Error de ADFS 2.0: 401 El recurso solicitado requiere autenticación de usuario

Artículo
15/01/2025

En este artículo se describe un problema por el que se le solicitan credenciales y se registra el evento 111 al autenticar una cuenta en Servicios de federación de Active Directory (AD FS) (AD FS) 2.0.

Número de KB original: 3044976

Resumen

La mayoría de los problemas de Servicios federados de Active Directory (AD FS) 2.0 pertenecen a una de las siguientes categorías principales. Este artículo contiene instrucciones paso a paso para solucionar problemas de autenticación.

Problemas de conectividad (KB 3044971)
Problemas del servicio ADFS (KB 3044973)
Problemas de certificado (KB 3044974)
Problemas de autenticación (KB 3044976)
Problemas de reglas de notificación (KB 3044977)

Síntomas

Al intentar autenticar una cuenta en Servicios de federación de Active Directory (AD FS) (AD FS) 2.0, se producen los siguientes errores:

El servidor de AD FS devuelve el siguiente mensaje de error:

Error 401 no autorizado-HTTP. El recurso solicitado requiere autenticación de usuarios.
En una pantalla de inicio de sesión basada en formularios, el servidor devuelve el siguiente mensaje de error:

El nombre de usuario o la contraseña son incorrectos.
Se le pedirán continuamente credenciales.
El evento 111 se registra en el registro de administración de AD FS, como se indica a continuación:

Nombre del registro: AD FS 2.0/Admin
Identificador de evento: 111
Nivel: Error
Palabras clave: AD FS
Descripción:
El servicio de federación encontró un error al procesar la solicitud WS-Trust.
Tipo de solicitud: http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue
Detalles de la excepción:
Microsoft.IdentityModel.SecurityTokenService.FailedAuthenticationException: MSIS3019: Error de autenticación. >--- System.IdentityModel.Tokens.SecurityTokenValidationException: ID4063: Error de inicio de sesión del usuario "user1". Asegúrese de que el usuario tiene una cuenta de Windows válida. >--- System.ComponentModel.Win32Exception: error de inicio de sesión: nombre de usuario desconocido o contraseña incorrecta

Solución

Para resolver este problema, siga estos pasos en el orden indicado. Estos pasos le ayudarán a determinar la causa del problema.

Paso 1: Asignar el registro correcto del nombre del servicio de federación de AD FS

Asegúrese de que el DNS tiene un registro HOST (A) para el nombre del servicio de federación de AD FS y evite usar un registro CNAME. Para obtener más información, vea Comportamientos de Internet Explorer con autenticación Kerberos.

Paso 2: Comprobación del registro de nombres del servicio de federación

Busque el nombre del servicio de federación y compruebe si el nombre está registrado en la cuenta de servicio de AD FS. Para ello, siga estos pasos:

Busque el nombre del servicio> host/<federación:
1. Abra el Administrador de AD FS 2.0.
2. Haga clic con el botón derecho en ADFS 2.0 y seleccione Editar propiedades del servicio de federación.
3. En la pestaña General , busque el campo Nombre del servicio de federación para ver el nombre.
Compruebe si el nombre del servicio> host/<federación está registrado en la cuenta de servicio de AD FS:
1. Abra el complemento Administración. Para ello, haga clic en Inicio, Todos los programas, Herramientas administrativas y, a continuación, en Servicios.
2. Haga doble clic en Servicio de Windows de AD FS (2.0).
3. En la pestaña Iniciar sesión , observe la cuenta de servicio que se muestra en el campo Esta cuenta .
4. Haga clic en Inicio, Todos los programas, Accesorios, Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
5. Ejecute el siguiente comando:
  
  Consola
```
SETSPN -L domain\<ADFS Service Account>
```

Si el nombre del servicio de federación aún no existe, ejecute el siguiente comando para agregar el nombre de entidad de seguridad de servicio (SPN) a la cuenta de AD FS:

Consola

SetSPN -a host/<Federation service name> <username of service account>

Captura de pantalla del resultado del comando setspn, que es agregar el nombre de la entidad de seguridad de servicio.

Paso 3: Comprobar si hay SPN duplicados

Compruebe que no haya ningún SPN duplicado para el nombre de la cuenta de AD FS. Para ello, siga estos pasos:

Haga clic en Inicio, Todos los programas, Accesorios, Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
Ejecute el siguiente comando para asegurarse de que no haya SPN duplicados para el nombre de la cuenta de AD FS:

Consola
```
SETSPN -X -F
```

Paso 4: Comprobar si el explorador usa la autenticación integrada de Windows

Asegúrese de que el explorador de Internet Explorer que usa está configurado para usar la autenticación integrada de Windows. Para ello, inicie Internet Explorer, haga clic en Configuración, opciones de Internet, Opciones de Internet, Avanzadasy, a continuación, haga clic en Habilitar autenticación integradawindows.

Paso 5: Comprobación del tipo de autenticación

Asegúrese de que el tipo de autenticación predeterminado en el servidor de AD FS está configurado correctamente. Para ello, siga estos pasos:

En el Explorador de Windows, vaya a C:\inetpub\adfs\ls (se supone que inetpub se encuentra en la unidad C).
Busque Web.config y abra el archivo en el Bloc de notas.
En el archivo, busque localAuthenticationTypes> (Ctrl+F). <
En <localAuthenticationTypes>, busque las cuatro líneas que representan los tipos de autenticación local.
Seleccione y elimine el tipo de autenticación local preferido (toda la línea). A continuación, pegue la línea en la parte superior de la lista (en localAuthenticationTypes>).<
Guarda y cierra el archivo Web.config.

Para obtener más información sobre el tipo de autenticación local, consulte el siguiente tema de TechNet:

AD FS 2.0: Cómo cambiar el tipo de autenticación local

Paso 6: Comprobación de la configuración de autenticación

Asegúrese de que los directorios virtuales de AD FS están configurados correctamente para la autenticación en Internet Information Services (IIS).

En el nodo Sitio web predeterminado/adfs , abra la opción Autenticación y asegúrese de que la autenticación anónima está habilitada.
En el nodo Sitio web predeterminado/adfs/ls, abra la opción Autenticación y asegúrese de que la autenticación anónima y la autenticación de Windows estén habilitadas.

Paso 7: Comprobación de la configuración de confianza de proxy

Si tiene configurado un servidor proxy de AD FS, compruebe si la confianza de proxy se renueva durante los intervalos de conexión entre los servidores proxy de AD FS y AD FS.

El servidor proxy renueva automáticamente la confianza con el servicio de federación de AD FS. Si se produce un error en este proceso, el evento 394 se registra en Visor de eventos y recibe el siguiente mensaje de error:

El proxy del servidor de federación no pudo renovar su confianza con el servicio de federación.

Para resolver este problema, intente volver a ejecutar el Asistente para configuración de proxy de AD FS. A medida que se ejecuta el asistente, asegúrese de que se usan contraseñas y nombres de usuario de dominio válidos. Estas credenciales no se almacenan en el servidor proxy de AD FS. Al escribir las credenciales para el Asistente para la configuración de confianza de proxy, tiene dos opciones.

Use credenciales de dominio que tengan derechos administrativos locales en los servidores de AD FS.
Uso de las credenciales de la cuenta de servicio de AD FS

Paso 8: Comprobación de la configuración de protección ampliada de IIS

Algunos exploradores no se pueden autenticar si la protección ampliada (es decir, la autenticación de Windows) está habilitada en IIS, como se muestra en el paso 5. Intente deshabilitar la autenticación de Windows para determinar si se resuelve el problema.

También verá protección ampliada que no permite la autenticación de Windows cuando el proxy SSL se realiza mediante herramientas como Fiddler o algunos equilibradores de carga inteligentes.

Por ejemplo: puede ver solicitudes de autenticación repetidas si tiene Fiddler Web Debugger en ejecución en el cliente.

Para deshabilitar la protección ampliada para la autenticación, siga el método adecuado, en función del tipo de cliente.

Para clientes pasivos

Use este método para las aplicaciones virtuales "Sitio web predeterminado/adfs/ls" en todos los servidores de la granja de servidores de federación de AD FS. Para ello, siga estos pasos:

Abra el Administrador de IIS y busque el nivel que desea administrar.

Para obtener más información sobre cómo abrir el Administrador de IIS, consulte Open IIS Manager (IIS 7).
En Vista de características, haga doble clic en Autenticación.
En la página Autenticación, seleccione Autenticación de Windows.
En el panel Acciones, haga clic en Configuración avanzada.
Cuando aparezca el cuadro de diálogo Configuración avanzada, haga clic en Desactivado en el menú Protección ampliada.

