Delen via

Fout 'Er is een probleem opgetreden bij het openen van de site' van AD FS wanneer een federatieve gebruiker zich aanmeldt bij Microsoft 365, Azure of Intune

  • Van toepassing op: Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Probleem

Wanneer een federatieve gebruiker zich probeert aan te melden bij een Microsoft-cloudservice zoals Microsoft 365, Microsoft Azure of Microsoft Intune, ontvangt de gebruiker het volgende foutbericht van Active Directory Federation Services (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Wanneer deze fout optreedt, verwijst de adresbalk van de webbrowser naar het on-premises AD FS-eindpunt op een adres dat lijkt op het volgende:

https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248

Oorzaak

Dit probleem kan een van de volgende oorzaken hebben:

  • De installatie van eenmalige aanmelding (SSO) via AD FS is niet voltooid.
  • Het AD FS-tokenondertekeningscertificaat is verlopen.
  • De AD FS-clienttoegangsbeleidsclaims zijn onjuist ingesteld.
  • De relying party-vertrouwensrelatie met Microsoft Entra-id ontbreekt of is onjuist ingesteld.
  • De AD FS-federatieproxyserver is onjuist ingesteld of onjuist weergegeven.
  • Het AD FS IUSR-account heeft niet de gebruikersmachtiging 'Een client imiteren na verificatie'.

Solution

Gebruik de methode die geschikt is voor uw situatie om dit probleem op te lossen.

Scenario 1: Het AD FS-tokenondertekeningscertificaat is verlopen

Controleren of het certificaat voor tokenondertekening is verlopen

Voer de volgende stappen uit om te controleren of het certificaat voor token-ondertekening is verlopen:

  1. Klik op Start, klik op Alle programma's, klik op Systeembeheer en klik vervolgens op AD FS (2.0) Beheer.
  2. Klik in de AD FS-beheerconsole op Service, klik op Certificaten en bekijk vervolgens de ingangsdatums en vervaldatums voor het AD FS-certificaat voor tokenondertekening.

Als het certificaat is verlopen, moet het worden vernieuwd om de functionaliteit voor SSO-verificatie te herstellen.

Het certificaat voor tokenondertekening vernieuwen (als het is verlopen)

Als u het certificaat voor tokenondertekening op de primaire AD FS-server wilt vernieuwen met behulp van een zelfondertekend certificaat, voert u de volgende stappen uit:

  1. Klik in dezelfde AD FS-beheerconsole op Service, klik op Certificaten en klik vervolgens onder **Certificeringen **in het deelvenster Acties op Toevoegen Token-Signing Certificaat.
  2. Als de waarschuwing 'Certificaten niet kunnen worden gewijzigd terwijl de functie voor automatische rollover van AD FS-certificaten is ingeschakeld' wordt weergegeven, gaat u naar stap 3. Anders controleert u de datums voor effectieve en vervaldatum van het certificaat. Als het certificaat is vernieuwd, hoeft u stap 3 en 4 niet uit te voeren.
  3. Als het certificaat niet is vernieuwd, klikt u op Start, wijst u Alle programma's aan, klikt u op Accessoires, klikt u op de map Windows PowerShell , klikt u met de rechtermuisknop op Windows PowerShell en klikt u vervolgens op Als administrator uitvoeren.
  4. Voer bij de Windows PowerShell-opdrachtprompt de volgende opdrachten in. Druk op Enter nadat u elke opdracht hebt ingevoerd:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Als u het certificaat voor tokenondertekening op de primaire AD FS-server wilt vernieuwen met behulp van een certificeringsinstantie (CA)-ondertekend certificaat, voert u de volgende stappen uit:

  1. Maak het bestand WebServerTemplate.inf. Volg hiervoor deze stappen:

    1. Start Kladblok en open een nieuw, leeg document.

    2. Plak het volgende in het bestand:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. Wijzig in het bestand subject="CN=adfs.contoso.com" in het volgende:

      subject="CN=your-federation-service-name"

    4. Klik in het menu Bestand op Opslaan als.

    5. Klik in het dialoogvenster **Opslaan als** op Alle bestanden (.) in het vak Opslaan als.

    6. Typ WebServerTemplate.inf in het vak Bestandsnaam en klik op Opslaan.

  2. Kopieer het bestand WebServerTemplate.inf naar een van uw AD FS-federatieservers.

  3. Open op de AD FS-server een opdrachtpromptvenster met beheerdersrechten.

  4. Gebruik de opdracht cd(change directory) om over te schakelen naar de map waarin u het INF-bestand hebt gekopieerd.

  5. Typ de volgende opdracht en druk op Enter:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Verzend het uitvoerbestand, AdfsSSL.req, naar uw CA voor ondertekening.

  7. De CA retourneert een ondertekend openbaar sleutelgedeelte in een .p7b- of .cer-indeling. Kopieer dit bestand naar uw AD FS-server waar u de aanvraag hebt gegenereerd.

