Partager via

Erreur ADFS 2.0 : cette page ne peut pas être affichée

Cet article fournit une solution à une erreur lorsque vous essayez d’accéder à une application sur un site web qui utilise AD FS 2.0.

Numéro de base de connaissances d’origine : 3044971

Résumé

La plupart des problèmes ad FS (Active Directory Federated Services) 2.0 appartiennent à l’une des catégories principales suivantes. Cet article contient des instructions pas à pas pour résoudre les problèmes de connectivité.

Symptômes

  • Symptôme 1

    Lorsque vous essayez d’accéder à une application web sur un site web qui utilise services de fédération Active Directory (AD FS) (AD FS) 2.0, vous recevez le message d’erreur suivant :

    Cette page ne peut pas être affichée.

  • Symptôme 2

    Vous ne pouvez pas accéder à la page d’authentification initiée par le fournisseur d’identité suivante et aux métadonnées AD FS :

    https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

    https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

Résolution

Pour résoudre ce problème, procédez comme suit dans l’ordre. Ces étapes vous aideront à déterminer la cause du problème. Vérifiez si le problème est résolu après chaque étape.

Étape 1 : Vérifier si le client est redirigé vers l’URL AD FS correcte

  • Voici comment vérifier

    1. Démarrez Internet Explorer.
    2. Appuyez sur F12 pour ouvrir la fenêtre outils de développement.
    3. Sous l’onglet Réseau , sélectionnez le bouton Démarrer ou appuyez sur Démarrer la capture pour activer la capture du trafic réseau.
    4. Accédez à l’URL de l’application web.
    5. Examinez les traces réseau pour voir que le client est redirigé vers l’URL du service AD FS pour l’authentification. Vérifiez que l’URL du service AD FS est correcte.

    Dans la capture d’écran suivante, la première URL est pour l’application web et la deuxième URL concerne le service AD FS.

    URL de l’application web et URL du service A D F S répertoriées dans les outils de développement.

  • Procédure de résolution

    Si vous êtes redirigé vers une adresse incorrecte, vous avez probablement des paramètres de fédération AD FS incorrects dans votre application web. Vérifiez ces paramètres pour vous assurer que l’URL du service de fédération AD FS (fournisseur de services SAML) est correcte.

Étape 2 : Vérifier si le nom du service AD FS peut être résolu en adresse IP correcte

  • Voici comment vérifier

    Sur un ordinateur client et un serveur proxy AD FS (si vous l’avez), utilisez une commande ping ou nslookup pour déterminer si le nom du service AD FS est résolu en adresse IP correcte. Utilisez les recommandations suivantes :

    • Intranet : le nom doit être résolu sur l’adresse IP du serveur AD FS interne ou sur l’adresse IP équilibrée de charge du serveur AD FS (interne).

    • Externe : le nom doit être résolu en adresse IP externe/publique du service AD FS. Dans ce cas, le DNS public est utilisé pour résoudre le nom. Si vous remarquez que différentes adresses IP publiques sont retournées à partir de différents ordinateurs pour le même nom de service AD FS, la modification récente du DNS public peut ne pas encore être propagée sur tous les serveurs DNS publics dans le monde entier. Une telle modification peut nécessiter jusqu’à 24 heures de réplication.

      Important

      Sur tous les serveurs AD FS, assurez-vous que les serveurs proxy AD FS peuvent résoudre le nom du service AD FS en adresse IP interne du serveur AD FS ou à l’adresse IP de charge équilibrée du serveur AD FS interne. La meilleure façon de procéder consiste à ajouter une entrée dans le fichier HOST sur le serveur proxy AD FS ou à utiliser une configuration DNS fractionnée dans un réseau de périmètre (également appelée « zone démilitarisée », « zone démilitarisée » et « sous-réseau filtré »).

      Exemple de la commande nslookup :

      Nslookup sts.contoso.com

      Sortie retournée après avoir exécuté la commande nslookup.

  • Procédure de résolution

    Vérifiez l’enregistrement du nom du service AD FS via le serveur DNS ou le fournisseur de services Internet (ISP). Vérifiez que l’adresse IP est correcte.

Étape 3 : Vérifier si le port TCP 443 sur le serveur AD FS est accessible

  • Voici comment vérifier

    Utilisez Telnet ou PortQryUI - Interface utilisateur pour le scanneur de port de ligne de commande PortQry pour interroger la connectivité du port 443 sur le serveur AD FS. Assurez-vous que le port 443 écoute.

    Résultat de la requête port de vérification de la connectivité du port 443 sur le serveur A D F S.

  • Procédure de résolution

    Si le serveur AD FS n’écoute pas sur le port 443, procédez comme suit :

    1. Vérifiez que le service Windows AD FS 2.0 est démarré.
    2. Vérifiez le paramètre de pare-feu Windows sur le serveur AD FS pour vous assurer que le port TCP 433 est autorisé à établir des connexions.
    3. Si un équilibreur de charge est utilisé avant les services AD FS, essayez de contourner le processus d’équilibrage de charge pour vérifier que ce n’est pas la cause du problème. (L’équilibrage de charge est une cause courante.)

Étape 4 : Vérifier si vous pouvez utiliser une page d’authentification initiée par le fournisseur d’identité pour s’authentifier auprès d’ADFS

  • Voici comment vérifier

    Démarrez Internet Explorer, puis accédez à l’adresse web suivante. Si vous recevez un avertissement de certificat lorsque vous essayez d’ouvrir cette page, sélectionnez Continuer.

    <http:// YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx

    Note

    Dans cette URL, <YourADFSServiceName> représente le nom de service AD FS réel.

    En règle générale, vous accédez à un écran de connexion, puis vous pouvez vous connecter à l’aide de vos informations d’identification.

    Capture d’écran de la page de connexion A D F S.

  • Procédure de résolution

    Si vous pouvez effectuer l’étape 1 à l’étape 3, mais que vous ne pouvez toujours pas accéder à l’application web, procédez comme suit :

    1. Utilisez un autre ordinateur client et un navigateur pour effectuer les tests. Il peut y avoir un problème qui affecte le client.
    2. Effectuez les étapes de dépannage avancées suivantes :
    3. Collectez les informations de trace du débogueur web Fiddler et de capture réseau pendant que vous accédez à la IDPInitiatedsignon page. Pour plus d’informations, consultez AD FS 2.0 : Guide pratique pour utiliser le débogueur Web Fiddler pour analyser une connexion passive WS-Federation.
    4. Collectez les traces réseau à partir de l’ordinateur client pour vérifier si la négociation SSL s’est terminée correctement, s’il existe un message chiffré, si vous accédez à l’adresse IP correcte, et ainsi de suite. Pour plus d’informations, consultez Comment activer la journalisation des événements Schannel dans Windows et Windows Server.

Exclusion de responsabilité de tiers

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.