Para clientes activos

Use este método para el servidor de AD FS principal:

Inicie Windows PowerShell.
Para cargar el complemento de Windows PowerShell para AD FS, ejecute el siguiente comando:

PowerShell
```
Add-PsSnapIn Microsoft.Adfs.Powershell
```
Para deshabilitar la protección ampliada para la autenticación, ejecute el siguiente comando:

PowerShell
```
Set-ADFSProperties -ExtendedProtectionTokenCheck "None"
```

Paso 9: Comprobación del estado del canal seguro entre el servidor ADFS y los controladores de dominio

Asegúrese de que el canal seguro entre AD FS y los controladores de dominio sea correcto. Para ello, ejecute el siguiente comando:

Consola

Nltest /dsgetdc:domainname

Si la respuesta no es "correcta", debe solucionar los problemas del canal seguro netlogon. Para ello, asegúrese de que se cumplen las condiciones siguientes:

Se puede acceder al controlador de dominio (DC)
Los nombres de controlador de dominio se pueden resolver
Las contraseñas del equipo y su cuenta en el sitio de Active Directory están sincronizadas.

Paso 10: Comprobación de cuellos de botella

Compruebe si está experimentando cuellos de botella relacionados con la autenticación según la configuración maxconcurrentAPI en el servidor de AD FS o en los controladores de dominio. Para obtener más información sobre cómo comprobar esta configuración, consulte el siguiente artículo de Knowledge Base:

Cómo realizar el ajuste del rendimiento para la autenticación NTLM mediante la configuración MaxConcurrentApi

Paso 11: Comprobar si el servidor proxy de ADFS está experimentando congestión

Compruebe si el servidor proxy de ADFS está limitando las conexiones porque ha recibido muchas solicitudes o una respuesta retrasada del servidor de AD FS. Para obtener más información, consulte el siguiente tema de TechNet:

AD FS 2.x: Solución de problemas del identificador de evento del servidor proxy 230 (algoritmo de prevención de congestión)

En este escenario, puede observar errores de inicio de sesión intermitentes en ADFS.

Paso 12: Comprobación de la configuración de confianza de proxy

Si tiene configurado un servidor proxy de ADFS, compruebe si la confianza de proxy se renueva durante los intervalos de conexión entre los servidores proxy de AD FS y AD FS.

El proxy del servidor de federación no pudo renovar su confianza con el servicio de federación.

Paso 13: Habilitar la auditoría de ADFS junto con eventos de inicio de sesión de auditoría: éxito y error

Para obtener más información, consulte Configuración de servidores ADFS para la solución de problemas.

Recursos adicionales

Documentación

No se puede mostrar la página. - Windows Server

Describe que recibe un mensaje de error "Esta página no se puede mostrar" cuando intenta acceder a una aplicación en un sitio web que usa AD FS 2.0. Se proporciona una resolución.
Solución de problemas de SSO de ADFS - Windows Server

Presentar cómo solucionar problemas de SSO de ADFS.
Error de certificado de ADFS 2.0 - Windows Server

Describe que un cambio relacionado con el certificado en AD FS 2.0 provoca errores de certificado, SSL y confianza y desencadena un error de evento 133. Se proporciona una resolución.
El servicio ADFS 2.0 no se inicia - Windows Server

Proporciona los pasos de solución de problemas de configuración y inicio del servicio ADFS.
Solución de problemas de error de AD FS 2.0 (acceso denegado) - Windows Server

Este artículo contiene instrucciones paso a paso para solucionar problemas de reglas de notificaciones.
Solución de problemas de AD FS - Windows Server

Describe cómo solucionar problemas de autenticación que pueden surgir para los usuarios federados en el identificador de Microsoft Entra u Office 365. Proporciona una lista completa de los síntomas y sus soluciones.
Solución de problemas de AD FS: Certificados

En este artículo se describen los problemas típicos de los certificados.

Cursos

Módulo

Solución de problemas de Active Directory - Training

Obtenga información sobre cómo solucionar los errores de servicio de AD DS o la pérdida de rendimiento. Obtenga información sobre cómo recuperar objetos de seguridad eliminados y la base de datos de AD DS, y cómo solucionar problemas de autenticación híbrida.

Certificación

Microsoft Certified: Identity and Access Administrator Associate - Certifications

Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.

Compartir a través de