Udostępnij za pomocą

Błąd "Wystąpił problem podczas uzyskiwania dostępu do witryny" z usług AD FS, gdy użytkownik federacyjny loguje się do platformy Microsoft 365, platformy Azure lub usługi Intune

  • Dotyczy: Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

Problem

Gdy użytkownik federacyjny próbuje zalogować się do usługi w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Azure lub Microsoft Intune, użytkownik otrzymuje następujący komunikat o błędzie z usług Active Directory Federation Services (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

W przypadku wystąpienia tego błędu pasek adresu przeglądarki internetowej wskazuje lokalny punkt końcowy usług AD FS pod adresem podobnym do następującego:

"https://sts.domain.com/adfs/ls/?cbcxt=& vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Przyczyna

Ten problem może wystąpić z jednego z następujących powodów:

  • Konfiguracja logowania jednokrotnego (SSO) za pośrednictwem usług AD FS nie została ukończona.
  • Certyfikat podpisywania tokenów usług AD FS wygasł.
  • Roszczenia zasad dostępu klienta usług AD FS są niepoprawnie skonfigurowane.
  • Brakuje zaufania strony polegającej z Microsoft Entra ID lub jest ono niepoprawnie skonfigurowane.
  • Serwer proxy federacyjnego usług AD FS jest niepoprawnie skonfigurowany lub uwidoczniony niepoprawnie.
  • Konto IUSR usług AD FS nie ma uprawnienia użytkownika "Podszywanie się pod klienta po uwierzytelnieniu".

Rozwiązanie

Aby rozwiązać ten problem, użyj metody odpowiedniej dla danej sytuacji.

Scenariusz 1. Certyfikat podpisywania tokenów usług AD FS wygasł

Sprawdzanie, czy certyfikat podpisywania tokenu wygasł

Aby sprawdzić, czy certyfikat podpisywania tokenu wygasł, wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie usługami AD FS (2.0).
  2. W konsoli zarządzania usług AD FS kliknij pozycję Usługa, kliknij pozycję Certyfikaty, a następnie sprawdź daty obowiązywania i wygaśnięcia certyfikatu podpisywania tokenów usług AD FS.

Jeśli certyfikat wygasł, należy go odnowić w celu przywrócenia funkcji uwierzytelniania logowania jednokrotnego.

Odnów certyfikat podpisywania tokenu (jeśli wygasł)

Aby odnowić certyfikat podpisywania tokenu na podstawowym serwerze usług AD FS przy użyciu certyfikatu z podpisem własnym, wykonaj następujące kroki:

  1. W tej samej konsoli zarządzania usług AD FS kliknij pozycję Usługa, kliknij pozycję Certyfikaty, a następnie w obszarze **Certyfikaty **w okienku Akcje kliknij przycisk Dodaj certyfikat Token-Signing.
  2. Jeśli zostanie wyświetlone ostrzeżenie "Nie można zmodyfikować certyfikatów, gdy funkcja automatycznego przerzucania certyfikatów usług AD FS jest włączona", przejdź do kroku 3. W przeciwnym razie sprawdź daty obowiązywania i wygaśnięcia certyfikatu. Jeśli certyfikat zostanie pomyślnie odnowiony, nie musisz wykonywać kroków 3 i 4.
  3. Jeśli certyfikat nie został odnowiony, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij pozycję Akcesoria, kliknij folder programu Windows PowerShell , kliknij prawym przyciskiem myszy program Windows PowerShell, a następnie kliknij polecenie Uruchom jako administrator.
  4. W wierszu polecenia programu Windows PowerShell wprowadź następujące polecenia. Naciśnij Enter po wprowadzeniu każdego polecenia:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Aby odnowić certyfikat podpisywania tokenu na podstawowym serwerze usług AD FS przy użyciu certyfikatu z podpisem urzędu certyfikacji, wykonaj następujące kroki:

