O navegador de Internet não pode exibir a página de sposição do AD FS para utilizadores federados

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Problema

Quando um utilizador federado tenta iniciar sação num serviço de cloud da Microsoft, como o Office 365, Microsoft Azure ou Microsoft Intune, o navegador de Internet não pode exibir a página de acesso do Ative Directory Federation Services (AD FS). Além disso, o utilizador pode receber uma mensagem de erro. Por exemplo, se o utilizador estiver a utilizar o Internet Explorer, o utilizador poderá receber a seguinte mensagem de erro:

O Internet Explorer não pode exibir a página web.

Quando este erro ocorre, o endereço que é apresentado no navegador web assemelha-se ao seguinte endereço:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Causa

Este problema pode ocorrer se o utilizador não conseguir contactar o servidor da federação AD FS ou o servidor da Federação AD FS com a Internet. Isto pode ocorrer quando o Serviço da Federação de FS AD deixa de funcionar ou quando a conectividade IP é marginalizada.

Solução

Antes de começar a resolver este problema, determine o endereço de ponto final AD FS para o servidor da federação no local e, em seguida, determine qual o servidor que está com problemas.

Determine o endereço de ponto final AD FS para o servidor da federação no local

Para isso, siga estes passos num computador ligado a domínios que tenha o Módulo de Diretório Ativo Azure para o Windows PowerShell instalado:

  1. Executar o Módulo de Diretório Ativo Azure para Windows PowerShell como administrador elevado. Para isso, clique com o botão direito do Módulo de Diretório Ativo do Windows Azure para Windows PowerShelle, em seguida, clique em Executar como administrador.

  2. Digite os seguintes comandos. Prima Introduza depois de digitar cada comando:

    $cred = get-credential
    

    Nota

    Quando fores solicitado, insira as tuas credenciais de administração global.

    Connect-MsolService –credential $credS  
    
    Set-MsolADFSContext -Computer <AD FS Server>
    

    Nota

    O <AD FS Server> espaço reservado representa o nome do computador do seu servidor principal de FS AD.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL
    

    Nota

    O <Federated Domain> espaço reservado representa o nome de domínio que é federado com o serviço de nuvem.

Na saída, examine a activeClientSignInUrlproperty. A parte de domínio do URL é o ponto final que pode ser usado na resolução que é descrita mais tarde neste artigo.

Determine o servidor que está com problemas

Atenção ao assunto. Para isso, determine o servidor que está com problemas. Se apenas os clientes da Internet estiverem com problemas, resolva primeiro o servidor proxy da Federação FS da AD. Se os clientes da rede corporativa também estiverem com problemas, resolvam primeiro o servidor da federação de FS da AD.

Depois de determinar qual o servidor que está com problemas, siga estes passos no servidor AD FS apropriado:

Passo 1: Certifique-se de que o servidor da federação AD FS está em funcionamento

  1. No servidor da federação AD FS, abra o Painel de Controlo, clique em Ferramentas Administrativase, em seguida, clique em Serviços.
  2. Procure o serviço de serviço AD FS Windows.
  3. Certifique-se de que o estado do serviço AD FS Windows Service está iniciado. Se o serviço for interrompido, clique com o botão direito no serviço e, em seguida, clique em Iniciar para iniciar o serviço.

Passo 2: Certifique-se de que o servidor web está a funcionar no servidor AD FS apropriado

  1. No servidor da federação de FS AD ou no servidor proxy da federação de FS AD, abra o Server Manager, expanda funções, expanda o Web Server (IIS) e, em seguida, selecione Serviços de Informação da Internet.
  2. Expanda o nome do computador e, em seguida, expanda os Sites.
  3. Certifique-se de que o Web Site predefinido está definido para Iniciar. Se não for, clique no Web Site padrão, aponte para Todas as Tarefase, em seguida, clique em Iniciar.
  4. Expanda o Web Site padrãoe, em seguida, certifique-se de que existem os adfs e /adfs/ls diretórios virtuais.

Passo 3: Certifique-se de que o DNS tem um registo de anfitrião para o ponto final da AD FS que é apropriado para o cliente que está tendo problemas

Para os clientes internos, o DNS interno deve resolver o nome de ponto final AD FS para um endereço IP interno (por exemplo, sts.contoso.com A 192.168.1.1.104.). Para os clientes da Internet, o nome do ponto final deve ser resolvido para um endereço IP público. Isto pode ser testado no cliente utilizando o seguinte procedimento. Se a rede no local contiver um servidor proxy, tente adicionar o ponto final AD FS utilizando opções de Internet no Internet Explorer.

  1. Clique em Iniciar, clique em Executar, digite cmd e, em seguida, clique em OK.

  2. Na solicitação de comando, digite o seguinte comando, onde o espaço reservado <STS.contoso.com> representa o nome do ponto final AD FS:

    NSlookup <STS.contoso.com>
    
  3. Se o comando resultar num endereço IP incorreto, resolva o problema atualizando o registo A no servidor DNS interno ou externo. Para se certificar de que os pedidos de DNS para recursos AD FS de computadores no local resolvem para o serviço da Federação AD FS em vez do servidor AD FS Proxy, consulte o seguinte artigo da Base de Conhecimento do Microsoft para verificar e atualizar as definições de DNS de cérebro dividido.

    2715326 Configuração errada do DNS do cérebro dividido impede a experiência de sSO sem costura

    Nota

    As definições de DNS atualizadas viradas para a Internet podem demorar até 48 horas a propagar-se a todos os servidores DNS da Internet.

Passo 4: Tente adicionar o nome do servidor AD FS como uma exceção nas definições de procuração da Internet no Internet Explorer no computador cliente

Se a rede no local contiver um proxy, e se apenas os clientes internos estiverem com problemas com o acesso AD FS, tente adicionar o nome do servidor AD FS como uma exceção nas definições de procuração da Internet no Internet Explorer. Para isso, siga estes passos no computador cliente:

  1. Abra o Internet Explorer e, em seguida, clique em Opções de Internet no menu Ferramentas.
  2. Clique no separador 'Ligações' e, em seguida, clique em Definições DE LAN.
  3. Na configuração automática, clique para limpar as caixas de verificação e, em seguida, clique para selecionar o servidor De procuração para a sua caixa de verificação LAN no servidor Proxy.
  4. No servidor Proxy, adicione o endereço do servidor proxy e a porta que o servidor proxy utiliza e, em seguida, clique em Advanced.
  5. Em Exceções, adicione o seu ponto final AD FS (por exemplo, sts.contoso.com).

Mais informações

Os comandos Windows PowerShell neste artigo requerem o Módulo de Diretório Ativo Azure para Windows PowerShell.

Ainda necessita de ajuda? Vá para a página web Comunidade Microsoft ou Fóruns do Azure Active Directory.