(0) exportieren Drucken
Alle erweitern

ADFS-Problembehandlung

Letzte Aktualisierung: August 2005

Betrifft: Windows Server 2003 R2

Setupprobleme

Eine Internet Explorer-Fehlerseite mit den Meldungen "Die Seite kann nicht angezeigt werden" und "Server oder DNS kann nicht gefunden werden" wird angezeigt.

Dieses Problem kann unterschiedliche Ursachen haben:

  • Überprüfen Sie, ob die Windows-Firewall deaktiviert ist.

  • Stellen Sie sicher, dass alle Verbunddienste und Anwendungswebserver über ein für die Standardwebsite ausgestelltes Serverauthentifizierungszertifikat verfügen.

  • Wenn ein Verbunddienstproxy eines externen Kontopartners involviert ist, überprüfen Sie, ob während der Installation der richtige Verbunddienst-Hostname verwendet wurde.

  • Stellen Sie im Fall einer Windows NT-tokenbasierten Anwendung sicher, dass der Verbunddienst-URL auf der Registerkarte ADFS-Web-Agent der Eigenschaftenseite Websites korrekt konfiguriert ist.

Wenn Sie versuchen, eine Verbindung mit der Anwendung herzustellen, wird eine Internet Explorer-Fehlerseite mit den Meldungen "Die Seite wurde nicht gefunden" und "HTTP-Fehler 404 – Datei oder Verzeichnis wurde nicht gefunden" angezeigt.

Dieser Fehler kann durch die folgenden Konfigurationsprobleme verursacht werden:

  • Stellen Sie sicher, dass die Webanwendung korrekt in Internetinformationsdienste (IIS) konfiguriert ist.

  • Überprüfen Sie, ob der URL der Webanwendung im Active Directory-Verbunddienste-Snap-In richtig benannt ist.

  • Stellen Sie sicher, das Microsoft ASP.NET auf dem Anwendungswebserver und im Verbunddienst installiert ist.

  • Wenn Sie eine Verbindung mit einer Windows NT-tokenbasierten Anwendung, die ASP verwendet, herstellen und nach der Eingabe der Anmeldeinformationen der Fehler 404 angezeigt wird, klicken Sie in der Konsolenstruktur des IIS-Manager auf den lokalen Computer, klicken Sie auf Webdiensterweiterungen, und vergewissern Sie sich, dass Active Server Pages auf Zugelassen gesetzt ist.

Nach dem Einrichten einer Windows NT-tokenbasierten Anwendung versuchen Sie, eine Verbindung mit der Anwendung herzustellen, Sie werden jedoch nicht zur Auswahl eines Hostbereichs und der Anmeldeinformationen aufgefordert.

Stellen Sie sicher, dass das virtuelle Verzeichnis der Windows NT-tokenbasierten Anwendung zur Verwendung der ISAPI-Erweiterung Ifsext.dll eingerichtet ist.

Wo sind die Dateien "ADFSSetup.log", "ADFSOCM.log" und "ADFSMSI.log" gespeichert?

Sie befinden sich unter %SYSTEMROOT%\.

Aktivieren der Protokollierung

Registrierungseinstellungen zum Aktivieren der Protokollierung auf dem Kontoverbundserver

Der Kontoverbundserver verwendet ein Authentifizierungspaket für die Zuordnung von Clientzertifikaten. Führen Sie die folgenden Aufgaben in der angegebenen Reihenfolge aus, um die Protokollierung für den Kontoverbundserver zu aktivieren:

  1. Installieren Sie die Verbunddienstkomponente der Active Directory-Verbunddienste (ADFS), sofern sie noch nicht installiert ist.

  2. Stellen Sie den folgenden Registrierungsschlüssel ein: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Registrierungseinstellungen zum Aktivieren der Protokollierung auf dem Webserver für folgende Komponenten:

Authentifizierungspaket des ADFS-Web-Agent

Das Authentifizierungspaket des ADFS-Web-Agent wird von Windows NT-tokenbasierten Anwendungen zum Generieren von Tokens verwendet, wenn S4U (Service-for-User) nicht verfügbar ist.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

ADFS-Web-Agent-ISAPI-Erweiterung

Die ADFS-Web-Agent-ISAPI-Erweiterung verarbeitet die von ADFS zum Authentifizieren von Anforderungen verwendeten Protokolle.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

ADFS-Web-Agent-Authentifizierungsdienst

Der ADFS-Web-Agent-Authentifizierungsdienst bestätigt eingehende Tokens und Cookies.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Wo sind diese Protokolle gespeichert?

Sie befinden sich unter %SYSTEMDRIVE%\ADFS\logs.

Konfigurationsprobleme

Im folgenden Abschnitt werden einige der bekannten Probleme im Zusammenhang mit der ADFS-Konfiguration behandelt.

Bedingung: Serverfehler

Fehler: Die Tokenanforderung für die Anwendung mit URL "https://..." kann nicht erfüllt werden, weil der URL auf keine vertrauenswürdige Anwendung verweist.

Lösung: Dieser Fehler wird vom Verbunddienst des Ressourcenpartners zurückgegeben, wenn der Anwendungs-URL nicht auf eine bekannte Anwendung verweist. Stellen Sie sicher, dass die Anwendung der Vertrauensrichtlinie für den Verbunddienst hinzugefügt wurde. Weitere Informationen hierzu finden Sie unter Ausführen des Assistenten zum Hinzufügen von Anwendungen.

Stellen Sie im Fall einer Ansprüche unterstützenden Anwendung sicher, dass der Rückgabe-URL in der Datei web.config der Anwendung korrekt eingegeben wurde und dem in der Vertrauensrichtlinie des Verbunddienstes angegebenen Anwendungs-URL entspricht.

Stellen Sie für eine Windows NT-tokenbasierte Anwendung sicher, dass der Rückgabe-URL auf der Registerkarte ADFS-Web-Agent von IIS korrekt eingegeben wurde und dem Anwendungs-URL in der Vertrauensrichtlinie des Verbunddienstes entspricht.

Bedingung: Bestätigungsfehler

Fehler: Fehler bei der Bestätigung der Ansichtsstatus-MAC-Adresse. Wenn diese Anwendung von einer Webfarm oder einem Cluster gehostet wird, stellen Sie sicher, dass die <machineKey>-Konfiguration denselben Wert für validationKey und denselben Bestätigungsalgorithmus enthält.

AutoGenerate kann in einem Cluster nicht verwendet werden. Während der Ausführung der aktuellen Webanforderung ist ein nicht behandelter Ausnahmefehler aufgetreten. Überprüfen Sie in der Stapelablaufverfolgung die weiteren Informationen zum Fehler, und stellen Sie fest, an welcher Stelle des Codes der Fehler entstanden ist.

Oder

Fehler: Während der Ausführung der aktuellen Webanforderung wurde ein nicht behandelter Ausnahmefehler generiert. Informationen zum Ursprung und zur Position des Ausnahmefehlers können Sie der unten stehenden Ausnahmestapelablaufverfolgung entnehmen.

Lösung: Fügen Sie der Datei Web.config auf dem Computer mit dem in einer Farm eingerichteten Verbunddienst, Verbunddienstproxy oder ADFS-Web-Agent mithilfe eines Texteditors die folgende Einstellung hinzu:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Oder

Lösung: Fügen Sie auf den Computern mit dem in einer Farm eingerichteten Verbunddienst, Verbunddienstproxy oder ADFS-Web-Agent das folgende Element im Abschnitt <system.web> der Datei Web.config hinzu:

<pages enableViewStateMac="false"/>

Bedingung: Der Verbunddienst des Kontopartners ist mit dem falschen Cookiepfad konfiguriert.

Verhalten: Der Verbunddienst versucht jedes Mal, den Benutzer zu authentifizieren, und das einmalige Anmelden findet nicht statt. Die Ereignisprotokolle auf dem Verbundserver zeigen an, dass der Benutzer erfolgreich authentifiziert wurde. Der Benutzer wird jedoch nie angemeldet.

Lösung: Korrigieren Sie zum Beheben dieses Problems den in der Vertrauensrichtlinie angegebenen Cookiepfad.

Der Cookiepfad muss mit einem Präfix des Anforderungs-URI (Uniform Resource Identifier) übereinstimmen. Beachten Sie, dass einige Browser "/pfad" oder "/pfad1/beisp" als Präfixübereinstimmung mit "/pfad1/beispiel" behandeln, während andere Browser Übereinstimmungen mit Teilen einzelner Wörter nicht zulassen. Diese strikten Implementierungen akzeptieren nur eine Teilmenge dieser Übereinstimmungen, die von der ersten Implementierung zugelassen werden, z. B. "/pfad1" oder "/pfad1/beispiel".

Bedingung: Eine Windows NT-tokenbasierte Anwendung kann aus einem der folgenden Gründe kein Windows-Zugriffstoken aus dem Sicherheitstoken vom Ressourcen-Verbunddienst für den Benutzer erstellen:

  • Der einzige Identitätsanspruch ist der allgemeine Namensanspruch.

  • S4U (Services-for-User) schlägt fehl, weil kein Ressourcenkonto dem UPN (User Principal Name) entspricht.

Verhalten: Die Webanwendung gibt ein anonymes Benutzertoken zurück.

Bedingung: Der UPN für die Formularauthentifizierung mit dem NetBIOS-Namen "benutzer@domäne" kann sich vom UPN für die integrierte Authentifizierung und die TLS/SSL-Clientauthentifizierung (Transport Layer Security/Secure Sockets Layer) unterscheiden.

Verhalten: Im Fall der integrierten Authentifizierung und der TLS/SSL-Clientauthentifizierung ist der UPN immer der in Active Directory für das Benutzerobjekt konfigurierte explizite UPN. Bei der Formularauthentifizierung kann jedoch jede Eingabe des Benutzers im Benutzernamensfeld als UPN verwendet werden. Der UPN kann daher in folgender Form angegeben werden:

"benutzername@netbiosname der Domäne" oder "benutzername@domänendnsname"

Bedingung: Die Webserveranwendung sollte nicht mit URLs konfiguriert werden, bei denen es sich nicht um HTTPS-URLs (Secure Hypertext Transfer Protocol) handelt.

Verhalten: Wenn die Anwendung Nicht-HTTPS-Links enthält, sendet der Browser keine Browserauthentifizierungscookies für diese URLs. Das einmalige Anmelden (SSO) ist nicht möglich, weil ADFS-Cookies sichere Cookies sind. In Fällen, in denen der Webserver nur Windows NT-tokenbasierte Anwendungen hostet, führt der Webserver eine Umleitung zum HTTPS-URL durch. Daher wird dieses Verhalten in den meisten Fällen nicht wahrgenommen.

Bedingung: Wenn der Verbunddienst oder Webserver auf einem Domänencontroller ausgeführt wird, sollte APPIDENTITY mit Schreibberechtigung für das Verzeichnis "Temporary ASP.NET files" bereitgestellt werden.

(%windir%\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET files)

APPIDENTITY bezieht sich auf die Identität des Anwendungspools, mit dem der Verbunddienst und der Verbunddienstproxy gemäß Konfiguration ausgeführt werden.

Bedingung: Die Protokolldatei des Verbunddienstes füllt sich, und der Verbunddienst beginnt, bei allen Anforderungen fehlzuschlagen.

Lösung: Erhöhen Sie die Protokollgröße des Verbunddienstprotokolls (z. B. auf 16 MB).

Bedingung: Eine Gesamtstrukturvertrauensstellung wird zwischen einer Extranetgesamtstruktur und einer Intranetgesamtstruktur erstellt, und ein Benutzer wurde erfolgreich als Intranetdomänenbenutzer für die Extranetgesamtstruktur authentifiziert. Der Benutzer kann sich jedoch nicht als ein Benutzer einer Domäne authentifizieren, die eine untergeordnete Domäne der Intranetgesamtstruktur ist.

Ursache:  Der Verbunddienst verwaltet einen Zwischenspeicher von Informationen zur Gesamtstrukturvertrauensstellung, der alle acht Stunden aktualisiert wird.

Lösung: Recyceln Sie den Anwendungspool des Verbunddienstes. Dadurch wird sichergestellt, dass keine Authentifizierungsanforderungen verworfen werden.

Doppelte Gruppenanspruchnamen oder Namen von benutzerdefinierten Ansprüchen

Es wird empfohlen, keine doppelten Gruppenanspruchnamen oder Namen von benutzerdefinierten Ansprüchen ohne Berücksichtigung der Groß-/Kleinschreibung zu erstellen. Sie sollten z. B. keinen Organisationsgruppenanspruch mit den Namen "Smith" und "smith" erstellen. Wenn ähnliche Anspruchnamen eingegeben werden, die sich hinsichtlich der Groß-/Kleinschreibung jedoch unterscheiden, behandelt ADFS diese Ansprüche unterschiedlich.

Active Directory-Knoten im ADFS-Snap-In:

Wenn Sie mehrere Active Directory-Benutzer in nur einen Organisationsgruppenanspruch extrahieren, wird unter dem Kontospeicher-Datenfeld im Detailbereich '*' angezeigt.

Lösung: Dieses Verhalten ist entwurfsbedingt. Öffnen Sie zum Überprüfen der Liste hinzugefügter Active Directory-Benutzer das Eigenschaftendialogfeld für den Organisationsgruppenanspruch.

Kontopartnerknoten im ADFS-Snap-In:

Die Objektauswahl auf der Registerkarte "Gruppen" im Dialogfeld für die UPN-Anspruchszuordnung zeigt für den UPN eines ausgewählten Benutzers NULL im UPN-Textfeld an.

Lösung: Dies ist das erwartete Verhalten. Wenn dem ausgewählten Benutzer nicht explizit ein UPN zugewiesen ist, gibt die Objektauswahl NULL zurück, und das UPN-Feld bleibt leer. Geben Sie den UPN manuell in das Feld ein.

Anwendungsknoten im ADFS-Snap-In:

Ein allgemeiner Namensanspruch für eine Windows NT-tokenbasierte Anwendung kann im Assistenten zum Hinzufügen von Anwendungen nicht aktiviert werden.

Lösung: Der Benutzer kann keinen allgemeinen Namensidentitätsanspruch für eine Windows NT-tokenbasierte Anwendung im Assistenten zum Hinzufügen von Anwendungen aktivieren. Dieses Problem kann im Detailbereich Hinzugefügte Anwendungen des Eigenschaftendialogfelds für den allgemeinen Namensidentitätsanspruch behoben werden.

ADAM-Probleme

Nachdem Benutzerkonten im Active Directory-Anwendungsmodus (ADAM) erstellt wurden und die Vertrauensrichtlinie mit Informationen zum ADAM-Speicher konfiguriert wurde, kann der Verbunddienst keine Benutzer im ADAM-Speicher überprüfen.

Lösung: Gehen Sie beim Erstellen von Benutzerkonten mit dem ADAM-ADSI-Editor-Snap-In vorsichtig vor. Erstellen Sie Benutzerkonten immer mit einem Kennwort. Wenn Sie ein Benutzerkonto ohne Kennwort erstellen, setzen Sie das Kennwort für das Benutzerkonto mit dem ADSI-Editor zurück. Überprüfen Sie unbedingt den Wert der msDS-UserAccountDisabled-Eigenschaft des Benutzerkontos. Diese Eigenschaft sollte nicht auf True gesetzt sein. Der Wert sollte False oder Not set lauten. Wenn die msDS-UserAccountDisabled-Eigenschaft auf True gesetzt ist, ist das Benutzerkonto deaktiviert, und der Verbunddienst kann die Anmeldeinformationen für dieses ADAM-Benutzerkonto nicht überprüfen.

Sie haben einen ADAM-Kontospeicher aktiviert, der Verbunddienst kann jedoch keine Ansprüche abrufen.

Wenn der Verbunddienst als lokales System ausgeführt wird, müssen Sie das Computerkonto des Computers mit dem Verbunddienst der Gruppe Leser im ADAM-Speicher hinzufügen.

Wenn der Verbunddienst als Netzwerkdienst ausgeführt wird, müssen Sie das Domänenkonto der Gruppe Leser im ADAM-Speicher hinzufügen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft