Condividi tramite

Il browser Internet non può visualizzare la pagina Web di accesso ad AD FS per gli utenti federati

  • Si applica a: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando un utente federato tenta di accedere a un servizio cloud Microsoft, ad esempio Microsoft 365, Microsoft Azure o Microsoft Intune, il browser Internet non può visualizzare la pagina Web di accesso di Active Directory Federation Services (AD FS). Inoltre, l'utente potrebbe ricevere un messaggio di errore. Ad esempio, se l'utente usa Internet Explorer, l'utente potrebbe ricevere il messaggio di errore seguente:

Internet Explorer non può visualizzare la pagina Web.

Quando si verifica questo errore, l'indirizzo visualizzato nel Web browser è simile all'indirizzo seguente:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Motivo

Questo problema può verificarsi se l'utente non riesce a contattare il server federativo AD FS locale o il proxy del server federativo AD FS con connessione Internet. Ciò può verificarsi quando il servizio federativo AD FS smette di eseguire o quando la connettività IP viene marginalizzata.

Soluzione

Prima di iniziare a risolvere questo problema, determinare l'indirizzo dell'endpoint AD FS per il server federativo locale e quindi determinare quale server presenta problemi.

Determinare l'indirizzo dell'endpoint AD FS per il server federativo locale

A tale scopo, seguire questa procedura in un computer connesso al dominio in cui è installato il modulo Azure Active Directory per Windows PowerShell:

  1. Eseguire il modulo Azure Active Directory per Windows PowerShell come amministratore con privilegi elevati. A tale scopo, fare clic con il pulsante destro del mouse sul modulo Windows Azure Active Directory per Windows PowerShell e quindi scegliere Esegui come amministratore.

  2. Digitare i comandi seguenti. Premere INVIO dopo aver digitato ogni comando:

    $cred = get-credential

    Annotazioni

    Quando richiesto, immettere le credenziali di amministratore globale.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Annotazioni

    Il <segnaposto AD FS Server> rappresenta il nome del computer del server AD FS primario.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Annotazioni

    Il <segnaposto del Dominio Federato> rappresenta il nome di dominio che è federato con il servizio cloud.

Nell'output, esamina la proprietà ActiveClientSignInUrl. La parte del dominio dell'URL è l'endpoint che può essere usato nella risoluzione descritta più avanti in questo articolo.

Annotazioni

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, consultare l'aggiornamento sulla disattivazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Determinare il server che presenta problemi

Definire l'ambito del problema. A tale scopo, determinare il server che presenta problemi. Se si verificano problemi solo con i client Internet, risolvere prima di tutto il proxy del server federativo AD FS. Se anche i client della rete aziendale presentano problemi, risolvere prima di tutto i problemi con il server federativo AD FS.

Dopo aver determinato quali server presentano problemi, seguire questa procedura nel server AD FS appropriato:

Passaggio 1: Verificare che il server federativo AD FS locale sia in esecuzione

  1. Nel server federativo AD FS aprire il Pannello di controllo, fare clic su Strumenti di amministrazione e quindi su Servizi.
  2. Cercare il servizio Servizio Windows AD FS.
  3. Assicurarsi che lo stato del servizio Windows AD FS sia Avviato. Se il servizio viene arrestato, fare clic con il pulsante destro del mouse sul servizio e quindi scegliere Avvia per avviare il servizio.

Passaggio 2: Assicurarsi che il server Web sia in esecuzione nel server AD FS appropriato

  1. Nel server federativo AD FS o nel proxy server federativo AD FS, aprire Server Manager, espandere Ruoli, espandere Server Web (IIS), e quindi selezionare Internet Information Services.
  2. Espandi il nome del computer, quindi espandi Siti.
  3. Assicurarsi che Il sito Web predefinito sia impostato su Avviato. In caso contrario, fare clic con il pulsante destro del mouse su Sito Web predefinito, scegliere Tutte le attività e quindi fare clic su Avvia.
  4. Espandere Sito Web predefinito e quindi assicurarsi che esistano le directory virtuali adfs e /adfs/ls.

Passaggio 3: Assicurarsi che DNS abbia un record host per l'endpoint AD FS appropriato per il client che presenta problemi

Per i client interni, il DNS interno deve risolvere il nome dell'endpoint AD FS in un indirizzo IP interno, ad esempio sts.contoso.com A 192.168.1.104. Per i client Internet, il nome dell'endpoint deve risolversi in un indirizzo IP pubblico. Questa operazione può essere testata nel client usando la procedura seguente. Se la rete locale contiene un server proxy, provare ad aggiungere l'endpoint AD FS usando Opzioni Internet in Internet Explorer.

  1. Fare clic su Start, selezionare Esegui, digitare cmd e fare clic su OK.

  2. Al prompt dei comandi digitare il comando seguente, dove il segnaposto <STS.contoso.com> rappresenta il nome dell'endpoint AD FS:

    NSlookup <STS.contoso.com>

  3. Se il comando restituisce un indirizzo IP non corretto, risolvere il problema aggiornando il record A nel server DNS interno o esterno. Per assicurarsi che le richieste DNS per le risorse ad AD FS dai computer locali vengano risolte nel servizio federativo AD FS anziché nel server proxy AD FS, vedere l'articolo seguente della Microsoft Knowledge Base per controllare e aggiornare le impostazioni DNS split-brain.

    2715326 La configurazione errata del DNS split-brain impedisce un'esperienza di accesso single sign-on (SSO) senza problemi.

    Annotazioni

    Le impostazioni DNS con connessione Internet aggiornate possono richiedere fino a 48 ore per propagarsi a tutti i server DNS Internet.

Passaggio 4: Provare ad aggiungere il nome del server AD FS come eccezione nelle impostazioni del proxy Internet in Internet Explorer nel computer client

Se la rete locale contiene un proxy e, se solo i client interni hanno problemi con l'accesso ad AD FS, provare ad aggiungere il nome del server AD FS come eccezione nelle impostazioni proxy Internet in Internet Explorer. A tale scopo, seguire questa procedura nel computer client:

  1. Aprire Internet Explorer e quindi fare clic su Opzioni Internet dal menu Strumenti .
  2. Fare clic sulla scheda Connessioni e quindi su Impostazioni LAN.
  3. In Configurazione automatica fare clic per deselezionare le caselle di controllo e quindi fare clic per selezionare la casella di controllo Usa un server proxy per la LAN in Server proxy.
  4. In Server proxy aggiungere l'indirizzo del server proxy e la porta usata dal server proxy, quindi fare clic su Avanzate.
  5. In Eccezioni aggiungere l'endpoint AD FS, ad esempio sts.contoso.com.

Maggiori informazioni

I comandi di Windows PowerShell in questo articolo richiedono il modulo Azure Active Directory per Windows PowerShell.

Hai ancora bisogno di aiuto? Vai a Microsoft Community o al sito Web dei forum di Microsoft Entra.