Feilmeldingen «Det oppstod et problem under tilgang til nettstedet» fra AD FS når en bruker i forbund logger på Office 365, Azure eller Intune

Obs!

Office 365 ProPlus får nytt navn og heter nå Microsoft 365-apper for enterprise. Hvis du vil ha mer informasjon om denne endringen, kan du lese dette blogginnlegget.

Problem

Når en bruker i forbund prøver å logge på en Microsoft-skytjeneste, for eksempel Office 365, Microsoft Azure eller Microsoft Intune, får brukeren følgende feilmelding fra Active Directory Federation Services (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

Når denne feilen oppstår, peker nettleserens adresselinje til det lokale AD FS-endepunktet på en adresse som ligner på følgende:

"https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Årsak

Dette problemet kan oppstå av én av følgende årsaker:

  • Konfigurasjonen av enkel pålogging (SSO) via AD FS ble ikke fullført.
  • AD FS-token-signeringssertifikatet er utløpt.
  • Policykravene for AD FS-klienttilgang er feil konfigurert.
  • Den betroende partens klarering med Azure Active Directory (Azure AD) mangler eller er konfigurert på feil måte.
  • PROXY-serveren for AD FS-forbund er konfigurert feil eller eksponert feil.
  • AD FS IUSR-kontoen har ikke brukertillatelsen «Representere en klient etter godkjenning».

Løsning

Du kan løse dette problemet ved å bruke metoden som passer for din situasjon.

Scenario 1: AD FS-tokensigneringssertifikatet er utløpt

Kontroller om tokensigneringssertifikatet er utløpt

Følg disse trinnene for å kontrollere om tokensigneringssertifikatet er utløpt:

  1. Klikk Start, klikk Alle programmer, klikk Administrative verktøy, og klikk deretter AD FS (2.0) Management.
  2. Klikk Tjeneste i administrasjonskonsollen for AD FS, klikk Sertifikater , og undersøk deretter datoene for gyldighet og utløpsdato for AD FS-tokensigneringssertifikatet.

Hvis sertifikatet er utløpt, må det fornyes for å gjenopprette SSO-godkjenningsfunksjonalitet.

Fornye tokensigneringssertifikatet (hvis det er utløpt)

Følg disse trinnene for å fornye tokensigneringssertifikatet på den primære AD FS-serveren ved hjelp av et selvsignert sertifikat:

  1. Klikk Tjeneste i den samme AD FS-administrasjonskonsollen, klikk Sertifikater , og klikk deretter Legg til Token-Signing sertifikat under **Sertifiseringer **i Handlinger-ruten.
  2. Hvis advarselen «Sertifikater kan ikke endres mens funksjonen for automatisk sertifikatoverrulling av sertifikat er aktivert» vises, går du til trinn 3. Hvis ikke, må du kontrollere gyldighets- og utløpsdatoen for sertifikatet. Hvis sertifikatet er fornyet, trenger du ikke utføre trinn 3 og 4.
  3. Hvis sertifikatet ikke fornyes, klikker du Start, peker på Alle programmer, klikker Tilbehør, klikker Windows PowerShell-mappen, høyreklikker Windows PowerShell og klikker deretter Kjør som administrator.
  4. Skriv inn følgende kommandoer i windows PowerShell-ledeteksten. Trykk ENTER etter at du har angitt hver kommando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Hvis du vil fornye tokensigneringssertifikatet på den primære AD FS-serveren ved hjelp av et sertifiseringsinstanssignert sertifikat, følger du disse trinnene:

  1. Opprett WebServerTemplate.inf-filen. Dette gjør du slik:

    1. Start Notisblokk, og åpne et nytt, tomt dokument.

    2. Lim inn følgende i filen:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      
    3. Endre emne="CN=adfs.contoso.com" i filen til følgende:

      subject="CN=your-federation-service-name"

    4. Klikk Lagre som på Fil-menyen.

    5. Klikk Alle filer (.) i dialogboksen ** Lagre som ** i Filtype-boksen.

    6. Skriv inn WebServerTemplate.inf i Filnavn-boksen, og klikk deretter Lagre.

  2. Kopier WebServerTemplate.inf-filen til en av AD FS Federation-serverne.

  3. Åpne et administrativt ledetekstvindu på AD FS-serveren.

  4. Bruk cd(change directory)-kommandoen til å endre til katalogen der du kopierte INF-filen.

  5. Skriv inn følgende kommando, og trykk deretter ENTER:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Send utdatafilen, AdfsSSL.req, til sertifiseringsinstansen for signering.

  7. Sertifiseringsinstansen returnerer en signert fellesnøkkel i enten P7B- eller CER-format. Kopier denne filen til AD FS-serveren der du genererte forespørselen.

  8. Åpne et administrativt ledetekstvindu på AD FS-serveren.

  9. Bruk cd(change directory)-kommandoen til å endre til katalogen der du kopierte P7B- eller CER-filen.

  10. Skriv inn følgende kommando, og trykk deretter ENTER:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Fullføre gjenoppretting av SSO-funksjonalitet

Uavhengig av om et selvsignert eller CA-signert sertifikat brukes, bør du fullføre gjenopprettingen av SSO-godkjenningsfunksjonalitet. Dette gjør du slik:

  1. Legg til lesetilgang til den private nøkkelen for AD FS-tjenestekontoen på den primære AD FS-serveren. Dette gjør du slik:
    1. Klikk Start, klikk Kjør, skriv mmc.exe, og trykk deretter ENTER.
    2. Klikk Legg til / fjern snapin-modul på Fil-menyen.
    3. Dobbeltklikk Sertifikater, velg Datamaskinkonto, og klikk deretter Neste.
    4. Velg Lokal datamaskin, klikk Fullfør, og klikk deretter OK.
    5. Utvid Sertifikater (lokal datamaskin), utvid Personlig, og klikk deretter Sertifikater.
    6. Høyreklikk det nye tokensigneringssertifikatet, pek på Alle oppgaver , og klikk deretter Behandle private nøkler.
    7. Legg til lesetilgang i AD FS-tjenestekontoen, og klikk deretter OK.
    8. Avslutt snapin-modulen for sertifikater.
  2. Oppdater det nye sertifikatets avtrykk og datoen for den betrodde partens klarering med Azure AD. Hvis du vil gjøre dette, kan du se delen Slik oppdaterer du konfigurasjonen av det forbundsdomenet for Office 365 i Slik oppdaterer eller reparerer du innstillingene for et domene i forbund i Office 365, Azure eller Intune.
  3. Opprett konfigurasjonen for AD FS-proxy-klarering på nytt. Dette gjør du slik:
    1. Start AD FS Windows-tjenesten på den primære AD FS-serveren.
    2. Vent 10 minutter før sertifikatet replikeres til alle medlemmene av serverfarmen for forbund, og start deretter AD FS Windows-tjenesten på resten av AD FS-serverne.
    3. Kjøre veiviseren for proxy-konfigurasjon på hver AD FS-proxyserver. Hvis du vil ha mer informasjon, kan du se Konfigurere en datamaskin for proxy-rollen for forbundsserveren.

Scenario 2: Du har nylig oppdatert klienttilgangspolicyen gjennom krav, og nå fungerer ikke påloggingen

Kontroller om klienttilgangspolicyen ble brukt riktig. Hvis du vil ha mer informasjon, kan du se Begrense tilgang til Office 365-tjenester basert på plasseringen av klienten.

Scenario 3: Endepunktet for forbundsmetadata eller den betrode partens klarering kan være deaktivert

Aktiver endepunktet for forbundsmetadata og den pålitelige partens klarering med Azure AD på den primære AD FS-serveren. Dette gjør du slik:

  1. Åpne AD FS 2.0 Management Console.
  2. Kontroller at endepunktet for forbundsmetadata er aktivert. Dette gjør du slik:
    1. Bla til AD FS (2.0), Tjeneste, Endepunkter i den venstre navigasjonsruten.
    2. Høyreklikk oppføringen /Federation Metadata/2007-06/FederationMetadata.xml i den midterste ruten, og klikk deretter for å velge Aktiver og aktiver ved proxy.
  3. Kontroller at tilliten til den betrode parten med Azure AD er aktivert. Dette gjør du slik:
    1. Bla til AD FS (2.0) i den venstre navigasjonsruten, og deretter klareringsrelasjoner og deretter Klarering av parter .
    2. Hvis Microsoft Office 365 Identity Platform finnes, høyreklikker du på denne oppføringen, og deretter klikker du Aktiver.
  4. Reparer den betroende partens klarering med Azure AD ved å se delen Oppdatere klareringsegenskaper i Bekrefte og behandle enkel pålogging med AD FS.

Scenario 4: Klareringen til den betrodde parten kan mangle eller være skadet

Fjern og legg til den pålitelige partens klarering på nytt. Dette gjør du slik:

  1. Logg på ad FS-kjerneserveren.
  2. Klikk Start, pek på Alle programmer, klikk Administrative verktøy, og klikk deretter AD FS (2.0) Management.
  3. Utvid AD FS (2.0) i administrasjonskonsollen, utvid Klareringsrelasjoner, og utvid deretter Klareringsselskaper.
  4. Hvis Microsoft Office 365 Identity Platform finnes, høyreklikker du denne oppføringen, og deretter klikker du Slett.
  5. Legg til den pålitelige klareringen på nytt ved å se delen Oppdatere klareringsegenskaper i Bekreft og behandle enkel pålogging med AD FS.

Scenario 5: AD FS-tjenestekontoen har ikke brukertillatelsen «Representere en klient etter godkjenning»

Hvis du vil gi brukertillatelsen «Representere en klient etter godkjenning» til ad FS IUSR-tjenestekontoen, kan du se Hendelses-ID 128 – Windows NT token-basert programkonfigurasjon.

Referanser

Hvis du vil ha mer informasjon om hvordan du feilsøker påloggingsproblemer for brukere i forbund, kan du se følgende Microsoft Knowledge Base-artikler:

  • 2530569 Feilsøke problemer med konfigurasjon av enkel pålogging i Office 365, Intune eller Azure
  • 2712961 Slik feilsøker du tilkoblingsproblemer med AD FS-endepunkt når brukere logger på Office 365, Intune eller Azure

Trenger du fremdeles hjelp? Gå til Microsoft Community eller Azure Active Directory forums-webområdet.