페더레이션 사용자가 Office 365, Azure 또는 Intune에 로그인 하는 경우 AD FS에서 "사이트에 액세스 하는 동안 문제가 발생 했습니다." 오류 메시지가 표시 됨

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

페더레이션 사용자가 Office 365, Microsoft Azure 또는 Microsoft Intune과 같은 Microsoft 클라우드 서비스에 로그인 하려고 하면 AD FS (Active Directory Federation Services)에서 다음과 같은 오류 메시지가 나타납니다.

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

이 오류가 발생 하면 웹 브라우저의 주소 표시줄이 다음과 유사한 주소에서 온-프레미스 AD FS 끝점을 가리킵니다.

"https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

원인

이 문제는 다음과 같은 이유 중 하나로 인해 발생할 수 있습니다.

  • AD FS를 통한 SSO (single sign-on) 설정이 완료 되지 않았습니다.
  • AD FS 토큰 서명 인증서가 만료 되었습니다.
  • AD FS 클라이언트 액세스 정책 클레임이 잘못 설정 되었습니다.
  • Azure Active Directory (Azure AD)와의 신뢰 당사자 트러스트가 없거나 잘못 설정 되었습니다.
  • AD FS 페더레이션 프록시 서버가 잘못 설정 되었거나 잘못 표시 되었습니다.
  • AD FS IUSR 계정에는 "인증 후 클라이언트 가장" 사용자 권한이 없습니다.

해결 방법

이 문제를 해결 하려면 상황에 적합 한 방법을 사용 하십시오.

시나리오 1: AD FS 토큰 서명 인증서가 만료 됨

토큰 서명 인증서가 만료 되었는지 확인

토큰 서명 인증서가 만료 되었는지 확인 하려면 다음 단계를 수행 합니다.

  1. 시작을 클릭 하 고 모든 프로그램, 관리 도구를 차례로 클릭 한 다음 AD FS (2.0) 관리를 클릭 합니다.
  2. AD FS 관리 콘솔에서 서비스를 클릭 하 고 인증서를 클릭 한 다음 AD FS 토큰 서명 인증서의 유효만료 날짜를 검사 합니다.

인증서가 만료 된 경우 SSO 인증 기능을 복원 하기 위해 갱신 해야 합니다.

토큰 서명 인증서 갱신 (만료 된 경우)

자체 서명 된 인증서를 사용 하 여 기본 AD FS 서버에서 토큰 서명 인증서를 갱신 하려면 다음 단계를 수행 합니다.

  1. 동일한 AD FS 관리 콘솔에서 서비스를 클릭 하 고 인증서를 클릭 한 다음 작업 창에서 * * 인증 * * 아래의 토큰 서명 인증서 추가를 클릭 합니다.
  2. "AD FS 자동 인증서 롤오버 기능을 사용 하도록 설정 하는 동안 인증서를 수정할 수 없습니다." 경고가 표시 되 면 3 단계로 이동 합니다. 그렇지 않으면 인증서 유효 기간 및 만료 날짜를 확인 합니다. 인증서가 갱신 되 면 3, 4 단계를 수행할 필요가 없습니다.
  3. 인증서가 갱신 되지 않은 경우 시작을 클릭 하 고 모든 프로그램을 가리킨 다음 보조 프로그램, windows Powershell 폴더를 차례로 클릭 하 고 windows powershell을 마우스 오른쪽 단추로 클릭 한 다음 관리자 권한으로 실행을 클릭 합니다.
  4. Windows PowerShell 명령 프롬프트에 다음 명령을 입력 합니다. 각 명령을 입력 한 후 enter 키를 누릅니다.
    • PSSnapin를 추가 합니다.
    • 업데이트-Get-adfscertificate-CertificateType: 토큰 서명

CA (인증 기관) 서명 인증서를 사용 하 여 기본 AD FS 서버에서 토큰 서명 인증서를 갱신 하려면 다음 단계를 수행 합니다.

  1. WebServerTemplate .inf 파일을 만듭니다. 이렇게 하려면 다음 단계를 따르세요.

    1. 메모장을 시작 하 고 비어 있는 새 문서를 엽니다.

    2. 파일에 다음을 붙여 넣습니다.

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      
    3. 파일에서 subject = \ CN = adfs. .com "을 다음으로 변경 합니다.

      subject = "CN = a -페더레이션 서비스-이름"

    4. 파일 메뉴에서 다른 이름으로 저장을 클릭합니다.

        • 다른 이름으로 저장 대화 상자 에서 모든 파일 (.)을 클릭 합니다 . * * 파일 형식 상자에 있습니다.
    5. 파일 이름 상자에 WebServerTemplate .inf를 입력 한 다음 저장을 클릭 합니다.

  2. WebServerTemplate .inf 파일을 AD FS 페더레이션 서버 중 하나에 복사 합니다.

  3. AD FS 서버에서 관리 명령 프롬프트 창을 엽니다.

  4. Cd (디렉터리 변경) 명령을 사용 하 여 .inf 파일을 복사한 디렉터리로 변경 합니다.

  5. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

    CertReq-새 WebServerTemplate .inf AdfsSSL

  6. 출력 파일인 AdfsSSL를 CA에 보내 서명을 합니다.

  7. CA가. p7b 또는 .cer 형식으로 서명 된 공개 키 부분을 반환 합니다. 요청을 생성 한 AD FS 서버에이 파일을 복사 합니다.

  8. AD FS 서버에서 관리 명령 프롬프트 창을 엽니다.

  9. Cd (디렉터리 변경) 명령을 사용 하 여. p7b 또는 .cer 파일을 복사한 디렉터리로 변경 합니다.

  10. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

    CertReq-"허용"-"-p7b-.

SSO 기능 복원 완료

자체 서명 또는 CA 서명 인증서가 사용 되는지 여부에 관계 없이 SSO 인증 기능 복원을 완료 해야 합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. 기본 AD FS 서버에서 AD FS 서비스 계정의 개인 키에 대 한 읽기 액세스 권한을 추가 합니다. 이렇게 하려면 다음 단계를 따르세요.
    1. 시작, 실행을 차례로 클릭 하 고 mmc.exe를 입력 한 다음 enter 키를 누릅니다.
    2. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.
    3. 인증서를 두 번 클릭 하 고 컴퓨터 계정을선택한 후 다음을 클릭 합니다.
    4. 로컬 컴퓨터를 선택 하 고 마침을클릭 한 다음 확인을 클릭 합니다.
    5. 인증서(로컬 컴퓨터), 개인을 차례로 확장한 후 인증서를 클릭합니다.
    6. 새 토큰 서명 인증서를 마우스 오른쪽 단추로 클릭 하 고 모든 작업을 가리킨 다음 개인 키 관리를 클릭 합니다.
    7. AD FS 서비스 계정에 대 한 읽기 권한을 추가 하 고 확인을 클릭 합니다.
    8. 인증서 스냅인을 종료 합니다.
  2. 새 인증서의 지문과 Azure AD를 사용한 신뢰 당사자 트러스트의 날짜를 업데이트 합니다. 이 작업을 수행 하려면 office 365, Azure 또는 Intune에서 페더레이션 도메인의 설정을 업데이트 하거나 복구하는 방법에서 "office 365 페더레이션 도메인의 구성을 업데이트 하는 방법" 섹션을 참조 하십시오.
  3. AD FS 프록시 트러스트 구성을 다시 만듭니다. 이렇게 하려면 다음 단계를 따르세요.
    1. 기본 AD FS 서버에서 AD FS Windows 서비스를 다시 시작 합니다.
    2. 인증서가 페더레이션 서버 팜의 모든 구성원에 게 복제 되는 데 10 분 정도 기다린 다음 나머지 AD FS 서버에서 AD FS Windows 서비스를 다시 시작 합니다.
    3. 각 AD FS 프록시 서버에서 프록시 구성 마법사를 다시 실행 합니다. 자세한 내용은 페더레이션 서버 프록시 역할에 대 한 컴퓨터 구성을참조 하십시오.

시나리오 2: 최근에 클레임을 통해 클라이언트 액세스 정책을 업데이트 했으며 이제 로그인이 작동 하지 않음

클라이언트 액세스 정책이 올바르게 적용 되었는지 확인 합니다. 자세한 내용은 클라이언트 위치에 따라 Office 365 서비스에 대 한 액세스 제한을참조 하세요.

시나리오 3: 페더레이션 메타 데이터 끝점 또는 신뢰 당사자 트러스트를 사용 하지 않도록 설정할 수 있음

기본 AD FS 서버에서 Azure AD와 페더레이션 메타 데이터 끝점 및 신뢰 당사자 트러스트를 사용 하도록 설정 합니다. 이렇게 하려면 다음 단계를 따르세요. 

  1. AD FS 2.0 관리 콘솔을 엽니다.
  2. 페더레이션 메타 데이터 끝점이 사용 되도록 설정 되어 있는지 확인 합니다. 이렇게 하려면 다음 단계를 따르세요.
    1. 왼쪽 탐색 창에서 AD FS (2.0), 서비스, 끝점으로 이동 합니다.
    2. 가운데 창에서 /pa/페더레이션 메타 데이터/2007-06/ws-federationmetadata 항목을 마우스 오른쪽 단추로 클릭 한 다음 프록시에서 사용 및 사용을 클릭 하 여 선택 합니다.
  3. Azure AD와의 신뢰 당사자 트러스트가 사용 하도록 설정 되어 있는지 확인 합니다. 이렇게 하려면 다음 단계를 따르세요. 
    1. 왼쪽 탐색 창에서 AD FS (2.0) 로 이동한 후 트러스트 관계를 선택한 다음 신뢰 당사자 트러스트를 선택 합니다.
    2. Microsoft Office 365 Id 플랫폼이 있는 경우이 항목을 마우스 오른쪽 단추로 클릭 하 고 사용을 클릭 합니다.
  4.  AD FS를 사용 하 여 single Sign-on 검증 및 관리의 "트러스트 속성 업데이트" 섹션을 확인 하 여 Azure AD와의 신뢰 당사자 트러스트를 복구 합니다.

시나리오 4: 신뢰 당사자 트러스트가 없거나 손상 되었을 수 있습니다.

신뢰 당사자 트러스트를 제거 하 고 다시 추가 합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. 핵심 AD FS 서버에 로그온 합니다.
  2. 시작을 클릭 하 고 모든 프로그램을 가리킨 다음 관리 도구를 클릭 하 고 AD FS (2.0) 관리를 클릭 합니다.
  3. 관리 콘솔에서 AD FS (2.0), 트러스트 관계, 신뢰 당사자 트러스트를 차례로 확장 합니다.
  4. Microsoft Office 365 Id 플랫폼이 있는 경우이 항목을 마우스 오른쪽 단추로 클릭 한 다음 삭제를 클릭 합니다.
  5. Verify and manage single sign-on WITH AD FS의 "트러스트 속성 업데이트" 섹션을 확인 하 여 신뢰 당사자 트러스트를 다시 추가 합니다.

시나리오 5: AD FS 서비스 계정에 "인증 후 클라이언트 가장" 사용자 권한이 없음

AD FS IUSR 서비스 계정에 대 한 "인증 후 클라이언트 가장" 사용자 권한을 부여 하려면 이벤트 ID 128-WINDOWS NT 토큰 기반 응용 프로그램 구성을참조 하십시오.

참조가

페더레이션 사용자의 로그인 문제를 해결 하는 방법에 대 한 자세한 내용은 다음 Microsoft 기술 자료 문서를 참조 하십시오.

  • 2530569   Office 365, Intune 또는 Azure에서 sso (single sign-on) 설정 문제 해결
  • 2712961   사용자가 Office 365, Intune 또는 Azure에 로그인 하는 경우 AD FS 끝점 연결 문제를 해결 하는 방법  

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Azure Active Directory 포럼 웹 사이트를 방문해 보세요.