Felet "Ett problem uppstod vid åtkomst till webbplatsen" från AD FS när en federerad användare loggar in på Office 365, Azure eller Intune

Anteckning

Office 365 ProPlus byter namn till Microsoft 365-appar för företag. Mer information om den här ändringen finns i det här blogginlägget.

Problem

När en extern användare försöker logga in på en Microsoft-molntjänst som Office 365, Microsoft Azure eller Microsoft Intune får användaren följande felmeddelande från AD FS (Active Directory Federation Services):

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

När det här felet inträffar pekar webbläsarens adressfält på den lokala AD FS-slutpunkten på en adress som liknar följande:

"https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

Orsak

Det här problemet kan uppstå på grund av någon av följande orsaker:

  • Konfigurationen av enkel inloggning (SSO) via AD FS slutfördes inte.
  • AD FS-tokensigneringscertifikatet har upphört att gälla.
  • Ad FS-klientåtkomstprinciperna är felaktigt konfigurerade.
  • Förtroende för den beroende parten med Azure Active Directory (Azure AD) saknas eller har ställts in felaktigt.
  • AD FS-federationsproxyservern är felaktigt konfigurerad eller exponerad felaktigt.
  • AD FS IUSR-kontot har inte användarbehörigheten "Personifiera en klient efter autentisering".

Lösning

Lös problemet genom att använda den metod som är lämplig för din situation.

Scenario 1: AD FS-token-signeringscertifikatet har upphört

Kontrollera om token-signeringscertifikatet har upphört att gälla

Så här kontrollerar du om token-signeringscertifikatet har upphört att gälla:

  1. Klicka på Start, klicka på Alla program, klicka på Administrationsverktyg och klicka sedan på AD FS -hantering (2.0).
  2. I AD FS-hanteringskonsolen klickar du på Tjänst , klickar på Certifikat och undersöker sedan giltighets- och utgångsdatum för AD FS-tokensigneringscertifikatet.

Om certifikatet har upphört att gälla måste det förnyas för att återställa SSO-autentiseringsfunktioner.

Förnya token-signeringscertifikatet (om det har upphört att gälla)

Så här förnyar du tokensigneringscertifikatet på den primära AD FS-servern med hjälp av ett självsignerat certifikat:

  1. I samma AD FS-hanteringskonsol klickar du på Tjänst, på Certifikat och sedan, under **Certifieringar **i fönstret Åtgärder, klickar du på Lägg till Token-Signing certifikat.
  2. Om varningen "Certifikat kan inte ändras när AD FS-funktionen för automatisk certifikatoverover är aktiverad" visas går du till steg 3. I annat fall kontrollerar du giltighets- och utgångsdatum för certifikatet. Om certifikatet har förnyats behöver du inte utföra steg 3 och 4.
  3. Om certifikatet inte är förnyat klickar du på Start, pekar på Alla program , klickar på Tillbehör, klickar på mappen Windows PowerShell, högerklickar på Windows PowerShell och klickar sedan på Kör som administratör.
  4. Ange följande kommandon i Windows PowerShell-kommandotolken. Tryck på Retur när du har matat in varje kommando:
    • Add-PSSnapin Microsoft.Adfs.Powershell
    • Update-ADFSCertificate -CertificateType: Token-Signing

Om du vill förnya token-signeringscertifikatet på den primära AD FS-servern med hjälp av en certifikatutfärdare (CA)-signerat certifikat gör du så här:

  1. Skapa filen WebServerTemplate.inf. Gör så här:

    1. Starta Anteckningar och öppna ett nytt, tomt dokument.

    2. Klistra in följande i filen:

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
      ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes] 
      
    3. Ändra subject="CN=adfs.contoso.com" i filen till följande:

      subject="CN=your-federation-service-name"

    4. Klicka på Spara som på Arkiv-menyn.

    5. I dialogrutan** Spara som klickar du på Alla filer (.) ** i rutan Spara som.

    6. Skriv WebServerTemplate.inf i rutan Filnamn och klicka sedan på Spara.

  2. Kopiera filen WebServerTemplate.inf till någon av AD FS-federationsservrarna.

  3. Öppna ett administrativt kommandotolk på AD FS-servern.

  4. Använd kommandot cd(change directory) för att byta till katalogen där du kopierade INF-filen.

  5. Skriv in följande kommando och tryck sedan på Retur:

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. Skicka utdatafilen, AdfsSSL.req, till certifikatutfärdaren för signering.

  7. Certifikatutfärdaren returnerar en signerad offentlig nyckeldel i formatet .p7b eller .cer. Kopiera den här filen till AD FS-servern där du skapade begäran.

  8. Öppna ett administrativt kommandotolk på AD FS-servern.

  9. Använd kommandot cd(change directory) för att byta till katalogen där du kopierade .p7b- eller CER-filen.

  10. Skriv in följande kommando och tryck sedan på Retur:

    CertReq.exe -Acceptera "file-from-your-CA-p7b-or-cer"

Slutför återställning av SSO-funktioner

Oavsett om ett själv signerat eller ca-signerat certifikat används bör du slutföra återställningen av autentiseringsfunktioner för SSO. Gör så här:

  1. Lägg till läsbehörighet till den privata nyckeln för AD FS-tjänstkontot på den primära AD FS-servern. Gör så här:
    1. Klicka på Start, klicka Kör, skriv mmc.exe och tryck sedan på Retur.
    2. Klicka på Lägg till/ta bort snapin-modulen på Arkiv-menyn.
    3. Dubbelklicka på Certifikat, välj Datorkonto och klicka sedan på Nästa.
    4. Välj Lokal dator, klicka på Slutför och klicka sedan på OK.
    5. Expandera Certifikat (lokal dator), expandera Personligt och klicka sedan på Certifikat.
    6. Högerklicka på det nya token-signeringscertifikatet, peka på Alla uppgifter och klicka sedan på Hantera privata nycklar.
    7. Lägg till läsbehörighet i AD FS-tjänstkontot och klicka sedan på OK.
    8. Avsluta snapin-modulen Certifikat.
  2. Uppdatera det nya certifikatets thumbprint och datumet för det beroende partens förtroende med Azure AD. Information om hur du gör det finns i avsnittet "Uppdatera konfigurationen av federerad domän i Office 365" i Uppdatera eller reparera inställningarna för en federerad domän i Office 365, Azure eller Intune.
  3. Skapa konfigurationen för AD FS-proxyförtroende på nytt. Gör så här:
    1. Starta om AD FS Windows-tjänsten på den primära AD FS-servern.
    2. Vänta 10 minuter för att certifikatet ska replikeras till alla medlemmar i federationsservergruppen och starta sedan om AD FS Windows-tjänsten på resten av AD FS-servrarna.
    3. Kör om proxykonfigurationsguiden på varje AD FS-proxyserver. Mer information finns i Konfigurera en dator för federationsserverproxyrollen.

Scenario 2: Du har nyligen uppdaterat klientåtkomstprincipen med hjälp av anspråk och nu fungerar inte inloggningen

Kontrollera att klientåtkomstprincipen tillämpats korrekt. Mer information finns i Begränsa åtkomsten till Office 365-tjänster baserat på klientens plats.

Scenario 3: Federationsmetadataslutpunkten eller det beroende partens förtroende kan vara inaktiverat

Aktivera slutpunkten för federationsmetadata och det beroende partens förtroende med Azure AD på den primära AD FS-servern. Gör så här:

  1. Öppna AD FS 2.0-hanteringskonsolen.
  2. Kontrollera att slutpunkten för federationsmetadata är aktiverad. Gör så här:
    1. I det vänstra navigeringsfönstret bläddrar du till AD FS (2.0), Tjänst, Slutpunkter.
    2. I mittenfönstret högerklickar du på posten /Federation Metadata/2007-06/FederationMetadata.xml och klickar sedan för att välja Aktivera och aktivera på proxy.
  3. Kontrollera att lita på parten som litar på med Azure AD är aktiverat. Gör så här:
    1. I det vänstra navigeringsfönstret bläddrar du till AD FS (2.0), sedan Tillitrelationer och sedan Förlita dig på partyförtroenden.
    2. Om Microsoft Office 365-identitetsplattformen finns högerklickar du på den här posten och klickar sedan på Aktivera.
  4. Reparera lita på parten som litar på med Azure AD genom att se avsnittet "Uppdatera förtroendeegenskaper" i Verifiera och hantera enkel inloggning med AD FS.

Scenario 4: Lita på parten som förlitar sig på förtroende kan saknas eller skadas

Ta bort och lägg till det förtroende som förlitar sig på parten. Gör så här:

  1. Logga in på ad fs-serverns kärnserver.
  2. Klicka på Start, peka på Alla program, klicka på Administrationsverktyg och klicka sedan på AD FS-hantering (2.0).
  3. I hanteringskonsolen expanderar du AD FS (2.0), expanderar Förtroenderelationer och expanderar sedan Relying Party Trusts.
  4. Om Microsoft Office 365-identitetsplattformen finns högerklickar du på den här posten och klickar sedan på Ta bort.
  5. Lägg till förtroende för den beroende parten igen i avsnittet "Uppdatera förtroendeegenskaper" i Verifiera och hantera enkel inloggning med AD FS.

Scenario 5: AD FS-tjänstkontot har inte användarbehörigheten "Personifiera en klient efter autentisering"

Information om hur du ger användarbehörigheten "Personifiera en klient efter autentisering" till AD FS IUSR-tjänstkontot finns i Händelse-ID 128 – Konfiguration av Windows NT-tokenbaserat program.

Referenser

Mer information om hur du felsöker inloggningsproblem för externa användare finns i följande Microsoft Knowledge Base-artiklar:

  • 2530569 Felsök problem med enkel inloggning i Office 365, Intune eller Azure
  • 2712961 Felsöka problem med AD FS-slutpunktsanslutning när användare loggar in på Office 365, Intune eller Azure

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Azure Active Directory-forumen.