  1. Utwórz plik WebServerTemplate.inf. Aby to zrobić, wykonaj następujące kroki:

    1. Uruchom Notatnik i otwórz nowy, pusty dokument.

    2. Wklej następujące elementy do pliku:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. W pliku zmień subject="CN=adfs.contoso.com" na następujące:

      subject="CN=your-federation-service-name"

    4. W menu File (Plik) kliknij pozycję Save As (Zapisz jako).

    5. W oknie dialogowym** Zapisz jako kliknij pozycję Wszystkie pliki (.)** w polu Zapisz jako typ .

    6. Wpisz WebServerTemplate.inf w polu Nazwa pliku , a następnie kliknij przycisk Zapisz.

  2. Skopiuj plik WebServerTemplate.inf do jednego z serwerów federacyjnych usług AD FS.

  3. Na serwerze usług AD FS otwórz okno wiersza polecenia administracyjnego.

  4. Użyj polecenia cd(change directory), aby zmienić katalog na katalog, w którym skopiowano plik inf.

  5. Wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Wyślij plik wyjściowy AdfsSSL.req do urzędu certyfikacji w celu podpisania.

  7. Urząd certyfikacji zwróci podpisaną część klucza publicznego w formacie p7b lub .cer. Skopiuj ten plik na serwer usług AD FS, na którym wygenerowano żądanie.

  8. Na serwerze usług AD FS otwórz okno wiersza polecenia administracyjnego.

  9. Użyj polecenia cd(change directory), aby zmienić katalog na katalog, w którym skopiowano plik p7b lub .cer.

  10. Wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Zakończenie przywracania funkcji SSO

Niezależnie od tego, czy używany jest certyfikat podpisany własnoręcznie, czy przez urząd certyfikacji, należy ukończyć proces przywracania funkcjonalności uwierzytelniania jednokrotnego logowania. Aby to zrobić, wykonaj następujące kroki:

  1. Dodaj dostęp do odczytu do klucza prywatnego dla konta usługi AD FS na podstawowym serwerze usług AD FS. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc.exe, a następnie naciśnij Enter.
    2. Kliknij polecenie Dodaj/Usuń przystawkę na menu Plik.
    3. Kliknij dwukrotnie Certyfikaty, wybierz Konto komputera, a następnie kliknij przycisk Dalej.
    4. Wybierz pozycję Komputer lokalny, kliknij przycisk Zakończ, a następnie kliknij przycisk OK.
    5. Rozwiń węzeł Certyfikaty (komputer lokalny), rozwiń węzeł Osobiste, a następnie kliknij pozycję Certyfikaty.
    6. Kliknij prawym przyciskiem myszy nowy certyfikat podpisywania tokenu, wskaż pozycję Wszystkie zadania, a następnie kliknij pozycję Zarządzaj kluczami prywatnymi.
    7. Dodaj dostęp do odczytu do konta usługi AD FS, a następnie kliknij przycisk OK.
    8. Zamknij przystawkę Certyfikaty.
  2. Zaktualizuj odcisk palca nowego certyfikatu i datę zaufania jednostki uzależnionej za pomocą identyfikatora Entra firmy Microsoft. Aby to zrobić, zobacz sekcję "Jak zaktualizować konfigurację domeny federacyjnej platformy Microsoft 365" w temacie Jak zaktualizować lub naprawić ustawienia domeny federacyjnej na platformie Microsoft 365, na platformie Azure lub w usłudze Intune.
  3. Odtwórz konfigurację zaufania serwera proxy AD FS. Aby to zrobić, wykonaj następujące kroki:
    1. Uruchom ponownie usługę AD FS systemu Windows na podstawowym serwerze usług AD FS.
    2. Poczekaj 10 minut na replikowanie certyfikatu do wszystkich członków farmy serwerów federacyjnych, a następnie uruchom ponownie usługę AD FS systemu Windows na pozostałych serwerach usług AD FS.
    3. Uruchom ponownie Kreatora konfiguracji serwera proxy na każdym serwerze proxy AD FS. Aby uzyskać więcej informacji, zobacz Konfigurowanie komputera dla roli serwera proxy usługi federacyjnej.

