Nett leseren kan ikke vise Netts IDen for AD FS-pålogging for Forbunds brukere

Obs!

Office 365 ProPlus får nytt navn og heter nå Microsoft 365-apper for enterprise. Hvis du vil ha mer informasjon om denne endringen, kan du lese dette blogginnlegget.

Problem

Når en sammenslått bruker prøver å logge seg på en Microsoft Cloud-tjeneste, for eksempel Office 365, Microsoft Azure eller Microsoft Intune, kan ikke nett leseren for pålogging for Active Directory Federation Services (AD FS)-påloggings området vises. I tillegg kan brukeren få en feil melding. Hvis for eksempel brukeren bruker Internet Explorer, kan brukeren få følgende feil melding:

Internet Explorer kan ikke vise Netts IDen.

Når denne feilen oppstår, vil adressen som vises i nett leseren, likne følgende adresse:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Årsak

Dette problemet kan oppstå hvis brukeren ikke kan kontakte den lokale AD FS-serverrollen eller proxyen for en AD FS-Forbunds på Internet t. Dette kan skje når AD FS Federation service stopper å kjøre eller når IP-tilkobling er marginalized.

Løsning

Før du begynner å løse dette problemet, fastslår du adressen til AD FS-endepunktet for den lokale Federation-serveren, og deretter finner du ut hvilken server som har problemer.

Finne adressen til AD FS-endepunktet for den lokale Federation-serveren

Hvis du vil gjøre dette, følger du disse trinnene på en domene tilkoblet data maskin som har Azure Active Directory-modul for Windows PowerShell installert:

  1. Kjør Azure Active Directory-modulen for Windows PowerShell som en privilegert administrator. Hvis du vil gjøre dette, høyre klikker du Windows Azure Active Directory-modulen for Windows PowerShell, og deretter klikker du Kjør som administrator.

  2. Skriv inn følgende kommandoer. Trykk ENTER etter at du har skrevet inn hver kommando:

    $cred = get-credential
    

    Obs!

    Skriv inn den globale administrator legitimasjonen når du blir bedt om det.

    Connect-MsolService –credential $credS  
    
    Set-MsolADFSContext -Computer <AD FS Server>
    

    Obs!

    <AD FS Server>Plass holde ren representerer data maskin navnet til den PRIMÆRE AD FS-serveren.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL
    

    Obs!

    <Federated Domain>Plass holde ren representerer domene navnet som er i forbund med Sky tjenesten.

I utdataene undersøker du ActiveClientSignInUrlproperty. Domene delen av URL-adressen er ende punktet som kan brukes i oppløsningen som er beskrevet senere i denne artikkelen.

Finne ut hvilken server som har problemer

Omfanget av problemet. Hvis du vil gjøre dette, kan du finne serveren som har problemer. Hvis bare Internett-klienter har problemer, kan du feilsøke proxyen for AD FS-Federation-serverrollen først. Hvis bedrifts nettverks klienter også har problemer, kan du feilsøke AD FS Federation-serveren først.

Når du har fastslått hvilken server som har problemer, følger du denne Fremgangs måten på den aktuelle AD FS-serveren:

Trinn 1: Kontroller at den lokale AD FS-forbundsen kjører

  1. Åpne kontroll panel på AD FS Federation-serveren, klikk Administrative verktøy, og klikk deretter tjenester.
  2. Se etter AD FS-tjeneste for Windows-tjenesten.
  3. Kontroller at statusen til AD FS-tjenesten for Windows-tjenesten er startet. Hvis tjenesten er stoppet, høyre klikker du tjenesten, og deretter klikker du Start for å starte tjenesten.

Trinn 2: Kontroller at webserveren kjører på den aktuelle AD FS-serveren

  1. På AD FS Federation-serveren eller på AD FS Federation-proxyen, åpner du Serverbehandling, utvider roller, utvider nettserver (IIS), og deretter velger du Internet Information Services.
  2. Utvid navnet på data maskinen, og utvid deretter områder.
  3. Kontroller at standard Web område er satt til startet. Hvis det ikke er det, høyre klikker du standard Web område, peker på alle oppgaverog klikker deretter Start.
  4. Utvid standard Web område, og kontroller deretter at det finnes et ADFS-og/ADFS/ls-virtuelle mapper.

Trinn 3: Kontroller at DNS har en verts post for AD FS-endepunktet som er relevant for klienten som har problemer

For interne klienter bør intern DNS løse AD FS ende punkt navnet til en intern IP-adresse (for eksempel sts.contoso.com et 192.168.1.104.). For Internett-klienter skal ende punkt navnet løses til en offentlig IP-adresse. Dette kan testes på klienten ved å følge Fremgangs måten nedenfor. Hvis det lokale nettverket inneholder en proxy-server, kan du prøve å legge til AD FS-endepunktet ved hjelp av alternativer for Internet t i Internet Explorer.

  1. Klikk Start, klikk Kjør, skriv inn cmd og klikk deretter OK.

  2. Skriv inn følgende kommando i lede teksten, der plass holde ren <STS.contoso.com> representerer AD FS ende punkt navnet:

    NSlookup <STS.contoso.com>
    
  3. Hvis kommandoen resulterer i feil IP-adresse, kan du løse problemet ved å oppdatere en post på den interne eller eksterne DNS-serveren. Hvis du vil sikre at DNS-forespørsler for AD FS-ressurser fra lokale data maskiner løser til AD FS Federation-tjenesten i stedet for AD FS-proxy-serveren, kan du se følgende Microsoft Knowledge Base-artikkel for å kontrollere og oppdatere DNS-innstillingene for del hjernen.

    feil konfigurering av 2715326 delt-hjerne DNS forhindrer sømløs SSO-pålogging

    Obs!

    Oppdaterte DNS-innstillinger på Internet t kan oppta så lenge 48 timer skal overføres til alle Internett-DNS-servere.

Trinn 4: Prøv å legge til AD FS Server-navnet som et unntak i proxy-innstillingene for Internet t i Internet Explorer på klient data maskinen

Hvis det lokale nettverket inneholder en proxy, og hvis bare interne klienter har problemer med AD FS-tilgang, kan du prøve å legge til AD FS Server-navnet som et unntak i proxy-innstillingene for Internet t i Internet Explorer. Gjør dette ved å følge disse trinnene på klient data maskinen:

  1. Åpne Internet Explorer, og klikk deretter Alternativer for Internet tverktøy -menyen.
  2. Klikk tilkoblinger -fanen, og klikk deretter LAN-innstillinger.
  3. Klikk for å fjerne merket i avmerkings boksene under automatisk konfigurasjon, og klikk deretter for å velge avmerkings boksen Bruk en proxy-server for lokal nettet under proxy-server.
  4. Legg til proxy-serveradresse og porten som proxy-serveren bruker, under proxy-server, og klikk deretter Avansert.
  5. Legg til AD FS-endepunktet under unntak(for eksempel STS.contoso.com).

Mer informasjon

Windows PowerShell-kommandoer i denne artikkelen krever Azure Active Directory-modulen for Windows PowerShell.

Trenger du fremdeles hjelp? Gå til Microsoft Community eller Azure Active Directory forums-webområdet.