  8. Open op de AD FS-server een opdrachtpromptvenster met beheerdersrechten.

  9. Gebruik de opdracht cd(change directory) om te wijzigen in de map waarin u het .p7b- of .cer-bestand hebt gekopieerd.

  10. Typ de volgende opdracht en druk op Enter:

    CertReq.exe -Accept 'file-from-your-CA-p7b-or-cer'

Voltooi het herstellen van de SSO-functionaliteit

Ongeacht of er een zelfondertekend of CA-ondertekend certificaat wordt gebruikt, moet u het herstellen van de SSO-authenticatiefunctionaliteit voltooien. Volg hiervoor deze stappen:

  1. Leestoegang toevoegen aan de persoonlijke sleutel voor het AD FS-serviceaccount op de primaire AD FS-server. Voer hiervoor de volgende stappen uit:
    1. Klik op Start, klik op Uitvoeren, typ mmc.exeen druk vervolgens op Enter.
    2. Klik in het menu Bestand op Module Toevoegen/verwijderen.
    3. Dubbelklik op Certificaten, selecteer Computeraccount en klik vervolgens op Volgende.
    4. Selecteer Lokale computer, klik op Voltooien en klik vervolgens op OK.
    5. Vouw Certificaten (lokale computer) uit, vouw Persoonlijk uit en klik vervolgens op Certificaten.
    6. Klik met de rechtermuisknop op het nieuwe certificaat voor tokenondertekening, wijs Alle taken aan en klik vervolgens op Persoonlijke sleutels beheren.
    7. Voeg leestoegang toe aan het AD FS-serviceaccount en klik op OK.
    8. Sluit de module Certificaten af.
  2. Werk de vingerafdruk van het nieuwe certificaat en de datum van de relying party-vertrouwensrelatie bij met Microsoft Entra-id. Zie hiervoor de sectie 'De configuratie van het federatieve Domein van Microsoft 365 bijwerken' in Het bijwerken of herstellen van de instellingen van een federatief domein in Microsoft 365, Azure of Intune.
  3. Maak de configuratie van de AD FS-proxyvertrouwensrelatie opnieuw. Voer hiervoor de volgende stappen uit:
    1. Start de AD FS Windows-service opnieuw op de primaire AD FS-server.
    2. Wacht tien minuten totdat het certificaat is gerepliceerd naar alle leden van de federatieserverfarm en start vervolgens de AD FS Windows-service opnieuw op de rest van de AD FS-servers.
    3. Voer de wizard Proxyconfiguratie opnieuw uit op elke AD FS-proxyserver. Voor meer informatie, zie Een computer configureren voor de rol van federatieserverproxy.

Scenario 2: U hebt onlangs het clienttoegangsbeleid bijgewerkt via claims en nu werkt aanmelden niet meer

Controleer of het clienttoegangsbeleid correct is toegepast. Zie De toegang tot Microsoft 365-services beperken op basis van de locatie van de client voor meer informatie.

Scenario 3: Het eindpunt voor federatieve metagegevens of de vertrouwensrelatie van de relying party kan worden uitgeschakeld

Schakel het eindpunt voor federatiemetagegevens en de vertrouwensrelatie van de relying party met Microsoft Entra ID in op de primaire AD FS-server. Volg hiervoor deze stappen:

  1. Open de AD FS 2.0-beheerconsole.
  2. Zorg ervoor dat het eindpunt voor federatieve metagegevens is ingeschakeld. Voer hiervoor de volgende stappen uit:
    1. Blader in het linkernavigatiedeelvenster naar AD FS (2.0), Service, Eindpunten.
    2. Klik in het middelste deelvenster met de rechtermuisknop op de vermelding /Federatiemetagegevens/2007-06/FederationMetadata.xml en klik vervolgens om Inschakelen en inschakelen op proxy te selecteren.
  3. Zorg ervoor dat de relying party-vertrouwensrelatie met Microsoft Entra-id is ingeschakeld. Voer hiervoor de volgende stappen uit:
    1. Blader in het linkernavigatiedeelvenster naar AD FS (2.0), ga dan naar Vertrouwensrelaties, en vervolgens naar Relying Party Trusts.
    2. Als Microsoft Office 365 Identity Platform aanwezig is, klikt u met de rechtermuisknop op deze vermelding en klikt u vervolgens op Inschakelen.
  4. Herstel de relying party-vertrouwensrelatie met Microsoft Entra-id door de sectie 'Eigenschappen van vertrouwensrelatie bijwerken' van Verifiëren en beheren van eenmalige aanmelding met AD FS te zien.

Scenario 4: De vertrouwensrelatie van de relying party ontbreekt of is mogelijk beschadigd

Verwijder en voeg de relying party-vertrouwensrelatie opnieuw toe. Volg hiervoor deze stappen:

  1. Meld u aan bij de AD FS-kernserver.
  2. Klik op Start, wijs alle programma's aan, klik op Systeembeheer en klik vervolgens op AD FS (2.0) Beheer.
  3. Vouw in de beheerconsole AD FS (2.0) uit, vouw vertrouwensrelaties uit en vouw vervolgens Relying Party Trusts uit.
  4. Als Microsoft Office 365 Identity Platform aanwezig is, klikt u met de rechtermuisknop op deze vermelding en klikt u vervolgens op Verwijderen.
  5. Voeg de relying party-vertrouwensrelatie opnieuw toe door de sectie 'Eigenschappen van vertrouwensrelatie bijwerken' van Verifiëren en beheren van eenmalige aanmelding met AD FS te zien.

Scenario 5: Het AD FS-serviceaccount heeft niet de gebruikersmachtiging 'Een client imiteren na verificatie'

Zie Gebeurtenis-id 128 — Windows NT-token gebaseerde toepassingsconfiguratie om de gebruikersmachtiging 'Een client na verificatie imiteren' toe te kennen aan het AD FS IUSR-serviceaccount.

References

Zie de volgende Microsoft Knowledge Base-artikelen voor meer informatie over het oplossen van aanmeldingsproblemen voor federatieve gebruikers:

  • 2530569 Problemen met het instellen van eenmalige aanmelding in Microsoft 365, Intune of Azure oplossen
  • 2712961 Problemen met ad FS-eindpuntverbindingen oplossen wanneer gebruikers zich aanmelden bij Microsoft 365, Intune of Azure

Heb je nog steeds hulp nodig? Ga naar Microsoft Community of de Microsoft Entra Forums website.

  • Last updated on