Udostępnij za pośrednictwem

Błąd usługi ADFS 2.0: nie można wyświetlić tej strony

Ten artykuł zawiera rozwiązanie błędu podczas próby uzyskania dostępu do aplikacji w witrynie internetowej korzystającej z usług AD FS 2.0.

Oryginalny numer KB: 3044971

Podsumowanie

Większość problemów z usługami federacyjnych Active Directory (AD FS) 2.0 należy do jednej z następujących głównych kategorii. Ten artykuł zawiera instrukcje krok po kroku dotyczące rozwiązywania problemów z łącznością.

Symptomy

  • Symptom 1

    Podczas próby uzyskania dostępu do aplikacji internetowej w witrynie internetowej korzystającej z usług Active Directory Federation Services (AD FS) 2.0 jest wyświetlany następujący komunikat o błędzie:

    Nie można wyświetlić tej strony.

  • Objaw 2

    Nie można uzyskać dostępu do następującej strony logowania inicjowanego przez dostawcę tożsamości i metadanych usług AD FS:

    https://ADFSServiceName/federationmetadata/2007-06/federationmetadata.xml

    https://ADFSServiceName/adfs/ls/idpinitiatedsignon.aspx

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki w kolejności. Te kroki pomogą Ci określić przyczynę problemu. Upewnij się, że sprawdzasz, czy problem został rozwiązany po każdym kroku.

Krok 1. Sprawdzanie, czy klient jest przekierowywany do poprawnego adresu URL usług AD FS

  • Jak sprawdzić

    1. Uruchom program Internet Explorer.
    2. Naciśnij F12, aby otworzyć okno narzędzi deweloperskich.
    3. Na karcie Sieć wybierz przycisk Start lub naciśnij przycisk Rozpocznij przechwytywanie, aby włączyć przechwytywanie ruchu sieciowego.
    4. Przejdź do adresu URL aplikacji internetowej.
    5. Sprawdź ślady sieci, aby sprawdzić, czy klient jest przekierowywany do adresu URL usługi AD FS na potrzeby uwierzytelniania. Upewnij się, że adres URL usługi AD FS jest poprawny.

    Na poniższym zrzucie ekranu pierwszy adres URL dotyczy aplikacji internetowej, a drugi adres URL dotyczy usługi AD FS.

    Adres URL aplikacji internetowej i adres URL usługi A D F S wymieniony w narzędziach deweloperskich.

  • Jak rozwiązać problem

    Jeśli nastąpi przekierowanie do nieprawidłowego adresu, prawdopodobnie w aplikacji internetowej masz niepoprawne ustawienia federacji usług AD FS. Sprawdź te ustawienia, aby upewnić się, że adres URL usługi federacyjnej USŁUG AD FS (dostawcy usług SAML) jest poprawny.

Krok 2. Sprawdzanie, czy można rozpoznać nazwę usługi AD FS na prawidłowy adres IP

  • Jak sprawdzić

    Na komputerze klienckim i serwerze proxy usług AD FS (jeśli tak jest), użyj polecenia ping lub nslookup, aby określić, czy nazwa usługi AD FS jest rozpoznawana jako prawidłowy adres IP. Weź pod uwagę następujące wytyczne:

    • Intranet: nazwa powinna być rozpoznawana jako wewnętrzny adres IP serwera usług AD FS lub adres IP z równoważeniem obciążenia serwera usług AD FS (wewnętrzny).

    • Zewnętrzne: nazwa powinna być rozpoznawana jako zewnętrzny/publiczny adres IP usługi AD FS. W takiej sytuacji publiczny system DNS jest używany do rozpoznawania nazwy. Jeśli zauważysz, że różne publiczne adresy IP są zwracane z różnych komputerów dla tej samej nazwy usługi AD FS, ostatnia zmiana w publicznym systemie DNS może nie zostać jeszcze rozpropagowana na wszystkich publicznych serwerach DNS na całym świecie. Taka zmiana może wymagać replikacji do 24 godzin.