Scenariusz 2. Ostatnio zaktualizowano zasady dostępu klienta za pomocą oświadczeń, a teraz logowanie nie działa

Sprawdź, czy zasady dostępu klienta zostały zastosowane poprawnie. Aby uzyskać więcej informacji, zobacz Ograniczanie dostępu do usług Platformy Microsoft 365 na podstawie lokalizacji klienta.

Scenariusz 3. Punkt końcowy metadanych federacyjnych lub zaufanie jednostki może być wyłączone

Włącz punkt końcowy metadanych federacyjnych i zaufanie partnera zależnego z Microsoft Entra ID na głównym serwerze AD FS. Aby to zrobić, wykonaj następujące kroki:

  1. Otwórz konsolę zarządzania usług AD FS 2.0.
  2. Upewnij się, że punkt końcowy metadanych federacji jest włączony. Aby to zrobić, wykonaj następujące kroki:
    1. W okienku nawigacji po lewej stronie przejdź do AD FS (2.0), serwis, punkty końcowe.
    2. W środkowym okienku kliknij prawym przyciskiem myszy wpis /Federation Metadata/2007-06/FederationMetadata.xml , a następnie kliknij, aby wybrać pozycję Włącz i Włącz na serwerze proxy.
  3. Upewnij się, że zaufanie jednostki zależnej do Microsoft Entra ID jest włączone. Aby to zrobić, wykonaj następujące kroki:
    1. W okienku nawigacji po lewej stronie przejdź do AD FS (2.0), a następnie Relacje Zaufania, a następnie Zaufania Jednostki Uzależnionej.
    2. Jeśli platforma tożsamości Microsoft Office 365 jest obecna, kliknij prawym przyciskiem myszy ten wpis, a następnie kliknij Włącz.
  4. Napraw relację zaufania jednostki uzależnionej z identyfikatorem Entra firmy Microsoft, wyświetlając sekcję "Aktualizuj właściwości zaufania" w temacie Weryfikowanie logowania jednokrotnego i zarządzanie nim za pomocą usług AD FS.

Scenariusz 4. Brak zaufania jednostki uzależnionej lub jego uszkodzenie

Usuń i ponownie dodaj zaufanie jednostki uzależnionej. Aby to zrobić, wykonaj następujące kroki:

  1. Zaloguj się do podstawowego serwera usług AD FS.
  2. Kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie usługami AD FS (2.0).
  3. W konsoli zarządzania rozwiń węzeł AD FS (2.0), rozwiń węzeł Relacje zaufania, a następnie rozwiń węzeł Relacje zaufania stron trzecich.
  4. Jeśli platforma tożsamości Microsoft Office 365 jest obecna, kliknij prawym przyciskiem myszy ten wpis, a następnie kliknij Usuń.
  5. Ponownie dodaj zaufanie partnera zaufanego, przechodząc do sekcji "Aktualizuj właściwości zaufania" w temacie Weryfikowanie logowania jednokrotnego i zarządzanie nim za pomocą usług AD FS.

Scenariusz 5. Konto usługi AD FS nie ma uprawnienia użytkownika "Personifikuj klienta po uwierzytelnieniu"

Aby udzielić użytkownikowi uprawnienia "Personifikuj klienta po uwierzytelnieniu" do konta usługi IUSR usług AD FS, zobacz Identyfikator zdarzenia 128 — Konfiguracja aplikacji opartej na tokenach systemu Windows NT.

Źródła

Aby uzyskać więcej informacji na temat rozwiązywania problemów z logowaniem dla użytkowników federacyjnych, zobacz następujące artykuły z bazy wiedzy Microsoft Knowledge Base:

  • 2530569 Rozwiązywanie problemów z konfiguracją logowania jednokrotnego na platformie Microsoft 365, Intune lub Azure
  • 2712961 Jak rozwiązywać problemy z połączeniem punktu końcowego usług AD FS podczas logowania użytkowników do platformy Microsoft 365, usługi Intune lub platformy Azure

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub witryny forów Microsoft Entra .

  • Last updated on