Condividi tramite

Errore DI ADFS 2.0: impossibile visualizzare questa pagina

Questo articolo fornisce una soluzione a un errore quando si tenta di accedere a un'applicazione in un sito Web che usa AD FS 2.0.

Numero KB originale: 3044971

Riepilogo

La maggior parte dei problemi di Active Directory Federated Services (AD FS) 2.0 appartiene a una delle categorie principali seguenti. Questo articolo contiene istruzioni dettagliate per risolvere i problemi di connettività.

Sintomi

  • Sintomo 1

    Quando si tenta di accedere a un'applicazione Web in un sito Web che usa Active Directory Federation Services (AD FS) 2.0, viene visualizzato il messaggio di errore seguente:

    Impossibile visualizzare questa pagina.

  • Sintomo 2

    Non è possibile accedere alla pagina di accesso avviata da IDP seguente e ai metadati di AD FS:

    https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

    https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

Risoluzione

Per risolvere il problema, seguire questa procedura nell'ordine. Questi passaggi consentono di determinare la causa del problema. Assicurarsi di verificare se il problema viene risolto dopo ogni passaggio.

Passaggio 1: Controllare se il client viene reindirizzato all'URL DI AD FS corretto

  • Procedure di controllo

    1. Avviare Internet Explorer.
    2. Premere F12 per aprire la finestra degli strumenti di sviluppo.
    3. Nella scheda Rete selezionare il pulsante Start o premere Avvia acquisizione per abilitare l'acquisizione del traffico di rete.
    4. Passare all'URL dell'applicazione Web.
    5. Esaminare le tracce di rete per verificare che il client venga reindirizzato all'URL del servizio AD FS per l'autenticazione. Assicurarsi che l'URL del servizio AD FS sia corretto.

    Nello screenshot seguente, il primo URL è per l'applicazione Web e il secondo URL è per il servizio AD FS.

    L'URL dell'applicazione Web e l'URL del servizio A D F S elencati negli strumenti di sviluppo.

  • Procedura di correzione

    Se si viene reindirizzati a un indirizzo errato, è probabile che nell'applicazione Web siano presenti impostazioni di federazione ad AD FS non corrette. Controllare queste impostazioni per assicurarsi che l'URL del servizio federativo AD FS (provider di servizi SAML) sia corretto.

Passaggio 2: Verificare se il nome del servizio AD FS può essere risolto nell'indirizzo IP corretto

  • Procedure di controllo

    In un computer client e in un server proxy AD FS (se disponibile), usare un comando ping o nslookup per determinare se il nome del servizio AD FS viene risolto nell'indirizzo IP corretto. Attenersi alle linee guida seguenti:

    • Intranet: il nome deve essere risolto nell'IP del server AD FS interno o nell'indirizzo IP con carico bilanciato del server AD FS (interno).

    • Esterno: il nome deve essere risolto nell'indirizzo IP esterno/pubblico del servizio AD FS. In questo caso, il DNS pubblico viene usato per risolvere il nome. Se si nota che vengono restituiti indirizzi IP pubblici diversi da computer diversi per lo stesso nome del servizio AD FS, la modifica recente nel DNS pubblico potrebbe non essere ancora propagata in tutti i server DNS pubblici in tutto il mondo. Una modifica di questo tipo può richiedere fino a 24 ore per la replica.

      Importante

      In tutti i server AD FS verificare che i server proxy AD FS possano risolvere il nome del servizio AD FS nell'INDIRIZZO IP del server AD FS interno o nell'indirizzo IP con carico bilanciato del server AD FS interno. Il modo migliore per eseguire questa operazione consiste nell'aggiungere una voce nel file HOST nel server proxy AD FS o usare una configurazione DNS divisa in una rete perimetrale (nota anche come "rete perimetrale", "zona demilitarizzata" e "subnet schermata").

      Esempio del comando nslookup:

      Nslookup sts.contoso.com

      L'output restituito dopo l'esecuzione del comando nslookup.

  • Procedura di correzione

    Controllare il record per il nome del servizio AD FS tramite il server DNS o il provider di servizi Internet (ISP). Assicurarsi che l'indirizzo IP sia corretto.

Passaggio 3: Verificare se è possibile accedere alla porta TCP 443 nel server AD FS

  • Procedure di controllo

    Usare Telnet o PortQryUI - Interfaccia utente per lo scanner della porta della riga di comando di PortQry per eseguire query sulla connettività della porta 443 nel server AD FS. Assicurarsi che la porta 443 sia in ascolto.

    Risultato della query Porta di controllo della connettività della porta 443 nel server A D F S.

  • Procedura di correzione

    Se il server AD FS non è in ascolto sulla porta 443, seguire questa procedura:

    1. Assicurarsi che il servizio Windows AD FS 2.0 sia avviato.
    2. Controllare l'impostazione di Windows Firewall nel server AD FS per assicurarsi che la porta TCP 433 sia autorizzata a stabilire connessioni.
    3. Se un servizio di bilanciamento del carico viene usato prima dei servizi AD FS, provare a ignorare il processo di bilanciamento del carico per verificare che non sia la causa del problema. Il bilanciamento del carico è una causa comune.

Passaggio 4: Verificare se è possibile usare una pagina di accesso avviata da IdP per l'autenticazione in ADFS

  • Procedure di controllo

    Avviare Internet Explorer e quindi passare all'indirizzo Web seguente. Se viene visualizzato un avviso del certificato quando si tenta di aprire questa pagina, selezionare Continua.

    <http:// YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx

    Note

    In questo URL YourADFSServiceName <> rappresenta il nome effettivo del servizio AD FS.

    In genere, si accede a una schermata di accesso e quindi è possibile accedere usando le credenziali.

    Screenshot della pagina di accesso di A D F S.

  • Procedura di correzione

    Se è possibile eseguire correttamente il passaggio 1 al passaggio 3, ma non è ancora possibile accedere all'applicazione Web, seguire questa procedura:

    1. Usare un altro computer client e un altro browser per eseguire i test. Potrebbe verificarsi un problema che interessa il client.
    2. Seguire questa procedura avanzata per la risoluzione dei problemi:
    3. Raccogliere le informazioni di traccia e acquisizione di rete di Fiddler Web Debugger durante l'accesso alla IDPInitiatedsignon pagina. Per altre informazioni, vedere AD FS 2.0: How to Use Fiddler Web Debugger to Analyze a WS-Federation Passive Sign-In.For more information, see AD FS 2.0: How to Use Fiddler Web Debugger to Analyze a WS-Federation Passive Sign-In.
    4. Raccogliere le tracce di rete dal computer client per verificare se l'handshake SSL è stato completato correttamente, se è presente un messaggio crittografato, se si accede all'indirizzo IP corretto e così via. Per altre informazioni, vedere Come abilitare la registrazione degli eventi Schannel in Windows e Windows Server.

Dichiarazione di non responsabilità sulle informazioni di terze parti

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti