(0) exportieren Drucken
Alle erweitern

Problembehandlung für AD FS 2.0 bei von Benutzern gemeldeten Symptomen

Letzte Aktualisierung: März 2011

Betrifft: Active Directory Federation Services (AD FS) 2.0

Bei den meisten Benutzern, die das einmalige Anmelden (Single Sign-on, SSO) verwenden, das durch AD FS 2.0 aktiviert wird, sind die ersten Symptome, die gemeldet bzw. beobachtet werden, abhängig von der jeweiligen Bereitstellung.

  • Passiver Verbund

    Dieser Identitätsverbundtyp beinhaltet einen Webbrowserclient (auch "passiver Client" genannt), der das WS-Federation- oder SAML-Protokoll (Security Assertion Markup Language) implementiert und verwendet.

  • Aktiver Verbund

    Dieser Identitätsverbundtyp beinhaltet eine Webdienstanwendung (auch "aktiver Client" genannt), der für die Ausführung auf einem Telefon oder Computer konzipiert ist, das bzw. der das WS-Trust-Protokoll verwendet.

Das folgende Flussdiagramm veranschaulicht den bei der Behandlung eines Problems mit einem passiven Verbund zu verfolgenden Prozess.

Flussdiagramm für die Problembehandlung in AD FS 2.0 FedPassive

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Meine Abmeldung funktioniert nicht, und es wird eine Fehlerseite angezeigt.

Damit die SAML-P-Abmeldung funktionieren kann, müssen folgende Bedingungen erfüllt sein:

  • Alle Nachrichten für die Abmeldung müssen signiert sein. Dabei handelt es sich häufig um eine nicht standardmäßige Einstellung für SAML-P-Implementierungen von Drittanbietern.

  • Wenn die Abmeldung ordnungsgemäß funktionieren soll, müssen Sie eine Namens-ID-Regel in einer AD FS 2.0-Richtlinie konfigurieren.

Im Folgenden finden Sie mögliche Auflösungen:

  • Überprüfen Sie, ob die SAML-Abmeldung für andere beteiligte SAML-P-Implementierungen aktiviert ist.

  • Konfigurieren Sie ggf. eine Namens-ID-Regel in der AD FS 2.0-Richtlinie.

Meine Abmeldung im Webbrowser funktioniert nicht. Nichts passiert, wenn ich versuche, mich abzumelden.

Um die Abmeldung zu aktivieren, kann AD FS 2.0 IFRAME-Elemente in einer Webseite verwenden, die auf Browserclients basieren, die Cookies von Drittanbietern senden. Als Drittanbietercookies gelten alle Cookies, die sich nicht in derselben Domäne befinden wie die Hostdomäne des äußersten Frames.

Da Drittanbietercookies zur Kompromittierung des Benutzerdatenschutzes verwendet werden können, indem sie einer Website ermöglichen, im Namen einer anderen Website zu handeln, werden Drittanbietercookies von einigen Webbrowsern, darunter Apple Safari 4 und Internet Explorer 8, standardmäßig blockiert.

Im Folgenden finden Sie mögliche Auflösungen für dieses Problem:

  • Für Browseranwendungen, bei denen keine separate Autorisierung von Drittanbietercookies nach Bedarf möglich ist, kann dies zugelassen werden. So lässt beispielsweise Apple Safari nur eine Änderung der Standardeinstellung "niemals" für Drittanbietercookies in die Einstellung "immer" zu. Diese Einstellung ist möglicherweise zu allgemein und wird nicht empfohlen, da dies den Schutz des Browsers vor schädlichen Cookies von Drittanbietern gefährden könnte.

  • Bei Browseranwendungen, die eine feinere Abstufung von Sicherheitseinstellungen ermöglichen, wie z. B. Internet Explorer 8, können Sie entweder den geschützten Modus für Ihre Intranetzone aktivieren oder den geschützten Modus für die Internetzone deaktivieren, damit Abmeldevorgänge erwartungsgemäß funktionieren.

Mir wird in Internet Explorer ein "Verbindungsfehler" angezeigt.

AD FS 2.0 kann gelegentlich SAML-P-Anforderungen generieren, die länger sind als die maximal unterstützte Länge für Internetinformationsdienste (Internet Information Services, IIS) in Höhe von 2048 Zeichen. Dies geschieht bei SAML-P meist bei Abmeldeaktivitäten, und IIS gibt möglicherweise einen "Verbindungsfehler" zurück. Ist AD FS 2.0 so konfiguriert, dass die verschlüsselte Namens-ID in einer signierten Anforderung gesendet wird, ist zudem die Abfragezeichenfolge nahezu sicher länger als 2048 Zeichen.

Im Folgenden handelt es sich um eine mögliche Problemgehung:

  • Verwenden Sie für alle Vertrauensstellungen von Forderungsanbietern oder vertrauenden Seiten, die für die Verwendung einer verschlüsselten Namens-ID konfiguriert sind, in der Konfiguration der SAML-Abmeldungspunkte POST statt Umleiten. Auf diese Weise sollten ein Überlaufen von Abfragezeichenfolgen bei der Verwendung von Internet Explorer verhindert werden können.

    Wählen Sie zum Aktualisieren von SAML-Abmeldeendpunkten die Forderungsanbieter-Vertrauensstellung oder Vertrauensstellung der vertrauenden Seite im AD FS 2.0-Snap-In aus. Klicken Sie dann mit der rechten Maustaste und wählen Sie Eigenschaften. Klicken Sie in den Vertrauensstellungseigenschaften auf die Registerkarte Endpunkte. Aktualisieren Sie alle Abmeldeendpunkte, die in der Spalte Bindungen den Wert POST haben, so, dass sie stattdessen Umleiten verwenden.

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Mein Anbieter für die Anmeldung wird nicht auf der Anmeldestartseite angezeigt.

Wenn ein Forderungsanbieter nicht auf der Seite für die Startbereichsermittlung einer passiven Verbundwebsite angezeigt wird, ist der Forderungsanbieter möglicherweise nicht ordnungsgemäß konfiguriert. Im Verbundszenario muss die passive Verbund-URL für den Forderungsanbieter ordnungsgemäß konfiguriert sein.

Um die URL für den passiven Verbundendpunkt zu aktualisieren, gehen Sie im AD FS 2.0-Snap-In wie folgt vor:

  1. Wechseln Sie in der Konsolenstruktur zum Knoten Vertrauensstellung\Forderungsanbieter-Vertrauensstellung.

  2. Doppelklicken Sie im Detailbereich auf die Forderungsanbieter-Vertrauensstellung, deren URL-Konfiguration Sie überprüfen wollen.

  3. Klicken Sie auf die Registerkarte Endpunkte.

  4. Doppelklicken Sie auf den Endpunkt in der Liste der passiven WS-Federation-Endpunkte.

  5. Überprüfen Sie, ob die URL in den Endpunkteigenschaften richtig ist.

Ich erhalte Fehlermeldungen (HTTP 503 Dienst nicht verfügbar-Fehler), die darauf hinweisen, dass der Anmeldedienst nicht verfügbar ist. Außerdem wird Ereignis-ID 364 (Fehler bei passiver Verbundanforderung) im Windows-Ereignisprotokoll auf dem Verbundserver angezeigt.

Möglicherweise wurde der AD FS 2.0-Anwendungspool angehalten, eventuell aufgrund einer Kennwortänderung für das AD FS 2.0-Dienstkonto. Sie müssen möglicherweise das Kennwort für den AD FS 2.0-Anwendungspool in IIS aktualisieren oder das Kennwort für das Dienstkonto und den Anwendungspool von AD FS 2.0 zurücksetzen.

Untersuchen Sie zunächst Folgendes:

  • Überprüfen Sie im IIS-Manager, ob der AD FS 2.0-Anwendungspool angehalten wurde.

  • Überprüfen Sie, ob das Benutzerkennwort des AD FS 2.0-Dienstkontos geändert oder aktualisiert wurde.

Wurde das Kennwort des AD FS 2.0-Dienstkontos geändert und der AD FS 2.0-Anwendungspool angehalten, versuchen Sie eine der folgenden Aktionen:

  • Aktualisieren Sie das Kennwort für den AD FS 2.0-Anwendungspool in IIS.

  • Setzen Sie das Kennwort für das AD FS 2.0-Dienstkonto und den AD FS 2.0-Anwendungspool zurück.

 

Symptombeschreibung Mögliche Ursachen Vorgeschlagene Auflösung

Wenn ich versuche, mich anzumelden, erhalte ich eine Fehlermeldung im Browser, dass die Authentifizierung fehlgeschlagen ist.

Im Folgenden finden Sie mögliche Ursachen für diesen Fehler:

  • Der Browser des Benutzers ist so konfiguriert, dass Cookies blockiert werden.

  • Die Vertrauensstellung der vertrauenden Seite, die zur Aktivierung der Authentifizierung verwendet wird, ist nicht ordnungsgemäß konfiguriert.

  • Der Benutzer gehört zu vielen Active Directory-Gruppen an.

Im Folgenden finden Sie mögliche Auflösungen für Authentifizierungsprobleme:

  • Überprüfen Sie, ob Cookies im Browser des Benutzers aktiviert sind. Lesen Sie die jeweiligen Anweisungen für die Browseranwendung des Benutzers. Weitere Informationen zur Aktivierung von Cookies für Internet Explorer finden Sie beispielsweise in den Hinweisen zum Blockieren oder Zulassen von Cookies (http://go.microsoft.com/fwlink/?LinkId=200603).

  • Überprüfen Sie die Einstellungen der Vertrauensstellung für vertrauende Seiten entweder mithilfe des AD FS 2.0-Snap-Ins oder indem Sie das Cmdlet Get-ADFSRelyingPartyTrust in Windows PowerShell verwenden, um aktuelle Einstellungen anzuzeigen. Weitere Informationen finden Sie unter Get-ADFSRelyingPartyTrust (http://go.microsoft.com/fwlink/?LinkId=179439).

  • Wenn der Benutzer eine Fehlermeldung wegen einer ungültigen Anforderung erhält oder weil der Anforderungsheader zu lang ist, besteht das Problem möglicherweise darin, dass der Benutzer einer großen Zahl von Active Directory-Gruppen angehört. Zur Behebung dieses Problems kann die Größe des Anforderungsheaderfelds in IIS erhöht werden. Auch die Byteanzahl, die mit MaxFieldLength und MaxRequestBytes gesendet wird, kann von der Standardeinstellung 16 KB auf einen höheren Wert wie 32 KB geändert werden. Weitere Informationen zur Durchführung dieser Konfigurationsänderung in IIS finden Sie unter Http.sys-Registrierungseinstellungen für IIS (http://go.microsoft.com/fwlink/?LinkId=179439)

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Wenn ich versuche, mich anzumelden, erhalte ich von AD FS 2.0 die Fehlermeldung, dass ich nicht autorisiert bin.

Sie sind nicht autorisiert, die Website zu verwenden.

Wenn Sie Zugriff benötigen, wenden Sie sich an den Administrator der Website, um weitere Informationen dazu zu erhalten, wie Sie für den Zugriff auf die Website autorisiert werden.

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Die Fehlermeldung, die angezeigt wird, ist zu allgemein. Ich verstehe nicht, wo das Problem liegt.

Es gab ein Problem beim Zugriff auf die Website. Weitere Informationen finden Sie u. U. in den Ereignisprotokollen von AD FS 2.0.

Weitere Informationen zur Auflösung des Problems finden Sie in den zusätzlichen Informationen zu diesem Ereignis und anderen Ereignissen, die im Zusammenhang mit diesem Fehler stehen.

