer falschen Adresse umgeleitet werden, verfügen Sie wahrscheinlich über falsche AD FS-Verbundeinstellungen in Ihrer Webanwendung. Überprüfen Sie diese Einstellungen, um sicherzustellen, dass die AD FS-Verbunddienst-URL (SAML-Dienstanbieter) korrekt ist.

Schritt 2: Überprüfen, ob der AD FS-Dienstname in die richtige IP-Adresse aufgelöst werden kann

  • Überprüfen

    Verwenden Sie auf einem Clientcomputer und einem AD FS-Proxyserver (falls vorhanden) einen Ping- oder nslookup-Befehl, um zu bestimmen, ob der AD FS-Dienstname in die richtige IP-Adresse aufgelöst wird. Verwenden Sie die folgenden Richtlinien:

    • Intranet: Der Name sollte in die INTERNE AD FS-Server-IP oder die Lastenausgleichs-IP des AD FS-Servers (Intern) aufgelöst werden.

    • Extern: Der Name sollte in die externe/öffentliche IP des AD FS-Diensts aufgelöst werden. In diesem Fall wird das öffentliche DNS verwendet, um den Namen aufzulösen. Wenn Sie feststellen, dass unterschiedliche öffentliche IPs von verschiedenen Computern für denselben AD FS-Dienstnamen zurückgegeben werden, wird die jüngste Änderung im öffentlichen DNS möglicherweise noch nicht auf allen öffentlichen DNS-Servern weltweit verteilt. Eine solche Änderung kann bis zu 24 Stunden erfordern, um repliziert zu werden.

      Wichtig

      Stellen Sie auf allen AD FS-Servern sicher, dass die AD FS-Proxyserver den Namen des AD FS-Diensts in die interne AD FS-Server-IP oder auf die IP-Adresse des internen AD FS-Servers auflösen können. Die beste Möglichkeit hierfür ist das Hinzufügen eines Eintrags in der HOST-Datei auf dem AD FS-Proxyserver oder die Verwendung einer geteilten DNS-Konfiguration in einem Umkreisnetzwerk (auch bekannt als "DMZ", "demilitarisierte Zone" und "abgeschirmtes Subnetz").

      Beispiel für den Befehl "nslookup":

      Nslookup sts.contoso.com
      

      Die Ausgabe, die nach dem Ausführen des Befehls

  • So behebt man den Fehler

    Überprüfen Sie den Eintrag für den AD FS-Dienstnamen über den DNS-Server oder Internetdienstanbieter (INTERNET Service Provider, ISP). Stellen Sie sicher, dass die IP-Adresse korrekt ist.

Schritt 3: Überprüfen, ob auf den AD FS-Server auf TCP-Port 443 zugegriffen werden kann

  • Überprüfen

    Verwenden Sie Telnet oder PortQryUI – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner , um die Konnektivität von Port 443 auf dem AD FS-Server abzufragen. Stellen Sie sicher, dass der 443-Port überwacht wird.

    Das Ergebnis der Portabfrage zum Überprüfen der Konnektivität von Port 443 auf dem A D F S-Server.

  • So behebt man den Fehler

    Wenn der AD FS-Server den 443-Port nicht überwacht, führen Sie die folgenden Schritte aus:

    1. Stellen Sie sicher, dass der AD FS 2.0-Windows-Dienst gestartet wird.
    2. Überprüfen Sie die Windows-Firewalleinstellung auf dem AD FS-Server, um sicherzustellen, dass der TCP 433-Port Verbindungen herstellen darf.
    3. Wenn ein Lastenausgleichsmodul vor den AD FS-Diensten verwendet wird, versuchen Sie, den Lastenausgleich zu umgehen, um zu überprüfen, ob dies nicht die Ursache des Problems ist. (Lastenausgleich ist eine häufige Ursache.)

Schritt 4: Überprüfen, ob Sie eine idP-initiierte Anmeldeseite verwenden können, um sich bei ADFS zu authentifizieren

  • Überprüfen

    Starten Sie Internet Explorer, und navigieren Sie dann zur folgenden Webadresse. Wenn Beim Öffnen dieser Seite eine Zertifikatwarnung angezeigt wird, wählen Sie "Weiter" aus.

    <http:// YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx

    Notiz

    In dieser URL <stellt YourADFSServiceName> den tatsächlichen AD FS-Dienstnamen dar.

    In der Regel greifen Sie auf einen Anmeldebildschirm zu, und dann können Sie sich mit Ihren Anmeldeinformationen anmelden.

    Screenshot der Anmeldeseite A D F S.

  • So behebt man den Fehler

    Wenn Sie Schritt 1 bis Schritt 3 erfolgreich ausführen können, aber immer noch nicht auf die Webanwendung zugreifen können, führen Sie die folgenden Schritte aus:

    1. Verwenden Sie einen anderen Clientcomputer und einen anderen Browser, um die Tests durchzuführen. Es kann ein Problem geben, das sich auf den Client auswirkt.
    2. Führen Sie die folgenden erweiterten Schritte zur Problembehandlung aus:
    3. Sammeln Sie Fiddler Web Debugger-Ablaufverfolgungs- und Netzwerkerfassungsinformationen, während Sie auf die IDPInitiatedsignon Seite zugreifen. Weitere Informationen finden Sie unter AD FS 2.0: Verwenden des Fiddler-Webdebuggers zum Analysieren einer passiven WS-Verbundanmeldung.
    4. Sammeln Sie Netzwerkablaufverfolgungen vom Clientcomputer, um zu überprüfen, ob der SSL-Handshake erfolgreich abgeschlossen wurde, ob eine verschlüsselte Nachricht vorhanden ist, ob Sie auf die richtige IP-Adresse zugreifen usw. Weitere Informationen finden Sie unter Aktivieren der Schannel-Ereignisprotokollierung in Windows und Windows Server.

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.