O browser não consegue apresentar a página Web de início de sessão do AD FS para utilizadores federados

  • Artigo
  • Aplica-se a:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problema

Quando um utilizador federado tenta iniciar sessão num serviço cloud da Microsoft, como o Microsoft 365, o Microsoft Azure ou Microsoft Intune, o browser não consegue apresentar a página Web de início de sessão do Serviços de Federação do Active Directory (AD FS) (AD FS). Além disso, o utilizador pode receber uma mensagem de erro. Por exemplo, se o utilizador estiver a utilizar o Internet Explorer, o utilizador poderá receber a seguinte mensagem de erro:

O Internet Explorer não consegue apresentar a página Web.

Quando este erro ocorre, o endereço apresentado no browser assemelha-se ao seguinte endereço:

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

Causa

Este problema pode ocorrer se o utilizador não conseguir contactar o servidor de federação do AD FS no local ou o proxy de servidor de Federação do AD FS com acesso à Internet. Isto pode ocorrer quando o Serviço de Federação do AD FS deixa de ser executado ou quando a conectividade de IP é marginalizada.

Solução

Antes de começar a resolver este problema, determine o endereço de ponto final do AD FS para o servidor de federação no local e, em seguida, determine que servidor está a ter problemas.

Determinar o endereço do ponto final do AD FS para o servidor de federação no local

Para tal, siga estes passos num computador ligado a um domínio que tenha o módulo do Azure Active Directory para Windows PowerShell instalado:

  1. Execute o módulo do Azure Active Directory para Windows PowerShell como administrador elevado. Para tal, clique com o botão direito do rato no módulo do Windows Azure Active Directory para Windows PowerShell e, em seguida, clique em Executar como administrador.

  2. Escreva os seguintes comandos. Prima Enter depois de escrever cada comando:

    $cred = get-credential

    Nota

    Quando lhe for pedido, introduza as suas credenciais de administrador global.

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    Nota

    O <marcador de posição do Servidor> do AD FS representa o nome do computador do servidor principal do AD FS.

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    Nota

    O <marcador de posição Domínio> Federado representa o nome de domínio federado com o serviço cloud.

No resultado, examine ActiveClientSignInUrlproperty. A parte do domínio do URL é o ponto final que pode ser utilizado na resolução descrita mais à frente neste artigo.

Nota

Azure AD e os módulos do PowerShell do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos que migre para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Determinar o servidor que está a ter problemas

Defina o âmbito do problema. Para tal, determine o servidor que está a ter problemas. Se apenas os clientes da Internet tiverem problemas, resolva primeiro o proxy do servidor de Federação do AD FS. Se os clientes de rede empresarial também estiverem a ter problemas, resolva primeiro o servidor de federação do AD FS.

Depois de determinar que servidor está a ter problemas, siga estes passos no servidor do AD FS adequado:

Passo 1: certifique-se de que o servidor de federação do AD FS no local está em execução

  1. No servidor de federação do AD FS, abra Painel de Controlo, clique em Ferramentas Administrativas e, em seguida, clique em Serviços.
  2. Procure o serviço do Serviço Windows do AD FS.
  3. Certifique-se de que o estado do serviço AD FS do Serviço Windows foi Iniciado. Se o serviço estiver parado, clique com o botão direito do rato no serviço e, em seguida, clique em Iniciar para iniciar o serviço.

Passo 2: certifique-se de que o servidor Web está em execução no servidor do AD FS adequado

  1. No servidor de federação do AD FS ou no proxy do servidor de federação do AD FS, abra Gestor de Servidor, expanda Funções, expanda Servidor Web (IIS) e, em seguida, selecione Serviços de Informação Internet.
  2. Expanda o nome do computador e, em seguida, expanda Sites.
  3. Certifique-se de que o Web Site Predefinido está definido como Iniciado. Se não estiver, clique com o botão direito do rato em Web Site Predefinido, aponte para Todas as Tarefas e, em seguida, clique em Iniciar.
  4. Expanda Web Site Predefinido e, em seguida, certifique-se de que os diretórios virtuais adfs e /adfs/ls existem.

Passo 3: certifique-se de que o DNS tem um registo de anfitrião para o ponto final do AD FS adequado ao cliente que está a ter problemas

Para clientes internos, o DNS interno deve resolver o nome do ponto final do AD FS para um endereço IP interno (por exemplo, sts.contoso.com A 192.168.1.104.). Para clientes da Internet, o nome do ponto final deve ser resolvido para um endereço IP público. Isto pode ser testado no cliente com o seguinte procedimento. Se a rede no local contiver um servidor proxy, tente adicionar o ponto final do AD FS através das Opções da Internet no Internet Explorer.

  1. Clique em Iniciar, clique em Executar, digite cmd e, em seguida, clique em OK.

  2. Na linha de comandos, escreva o seguinte comando, em que o marcador <de posição STS.contoso.com> representa o nome do ponto final do AD FS:

    NSlookup <STS.contoso.com>

  3. Se o comando resultar num endereço IP incorreto, resolva o problema ao atualizar o registo A no servidor DNS interno ou externo. Para se certificar de que os pedidos DNS para recursos do AD FS de computadores no local são resolvidos para o serviço de Federação do AD FS em vez do servidor Proxy do AD FS, veja o seguinte artigo da Base de Dados de Conhecimento Microsoft para verificar e atualizar as definições de DNS split-brain.

    2715326 configuração incorreta do DNS split-brain impede uma experiência de início de sessão SSO totalmente integrada

    Nota

    As definições de DNS com acesso à Internet atualizadas podem demorar até 48 horas a serem propagadas para todos os servidores DNS da Internet.

Passo 4: Tente adicionar o nome do servidor do AD FS como uma exceção nas definições de proxy da Internet no Internet Explorer no computador cliente

Se a rede no local contiver um proxy e se apenas os clientes internos estiverem a ter problemas com o acesso ao AD FS, tente adicionar o nome do servidor do AD FS como uma exceção nas definições de proxy da Internet no Internet Explorer. Para tal, siga estes passos no computador cliente:

  1. Abra o Internet Explorer e, em seguida, clique em Opções da Internet no menu Ferramentas .
  2. Clique no separador Connections e, em seguida, clique em Definições de LAN.
  3. Em Configuração automática, clique para desmarcar as caixas de verificação e, em seguida, clique para selecionar a caixa de verificação Utilizar um servidor proxy para a LAN em Servidor proxy.
  4. Em Servidor proxy, adicione o endereço do servidor proxy e a porta que o servidor proxy utiliza e, em seguida, clique em Avançadas.
  5. Em Exceções, adicione o ponto final do AD FS (por exemplo, sts.contoso.com).

Mais informações

Os comandos Windows PowerShell neste artigo requerem o módulo do Azure Active Directory para Windows PowerShell.

Ainda necessita de ajuda? Aceda ao site Microsoft Community ou Microsoft Entra Forums.