Weitere Informationen dazu, wie Sie bestimmen, welche anderen Ereignisse im AD FS 2.0-Ereignisprotokoll mit diesem Ereignis im Zusammenhang stehen, finden Sie im Abschnitt zum Herstellen von Verbindungen zwischen Ereignissen und Ablaufverfolgungen mithilfe von Aktivitäts-ID und Anrufer-ID im Blogbeitrag zur Diagnose in AD FS 2.0(http://go.microsoft.com/fwlink/?LinkID=188910).

Das folgende Flussdiagramm veranschaulicht den bei der Behandlung eines Problems mit einem aktiven Verbund zu verfolgenden Prozess.

Flussdiagramm für die Problembehandlung für aktive Szenarien in AD FS 2.0

Insert subsection body here.

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Ich habe Probleme bei der Kommunikation mit der Website, die ich zum Anmelden aus meiner Clientanwendung verwende.

Im Folgenden finden Sie mögliche Ursachen für diesen Fehler:

  • Der für den Dienst verwendete Endpunkt ist nicht verfügbar.

  • Der Client konnte keine Verbindung herstellen. Dies könnte an Netzwerkkonnektivitätsproblemen auf dem Client liegen, z. B. veralteten DNS- oder HTTP-Proxy-Einstellungen.

  • Es könnte ein Problem mit dem Verbundserverproxy vorliegen. Möglicherweise kann er keine Verbindung zum Verbundserver herstellen.

Im Folgenden finden Sie mögliche Auflösungen für das Problem:

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Bei der Authentifizierung meiner Clientanwendung in AD FS 2.0 gab es einen Fehler.

Der Client hat die falschen Anmeldeinformationen bereitgestellt.

Überprüfen Sie, ob die Anmeldeinformationen richtig sind.

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Wenn ich versuche, mich anzumelden, erhalte ich von AD FS 2.0 die Fehlermeldung, dass ich nicht autorisiert bin.

ie sind nicht autorisiert, die Website zu verwenden, oder es liegt ein spezifischerer Autorisierungsfehler aufgrund Ihrer Bereitstellung vor.

Wenn Sie Zugriff benötigen, wenden Sie sich an den Administrator der Website, um weitere Informationen dazu zu erhalten, wie Sie für den Zugriff auf die Website autorisiert werden.

Möglicherweise sind in den AD FS 2.0-Ereignisprotokollen weitere Informationen zu finden, wenn Sie die Identitätsdelegierung oder einen Verbundserverproxy in Ihrer Bereitstellung verwenden, um den Autorisierungsprozess zu vereinfachen.

Weitere Informationen dazu, wie Sie bestimmen, welche anderen Ereignisse im AD FS 2.0-Ereignisprotokoll mit diesem Ereignis im Zusammenhang stehen, finden Sie im Abschnitt zum Herstellen von Verbindungen zwischen Ereignissen und Ablaufverfolgungen mithilfe von Aktivitäts-ID und Anrufer-ID im Blogbeitrag zur Diagnose in AD FS 2.0(http://go.microsoft.com/fwlink/?LinkID=188910).

 

Symptombeschreibung Mögliche Ursache Vorgeschlagene Auflösung

Die Fehlermeldung, die angezeigt wird, ist zu allgemein. Ich verstehe nicht, wo das Problem liegt.

Es gab ein Problem beim Zugriff auf die Website. Weitere Informationen finden Sie u. U. in den Ereignisprotokollen von AD FS 2.0.

Weitere Informationen zur Auflösung des Problems finden Sie in den zusätzlichen Informationen zu diesem Ereignis und anderen Ereignissen, die im Zusammenhang mit diesem Fehler stehen.

Weitere Informationen dazu, wie Sie bestimmen, welche anderen Ereignisse im AD FS 2.0-Ereignisprotokoll mit diesem Ereignis im Zusammenhang stehen, finden Sie im Abschnitt zum Herstellen von Verbindungen zwischen Ereignissen und Ablaufverfolgungen mithilfe von Aktivitäts-ID und Anrufer-ID im Blogbeitrag zur Diagnose in AD FS 2.0(http://go.microsoft.com/fwlink/?LinkID=188910).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft