Błąd "Wystąpił problem z uzyskaniem dostępu do witryny" z usług AD FS, gdy użytkownik federowany może się do usługi Office 365, platformy Azure lub Intune

Uwaga

Nazwa usługi Office 365 ProPlus została zmieniona na Aplikacje usługi Microsoft 365 dla przedsiębiorstw. Aby uzyskać więcej informacji na temat tej zmiany, przeczytaj ten wpis w blogu.

Problem

Gdy użytkownik federowany próbuje zalogować się do usługi w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Azure lub Microsoft Intune, użytkownik otrzymuje następujący komunikat o błędzie z usług federowanych Active Directory (AD FS):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

W przypadku wystąpienia tego błędu pasek adresu przeglądarki sieci Web wskazuje punkt końcowy lokalnych usług AD FS na adres podobny do następującego:

"https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Przyczyna

Ten problem może wystąpić z jednej z następujących przyczyn:

  • Konfiguracja logowania jednokrotnego (SSO) za pośrednictwem usług AD FS nie została ukończona.
  • Certyfikat podpisywania tokenów usług AD FS wygasł.
  • Oświadczenia dotyczące zasad dostępu klienta usług AD FS są niepoprawnie skonfigurowane.
  • Brakuje zaufania strony zależnej w usłudze Azure Active Directory (Azure AD) lub jest on niepoprawnie skonfigurowany.
  • Federowany serwer proxy usług AD FS jest niepoprawnie skonfigurowany lub niepoprawnie wyświetlany.
  • Konto usługi IUSR usług AD FS nie ma uprawnienia użytkownika "Personifikacja klienta po uwierzytelnieniu".

Rozwiązanie

Aby rozwiązać ten problem, użyj metody odpowiedniej do sytuacji.

Scenariusz 1. Certyfikat podpisywania tokenów usług AD FS wygasł

Sprawdzanie, czy certyfikat podpisywania tokenu wygasł

Aby sprawdzić, czy certyfikat podpisywania tokenu wygasł, wykonaj następujące czynności:

  1. Kliknij przycisk Start, kliknij pozycję Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie usługami AD FS (2.0).
  2. W konsoli zarządzania usług AD FS kliknij pozycję Usługa , kliknij pozycję Certyfikaty, a następnie sprawdź daty wejścia w życie i wygaśnięcia certyfikatu podpisywania tokenów usług AD FS.

Jeśli certyfikat wygasł, aby przywrócić funkcję uwierzytelniania logowania jednokrotnego, należy go odnowić.

Odnawianie certyfikatu podpisywania tokenu (jeśli wygasł)

Aby odnowić certyfikat podpisywania tokenu na podstawowym serwerze usług AD FS przy użyciu certyfikatu z podpisem własnym, wykonaj następujące czynności:

  1. W tej samej konsoli zarządzania usług AD FS kliknij pozycję Usługa , kliknij pozycję Certyfikaty, a następnie w obszarze **Certyfikaty **w okienku Akcje kliknij pozycję Dodaj Token-Signing certyfikat.
  2. Jeśli jest wyświetlane ostrzeżenie "Nie można zmodyfikować certyfikatów w przypadku włączonej funkcji automatycznego wycofywania certyfikatów usług AD FS", przejdź do kroku 3. W przeciwnym razie sprawdź certyfikat Daty ważności i Wygaśnięcia. Jeśli certyfikat został pomyślnie odnowiony, nie musisz wykonywać kroków 3 i 4.
  3. Jeśli certyfikat nie został odnowiony, kliknij przycisk Start, wskaż pozycję Wszystkie programy, kliknij pozycję Akcesoria, kliknij folder Windows PowerShell, kliknij prawym przyciskiem myszy pozycję Windows PowerShell, a następnie kliknij polecenie Uruchom jako administrator.
  4. W wierszu polecenia programu Windows PowerShell wprowadź następujące polecenia. Po wprowadzeniu poszczególnych poleceń naciśnij klawisz Enter:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Aby odnowić certyfikat podpisywania tokenu na podstawowym serwerze usług AD FS przy użyciu certyfikatu podpisanego przez urząd certyfikacji (UC), wykonaj następujące czynności:

  1. Utwórz plik WebServerTemplate.inf. Aby to zrobić, wykonaj następujące kroki.

    1. Uruchom Notatnik i otwórz nowy pusty dokument.

    2. Wklej do pliku następujące elementy:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      
    3. W pliku zmień wartość subject="CN=adfs.contoso.com" na następującą:

      subject="CN=your-federation-service-name"

    4. W menu Plik kliknij polecenie Zapisz jako.

    5. W oknie dialogowym** Zapisz jako kliknij pozycję Wszystkie pliki (.) ** w polu Zapisz jako typ.

    6. Wpisz plik WebServerTemplate.inf w polu Nazwa pliku, a następnie kliknij przycisk Zapisz.

  2. Skopiuj plik WebServerTemplate.inf do jednego z serwerów federacji usług AD FS.

  3. Na serwerze usług AD FS otwórz okno Administracyjny wiersz polecenia.

  4. Użyj polecenia cd(change directory) w celu zmiany katalogu, do którego skopiowano plik inf.

  5. Wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Wyślij plik wyjściowy AdfsSSL.req do urzędu certyfikacji w celu podpisywania.

  7. Urząd certyfikacji zwróci podpisaną część klucza publicznego w formacie p7b lub cer. Skopiuj ten plik na serwer usług AD FS, na którym zostało wygenerowane żądanie.

  8. Na serwerze usług AD FS otwórz okno Administracyjny wiersz polecenia.

  9. Użyj polecenia cd(change directory) w celu zmiany katalogu, do którego skopiowano plik p7b lub cer.

  10. Wpisz następujące polecenie, a następnie naciśnij klawisz Enter:

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

Zakończenie przywracania funkcji logowania jednokrotnego

Niezależnie od tego, czy jest używany certyfikat z podpisem własnym, czy certyfikat podpisany przez urząd certyfikacji, należy zakończyć przywracanie funkcji uwierzytelniania logowania jednokrotnego. Aby to zrobić, wykonaj następujące kroki.

  1. Dodaj dostęp odczyt do klucza prywatnego konta usługi AD FS na podstawowym serwerze usług AD FS. Aby to zrobić, wykonaj następujące kroki.
    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc.exe, a następnie naciśnij klawisz Enter.
    2. W menu Plik kliknij polecenie Dodaj/usuń przystawkę.
    3. Kliknij dwukrotnie pozycję Certyfikaty, wybierz pozycję Konto komputera, a następnie kliknij przycisk Dalej.
    4. Wybierz pozycję Komputer lokalny, kliknij przycisk Zakończ, a następnie kliknij przycisk OK.
    5. Rozwiń pozycję Certyfikaty (komputer lokalny), rozwiń pozycję Osobiste, a następnie kliknij pozycję Certyfikaty.
    6. Kliknij prawym przyciskiem myszy nowy certyfikat podpisywania tokenu, wskaż polecenie Wszystkie zadania, a następnie kliknij polecenie Zarządzaj kluczami prywatnymi.
    7. Dodaj dostęp do odczytu do konta usługi AD FS, a następnie kliknij przycisk OK.
    8. Zamknij przystawkę Certyfikaty.
  2. Zaktualizuj etykietę kciuka nowego certyfikatu oraz datę zaufania strony zależnej w usłudze Azure AD. W tym celu zobacz sekcję "Jak zaktualizować konfigurację domeny federacyjnych usługi Office 365" w sekcji Jak aktualizować lub naprawiać ustawienia domeny federacyjnych w usłudze Office 365,usłudze Azure lub Intune.
  3. Ponownie utwórz konfigurację zaufania serwera proxy usług AD FS. Aby to zrobić, wykonaj następujące kroki.
    1. Uruchom ponownie usługę systemu Windows usług AD FS na podstawowym serwerze usług AD FS.
    2. Poczekaj 10 minut, aż certyfikat zreplikuje się do wszystkich członków farmy serwerów federowanych, a następnie uruchom ponownie usługę AD FS systemu Windows na pozostałych serwerach usług AD FS.
    3. Ponownie uruchomić Kreatora konfiguracji serwera proxy na każdym serwerze proxy usług AD FS. Aby uzyskać więcej informacji, zobacz Konfigurowanie komputera dla roli serwera proxy federacji.

Scenariusz 2. Ostatnio zasady dostępu klienta zostały zaktualizowane przez oświadczenia, a teraz logowanie nie działa

Sprawdź, czy zasady dostępu klienta zostały poprawnie zastosowane. Aby uzyskać więcej informacji, zobacz Ograniczanie dostępu do usług Office 365na podstawie lokalizacji klienta.

Scenariusz 3. Punkt końcowy metadanych federacji lub zaufanie strony zależnej może być wyłączone

Włącz punkt końcowy metadanych federacji i zaufanie podmiotu zależnego za pomocą usługi Azure AD na podstawowym serwerze usług AD FS. Aby to zrobić, wykonaj następujące kroki.

  1. Otwórz konsolę zarządzania usług AD FS 2.0.
  2. Upewnij się, że jest włączony punkt końcowy metadanych federacji. Aby to zrobić, wykonaj następujące kroki.
    1. W lewym okienku nawigacji przejdź do usług AD FS (2.0), Service (Usługa) i Endpoints (Punkty końcowe).
    2. W środkowym okienku kliknij prawym przyciskiem myszy wpis /Federation Metadata/2007-06/FederationMetadata.xml, a następnie kliknij, aby wybrać pozycję Włącz i włącz w serwerze proxy.
  3. Upewnij się, że w usłudze Azure AD włączono zaufanie strony zależnej. Aby to zrobić, wykonaj następujące kroki.
    1. W okienku nawigacji po lewej stronie przejdź do menu USŁUGI AD FS (2.0), następnie kliknij pozycję Relacje zaufania , a następnie pozycję Zaufane podmioty.
    2. Jeśli platforma tożsamości usługi Microsoft Office 365 jest obecna, kliknij ten wpis prawym przyciskiem myszy, a następnie kliknij polecenie Włącz.
  4. Aby naprawić zaufanie podmiotu zależnego w usłudze Azure AD, zobacz sekcję "Aktualizowanie właściwości zaufania" w tece Weryfikowanie logowania pojedynczego i zarządzanie nim za pomocą usług AD FS.

Scenariusz 4. Może brakować zaufania strony zależnej lub może on być uszkodzony

Usuń i ponownie dodaj zaufanie podmiotu zależnego. Aby to zrobić, wykonaj następujące kroki.

  1. Zaloguj się do podstawowego serwera usług AD FS.
  2. Kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie usługami AD FS (2.0).
  3. W konsoli zarządzania rozwiń pozycję AD FS (2.0), rozwiń pozycję Relacje zaufania , a następnie rozwiń pozycję Relacje zaufania podmiotu zależnego.
  4. Jeśli platforma tożsamości usługi Microsoft Office 365 jest obecna, kliknij ten wpis prawym przyciskiem myszy, a następnie kliknij polecenie Usuń.
  5. Aby ponownie dodać zaufanie podmiotu zależnego, zobacz sekcję "Aktualizowanie właściwości zaufania" w tece Weryfikowanie logowania pojedynczego i zarządzanie nim za pomocą usług AD FS.

Scenariusz 5. Konto usługi AD FS nie ma uprawnienia użytkownika "Personifikacja klienta po uwierzytelnieniu"

Aby przyznać użytkownikowi uprawnienia użytkownika "Personifikacja klienta po uwierzytelnieniu" do konta usługi IUSR usług AD FS, zobacz Identyfikator zdarzenia 128 —konfiguracja aplikacji opartej na tokenie systemu Windows NT.

Informacje

Aby uzyskać więcej informacji na temat rozwiązywania problemów z logowaniem użytkowników federowanych, zobacz następujące artykuły z bazy wiedzy Microsoft Knowledge Base:

  • 2530569 Rozwiązywanie problemów z konfiguracją logowania pojedynczego w usłudze Office 365, usłudze Intune lub platformie Azure
  • 2712961 Jak rozwiązywać problemy z połączeniem punktu końcowego usług AD FS po zalogowaniu się przez użytkowników do usługi Office 365, intune lub platformy Azure

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub forów Azure Active Directory.