      Ważne

      Na wszystkich serwerach usług AD FS upewnij się, że serwery proxy usług AD FS mogą rozpoznać nazwę usługi AD FS do wewnętrznego adresu IP serwera usług AD FS lub do wewnętrznego adresu IP serwera usług AD FS równoważenia obciążenia. Najlepszym sposobem na to jest dodanie wpisu w pliku HOST na serwerze proxy usług AD FS lub użycie podzielonej konfiguracji DNS w sieci obwodowej (znanej również jako "STREFA DMZ", "strefa zdemilitaryzowana" i "podsieć ekranowana").

      Przykład polecenia nslookup:

      Nslookup sts.contoso.com

      Dane wyjściowe zwrócone po uruchomieniu polecenia nslookup.

  • Jak rozwiązać problem

    Sprawdź rekord nazwy usługi AD FS za pośrednictwem serwera DNS lub dostawcy usług internetowych (ISP). Upewnij się, że adres IP jest poprawny.

Krok 3. Sprawdzanie, czy można uzyskać dostęp do portu TCP 443 na serwerze usług AD FS

  • Jak sprawdzić

    Użyj narzędzia Telnet lub PortQryUI — interfejs użytkownika skanera portów wiersza polecenia portów usługi PortQry w celu wysyłania zapytań dotyczących łączności portu 443 na serwerze usług AD FS. Upewnij się, że port 443 nasłuchuje.

    Wynik zapytania Port sprawdzania łączności portu 443 na serwerze A D F S.

  • Jak rozwiązać problem

    Jeśli serwer usług AD FS nie nasłuchuje na porcie 443, wykonaj następujące kroki:

    1. Upewnij się, że usługa ad FS 2.0 systemu Windows jest uruchomiona.
    2. Sprawdź ustawienie Zapory systemu Windows na serwerze usług AD FS, aby upewnić się, że port TCP 433 jest dozwolony do nawiązywania połączeń.
    3. Jeśli moduł równoważenia obciążenia jest używany przed usługami AD FS, spróbuj obejść proces równoważenia obciążenia, aby sprawdzić, czy nie jest to przyczyna problemu. (Równoważenie obciążenia jest częstą przyczyną).

Krok 4. Sprawdzanie, czy możesz użyć strony logowania inicjowanego przez dostawcę tożsamości do uwierzytelniania w usłudze ADFS

  • Jak sprawdzić

    Uruchom program Internet Explorer, a następnie przejdź do następującego adresu internetowego. Jeśli podczas próby otwarcia tej strony zostanie wyświetlone ostrzeżenie o certyfikacie, wybierz pozycję Kontynuuj.

    <http:// YourADFSServiceName>/adfs/ls/idpinitiatedsignon.aspx

    Uwaga 16.

    W tym adresie URL <YourADFSServiceName> reprezentuje rzeczywistą nazwę usługi AD FS.

    Zazwyczaj uzyskujesz dostęp do ekranu logowania, a następnie możesz się zalogować przy użyciu poświadczeń.

    Zrzut ekranu przedstawiający stronę logowania do usługi A D F S.

  • Jak rozwiązać problem

    Jeśli możesz pomyślnie wykonać krok 1 do kroku 3, ale nadal nie możesz uzyskać dostępu do aplikacji internetowej, wykonaj następujące kroki:

    1. Użyj innego komputera klienckiego i przeglądarki, aby wykonać testy. Może wystąpić problem, który ma wpływ na klienta.
    2. Wykonaj następujące zaawansowane kroki rozwiązywania problemów:
    3. Zbieraj informacje o śledzeniu i przechwytywaniu sieci web debugera internetowego programu Fiddler podczas uzyskiwania IDPInitiatedsignon dostępu do strony. Aby uzyskać więcej informacji, zobacz AD FS 2.0: How to Use Fiddler Web Debugger to Analyze a WS-Federation Passive Sign-In (Jak używać debugera internetowego programu Fiddler do analizowania pasywnego logowania WS-Federation).
    4. Zbierz ślady sieciowe z komputera klienckiego, aby sprawdzić, czy uzgadnianie SSL zostało ukończone pomyślnie, czy istnieje zaszyfrowany komunikat, czy uzyskujesz dostęp do poprawnego adresu IP itd. Aby uzyskać więcej informacji, zobacz Jak włączyć rejestrowanie zdarzeń Schannel w systemach Windows i Windows Server.

Zastrzeżenie dotyczące innych firm

Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, dorozumianych ani żadnego innego rodzaju, w odniesieniu do wydajności lub niezawodności tych produktów.