Benutzer wird bei anspruchsbasierten Authentifizierung nicht validiert (SharePoint Server)

 

**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-09-20

Zusammenfassung: Da für SharePoint Server 2016 und SharePoint 2013 die Forderungsauthentifizierung (auch anspruchsbasierte Authentifizierung genannt) für den Benutzerzugriff auf Webanwendungen empfohlen wird, werden in diesem Artikel die Tools und Techniken vorgestellt, mit denen Sie Probleme aufgrund nicht erfolgreicher Versuche der Forderungsauthentifizierung beheben können.

Wenn Benutzer versuchen, sich mit einer Webanwendung zu verbinden, werden nicht erfolgreiche Authentifizierungsereignisse in Protokollen aufgezeichnet. Wenn Sie mit von Microsoft bereitgestellten Tools systematisch versuchen, die Fehler zu untersuchen, können sich mit gängigen Problemen bei der Forderungsauthentifizierung vertraut machen und diese beheben.

Für einen erfolgreichen Zugriff auf eine SharePoint-Ressource werden eine Authentifizierung und Autorisierung benötigt. Wenn Sie mit Ansprüchen arbeiten, wird bei der Authentifizierung geprüft, ob das Sicherheitstoken gültig ist. Bei der Autorisierung wird geprüft, ob der Zugriff auf die Ressource erlaubt ist, was von der Gruppe der Ansprüche im Sicherheitstoken und den für die Ressource konfigurierten Berechtigungen abhängt.

Um zu prüfen, ob ein Zugriffsproblem auf die Authentifizierung oder Autorisierung zurückzuführen ist, untersuchen Sie im Browserfenster eingehend die Fehlermeldung.

  • Wenn die Fehlermeldung besagt, dass der Benutzer keinen Zugriff auf die Website hat, war die Authentifizierung erfolgreich, die Autorisierung hingegen nicht. Versuchen Sie Probleme bei der Autorisierung wie folgt zu lösen:

    • Der gängigste Grund einer nicht erfolgreichen Autorisierung bei Verwenden der SAML-Forderungsauthentifizierung (Security Assertion Markup Language) ist, dass Berechtigungen dem Windows-basierten Konto eines Benutzers (Domäne\Benutzer) und nicht dem SAML-Identitätsanspruch des Benutzers zugewiesen wurden.

    • Prüfen Sie, ob der Benutzer oder eine Gruppe, zu der der Benutzer gehört, für die Verwendung der entsprechenden Berechtigungen konfiguriert wurde. Weitere Informationen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen in SharePoint Server.

    • Mithilfe der Tools und Techniken in diesem Artikel können Sie die verschiedenen Ansprüche im Sicherheitstoken des Benutzers bestimmen und anschließend mit den konfigurierten Berechtigungen vergleichen.

  • Wenn die Meldung besagt, dass die Authentifizierung keinen Erfolg hatte, liegt ein Authentifizierungsproblem vor. Wenn die Ressource in einer SharePoint-Webanwendung mit Forderungsauthentifizierung enthalten ist, nutzen Sie die Informationen in diesem Artikel, um mit der Problembehandlung zu beginnen.

Tools zur Problembehandlung

Es folgen die primären von Microsoft bereitgestellten Tools zur Problembehandlung, mit denen Sie Informationen zur Forderungsauthentifizierung in SharePoint Server erfassen können:

  • Nutzen Sie Protokolle des vereinheitlichten Protokollierungsdiensts (Unified Logging Service, ULS), um Details zu Authentifizierungstransaktionen zu erhalten.

  • Verwenden Sie dieZentraladministration, um die Details der Benutzerauthentifizierungseinstellungen für SharePoint-Webanwendungen und Zonen zu überprüfen und ULS-Protokollierungsstufen zu konfigurieren.

  • Bei Verwenden der Active Directory-Verbunddienste 2.0 (AD FS) als Verbundanbieter für die auf SAML (Security Assertion Markup Language) basierende Forderungsauthentifizierung können Sie die AD FS-Protokollierung nutzen, um die Ansprüche in Sicherheitstoken zu bestimmen, die AD FS für Webclientcomputer ausstellt.

  • Nutzen Sie Netzwerkmonitor 3.4 zum Erfassen und Untersuchen der Details zum Netzwerkdatenverkehr bei der Benutzerauthentifizierung.

Festlegen der ULS-Protokollierungsstufe für die Benutzerauthentifizierung

Im folgenden Verfahren wird SharePoint Server für die Protokollierung der Höchstmenge an Informationen für Versuche der Forderungsauthentifizierung konfiguriert.

So konfigurieren Sie SharePoint Server für die Protokollierung der Höchstmenge an Informationen bei der Authentifizierung

  1. Klicken Sie in der Zentraladministration im Schnellstartmenü auf Überwachung und anschließend auf Diagnoseprotokollierung konfigurieren.

  2. Erweitern Sie in der Liste der Kategorien SharePoint Foundation, und wählen Sie dann Authentifizierungsautorisierung und anschließend Forderungsauthentifizierung aus.

  3. Wählen Sie für Unwichtigstes, im Ereignisprotokoll aufzuzeichnendes Ereignis die Option Ausführlich aus.

  4. Wählen Sie für Unwichtigstes, im Ablaufverfolgungsprotokoll aufzuzeichnendes Ereignis die Option Ausführlich aus.

  5. Klicken Sie auf OK.

Befolgen Sie zum Optimieren der Leistung, wenn Sie keine Probleme mit der Forderungsauthentifizierung behandeln, diese Schritte, um die Protokollierung der Benutzerauthentifizierung auf die Standardeinstellungen festzulegen.

So konfigurieren Sie SharePoint Server für die Protokollierung der Standardmenge an Informationen bei der Authentifizierung

  1. Klicken Sie in der Zentraladministration im Schnellstartmenü auf Überwachung und anschließend auf Diagnoseprotokollierung konfigurieren.

  2. Erweitern Sie in der Liste der Kategorien SharePoint Foundation, und wählen Sie dann Authentifizierungsautorisierung und anschließend Forderungsauthentifizierung aus.

  3. Wählen Sie für Unwichtigstes, im Ereignisprotokoll aufzuzeichnendes Ereignis die Option Information aus.

  4. Wählen Sie für Unwichtigstes, im Ablaufverfolgungsprotokoll aufzuzeichnendes Ereignis die Option Mittel aus.

  5. Klicken Sie auf OK.

Konfigurieren der AD FS-Protokollierung

Selbst wenn Sie die Höchststufe der ULS -Protokollierung aktivieren, zeichnet SharePoint Server nicht die Ansprüche in einem empfangenen Sicherheitstoken auf. Wenn Sie AD FS für die SAML-basierte Forderungsauthentifizierung verwenden, können Sie die AD FS-Protokollierung aktivieren und mithilfe der Ereignisanzeige die Ansprüche auf Sicherheitstoken untersuchen, die SharePoint Server ausstellt.

So aktivieren Sie die AD­ FS-Protokollierung

  1. Klicken Sie auf dem Server mit AD FS in der Ereignisanzeige auf Ansicht und anschließend auf Analytische und Debugprotokolle einblenden.

  2. Erweitern Sie in der Konsolenstruktur der Ereignisanzeige Anwendungs- und Dienstprotokolle/AD FS 2.0-Ablaufverfolgung.

  3. Klicken Sie mit der rechten Maustaste auf Debuggen, und klicken Sie anschließend auf Protokoll aktivieren.

  4. Öffnen Sie den Ordner %ProgramFiles%\Active Directory Federation Services 2.0.

  5. Öffnen Sie in Editor die Datei Microsoft.IdentityServer.ServiceHost.Exe.Config.

  6. Klicken Sie auf Bearbeiten, dann auf Suchen, geben Sie <source name=“Microsoft.IdentityModel“ switchValue="Off"> ein, und klicken Sie danach auf OK.

  7. Ändern Sie switchValue="Off" in switchValue="Verbose".

  8. Klicken Sie auf Datei, dann auf Speichern, und schließen Sie Editor.

  9. Klicken Sie im Dienst-Snap-In mit der rechten Maustaste auf den AD FS 2.0-Dienst, und klicken Sie dann auf Neu starten.

Sie können nun in der Ereignisanzeige auf dem Server mit AD FS im Knoten Anwendungs- und Dienstprotokolle/AD FS 2.0-Ablaufverfolgung/Debugging die Details zu Ansprüchen untersuchen. Suchen Sie nach Ereignissen mit der Ereignis-ID 1001.

Sie können Ansprüche auch mit einem HttpModule oder Webpart oder über OperationContext spezifizieren. Weitere Informationen finden Sie unter Abrufen aller Benutzeransprüche in Anspruchaugmentationszeit in SharePoint 2010. Diese Informationen für SharePoint 2010 gelten auch für SharePoint 2013.

Problembehandlungsmethoden für die Forderungsauthentifizierung

Anhand der folgenden Schritte können Sie die Ursache nicht erfolgreicher Versuche der Forderungsauthentifizierung bestimmen.

1. Schritt: Bestimmen der Details des nicht erfolgreichen Authentifizierungsversuchs

Detaillierte und aussagekräftige Informationen zu einem nicht erfolgreichen Authentifizierungsversuch sind in den SharePoint-ULS-Protokolldateien zu finden, die im Ordner %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS gespeichert werden.

Informationen zu einem nicht erfolgreichen Authentifizierungsversuch können Sie in den ULS-Protokolldateien entweder manuell oder mithilfe der ULS-Protokollanzeige finden.

So finden Sie Informationen zu einem nicht erfolgreichen Authentifizierungsversuch manuell

  1. Bestimmen Sie den Namen des Benutzerkontos mit dem nicht erfolgreichen Authentifizierungsversuch.

  2. Navigieren Sie auf dem Server mit SharePoint Server oder SharePoint Foundation zum Ordner %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\16\LOGS oder %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS.

  3. Klicken Sie im Ordner LOGS auf Geändert am, um den Ordner anhand des Datums mit dem neuesten Protokoll ganz oben zu sortieren.

  4. Wiederholen Sie den Authentifizierungsvorgang.

  5. Doppelklicken Sie im Fenster des Ordners LOGS auf die Protokolldatei ganz oben in der Liste, um diese in Editor zu öffnen.

  6. Klicken Sie in Editor auf Bearbeiten, dann auf Suchen, geben Sie Authentication Authorization oder Claims Authentication ein, und klicken Sie auf Weitersuchen.

  7. Klicken Sie auf Abbrechen, und lesen Sie den Inhalt in der Spalte Meldung.

Den ULS Viewer müssen Sie zunächst von der Website ULS Viewer herunterladen und in einem Ordner auf dem Server mit SharePoint Server oder SharePoint Foundation speichern. Befolgen Sie nach der Installation die folgenden Schritte, um den nicht erfolgreichen Authentifizierungsversuch zu ermitteln.

So finden Sie Informationen zu einem nicht erfolgreichen Authentifizierungsversuch mit ULS Viewer

  1. Doppelklicken Sie auf dem Server mit SharePoint Server oder SharePoint Foundation im Speicherordner auf Ulsviewer.

  2. Klicken Sie im ULS Viewer auf File, zeigen Sie auf Open From, und klicken Sie auf ULS.

  3. Vergewissern Sie sich, dass im Dialogfeld Setup the ULS Runtime feed der Ordner %CommonProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\16\LOGS oder \Common Files\Microsoft Shared\Web Server Extensions\15\LOGS in Use ULS feed from default log-file directory angegeben ist. Falls nicht, klicken Sie auf Use directory location for real-time feeds und geben Sie den Ordner %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\16\LOGS oder \Microsoft Shared\Web Server Extensions\15\LOGS in Log file location an.

    Ersetzen Sie %CommonProgramFiles% durch den Wert der Umgebungsvariablen CommonProgramFiles des Servers mit SharePoint Server oder SharePoint Foundation. Wenn der Speicherort beispielsweise Laufwerk C ist, wird %CommonProgramFiles% auf C:\Programme\Common Files festgelegt.

  4. Klicken Sie auf OK.

  5. Klicken Sie auf Edit und dann auf Modify Filter.

  6. Klicken Sie im Dialogfeld Filter by in Field auf Category.

  7. Geben Sie in Value entweder Authentication Authorization oder Claims Authentication ein, und klicken Sie dann auf OK.

  8. Wiederholen Sie den Authentifizierungsversuch.

  9. Doppelklicken Sie im Fenster ULS Viewer auf die angezeigten Zeilen, um den Bereich Message anzuzeigen.

Im Abschnitt zur Anspruchscodierung des Bereichs „Message“ bei Nicht-OAuth-Anforderungen können Sie die Authentifizierungsmethode und codierte Benutzeridentität in der mit dem Anspruch codierten Zeichenfolge (Beispiel: i:0#.w|contoso\chris) finden. Weitere Informationen finden Sie unter SharePoint 2013 und SharePoint 2010-Anspruchscodierung.

2. Schritt: Überprüfen der Konfigurationsanforderungen

In der die Website für die SharePoint-Zentraladministration können Sie bestimmen, wie eine Webanwendung oder Zone zur Unterstützung einer oder mehrerer Forderungsauthentifizierungsmethoden konfiguriert sein muss.

So überprüfen Sie die Authentifizierungskonfiguration für eine Webanwendung oder Zone

  1. Klicken Sie in der Zentraladministration im Schnellstartmenü auf die Anwendungsverwaltung und dann auf Webanwendungen verwalten.

  2. Klicken Sie auf den Namen der Webanwendung, auf die der Benutzer zuzugreifen versucht, und anschließend in der Gruppe Sicherheit des Menübands auf Authentifizierungsanbieter.

  3. Klicken Sie in der Liste der Authentifizierungsanbieter auf die gewünschte Zone (z. B. Standard).

  4. Überprüfen Sie auf der Seite Authentifizierung bearbeiten im Abschnitt Forderungsauthentifizierungstypen die Einstellungen für die Forderungsauthentifizierung.

    • Überprüfen Sie für die Windows-Forderungsauthentifizierung, dass Windows-Authentifizierung aktivieren und Integrierte Windows-Authentifizierung ausgewählt sind und dass entweder NTLM oder Aushandeln (Kerberos) bei Bedarf ausgewählt ist. Wählen Sie bei Bedarf Standardauthentifizierung aus.

    • Überprüfen Sie, ob für die formularbasierte Authentifizierung Formularbasierte Authentifizierung aktivieren aktiviert ist. Überprüfen Sie die Werte in Name des ASP.NET-Mitgliedschaftsanbieters und Name des ASP.NET-Rollen-Managers. Diese Werte müssen den Mitgliedschaftsanbieter- und Rollenwerten entsprechen, die Sie in Ihren Dateien vom Typ web.config für die die Website für die SharePoint-Zentraladministration, Webanwendung und SharePoint Web Services\SecurityTokenServiceApplication konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren der formularbasierten Authentifizierung für eine anspruchsbasierte Webanwendung in SharePoint 2013.

    • Überprüfen Sie bei der SAML-basierten Forderungsauthentifizierung, ob Vertrauenswürdiger Identitätsanbieter und der ordnungsgemäße vertrauenswürdige Anbietername ausgewählt sind. Weitere Informationen finden Sie unter Konfigurieren von SAML-basierter Anspruchsauthentifizierung mit ADFS in SharePoint 2013.

    • Überprüfen Sie im Abschnitt URL der Anmeldeseite die Option für die Anmeldeseite. Für eine Standardanmeldeseite muss Standardanmeldeseite ausgewählt sein. Überprüfen Sie bei einer benutzerdefinierten Anmeldeseite die für diese angegebene URL. Kopieren Sie zu diese zur Überprüfung, und versuchen Sie, darauf in einem Webbrowser zuzugreifen.

  5. Klicken Sie auf Speichern, um die Änderungen an den Authentifizierungseinstellungen zu speichern.

  6. Wiederholen Sie den Authentifizierungsversuch. Wird bei der formular- oder SAML-basierten Authentifizierung die erwartete Anmeldeseite mit den ordnungsgemäßen Anmeldeoptionen angezeigt?

  7. Wenn die Authentifizierung weiter keinen Erfolg hat, überprüfen Sie die ULS-Protokolle, um zu ermitteln, ob es Unterschiede zwischen dem Authentifizierungsversuch vor der Änderung der Authentifizierungskonfiguration und danach gibt.

3. Schritt: Weitere zu überprüfende Elemente

Überprüfen Sie nach der Prüfung der Protokolldateien und Webanwendungskonfiguration Folgendes:

  • Der Webbrowser auf dem Webclientcomputer unterstützt Ansprüche. Weitere Informationen finden Sie unter Planen der Browserunterstützung in SharePoint Server 2016.

  • Überprüfen Sie für die Windows-Forderungsauthentifizierung Folgendes:

    • Der Computer, auf dem der Benutzer die Authentifizierung versucht, ist Mitglied derselben Domäne wie der Server, der die SharePoint-Webanwendung hostet, oder einer Domäne, der der hostende Server vertraut.

    • Der Computer, auf dem der Benutzer die Authentifizierung versucht, ist an seiner AD DS-Domäne (Active Directory-Domänendienste) angemeldet. Geben Sie an einer Eingabeaufforderung oder in SharePoint 15-Verwaltungsshell auf dem Webclientcomputer nltest /dsgetdc: /force ein, um sicherzustellen, dass der Zugriff auf den Domänencontroller möglich ist. Wenn keine Domänencontroller aufgelistet sind, untersuchen Sie, warum der Webclientcomputer nicht von einem AD DS-Domänencontroller erkannt bzw. keine Verbindung mit diesem herstellen kann.

    • Der Server mit SharePoint Server oder SharePoint Foundation ist an seiner AD DS-Domäne angemeldet. Geben Sie an einer Eingabeaufforderung oder in SharePoint 15-Verwaltungsshell auf dem Server mit SharePoint Server oder SharePoint Foundationnltest /dsgetdc: /force ein, um sicherzustellen, dass der Zugriff auf den Domänencontroller möglich ist. Wenn keine Domänencontroller aufgelistet sind, untersuchen Sie, warum Server mit SharePoint Server oder SharePoint Foundation nicht von einem AD DS-Domänencontroller erkannt bzw. keine Verbindung mit diesem herstellen kann.

  • Überprüfen Sie für die formularbasierte Authentifizierung Folgendes:

    • Die Benutzeranmeldeinformationen für die konfigurierte ASP.NET-Mitgliedschaft und den Rollenanbieter sind ordnungsgemäß.

    • Die Systeme, die die ASP.NET-Mitgliedschaft und den Rollenanbieter hosten, sind im Netzwerk verfügbar.

    • Auf benutzerdefinierten Anmeldeseiten werden die Anmeldeinformationen des Benutzers ordnungsgemäß erfasst und übertragen. Um dies zu testen, konfigurieren Sie die Webanwendung für eine vorübergehende Verwendung der Standardanmeldeseite, und prüfen Sie, ob diese funktioniert.

  • Überprüfen Sie für die SAML-basierte Authentifizierung Folgendes:

    • Die Benutzeranmeldeinformationen für den konfigurierten Identitätsanbieter sind ordnungsgemäß.

    • Systeme, die als Verbundanbieter (z. B. AD FS) und Identitätsanbieter (z. B. AD DS oder Drittanbieter) sind im Netzwerk verfügbar.

    • Auf benutzerdefinierten Anmeldeseiten werden die Anmeldeinformationen des Benutzers ordnungsgemäß erfasst und übertragen. Um dies zu testen, konfigurieren Sie die Webanwendung für eine vorübergehende Verwendung der Standardanmeldeseite, und prüfen Sie, ob diese funktioniert.

4. Schritt: Überwachen und Analysieren des Internetdatenverkehrs mit einem Debuggingtool

Analysieren Sie mit einem Tool, wie z. B. HttpWatch oder Fiddler die folgenden Typen von HTTP-Datenverkehr:

  • Zwischen dem Webclientcomputer und dem Server mit SharePoint Server oder SharePoint Foundation

    Sie können beispielsweise die HTTP Redirect-Nachrichten überwachen, die der Server mit SharePoint Server oder SharePoint Foundation sendet, um den Webclientcomputer über den Standort eines Verbundservers (z. B. AD FS) zu informieren.

  • Zwischen dem Webclientcomputer und dem Verbundserver (z. B. AD FS)

    Sie können beispielsweise die HTTP-Nachrichten, die der Webclientcomputer sendet, und die Antworten des Verbundservers überwachen, die ggf. Sicherheitstoken und ihre Ansprüche enthalten.

Hinweis

Bei Fiddler kann der Authentifizierungsversuch nach der Anforderung von drei Authentifizierungsaufforderungen fehlschlagen. Um dies zu verhindern, lesen Sie Verwenden von Fiddler mit SAML und SharePoint zum Abrufen der letzten drei Authentifizierungsaufforderungen.

5. Schritt: Erfassen und Analysieren von Netzwerkdatenverkehr für die Authentifizierung

Erfassen und analysieren Sie mit einem Tool wie Netzwerkmonitor 3.4 den Datenverkehr zwischen dem Webclientcomputer, dem Server mit SharePoint Server oder SharePoint Foundation und den Systemen, auf denen SharePoint Server oder SharePoint Foundation die Forderungsauthentifizierung verwenden.

Hinweis

In vielen Fällen werden bei der Forderungsauthentifizierung HTTPS-Verbindungen (Hypertext Transfer Protocol Secure) verwendet, bei denen die zwischen Computern gesendeten Nachrichten verschlüsselt werden. Ohne ein zusätzliches Add-In oder eine Erweiterung können Sie mithilfe eines Analysetools für Netzwerkdatenverkehr den Inhalt verschlüsselter Nachrichten nicht anzeigen. Für Netzwerkmonitor ist beispielsweise die Installation und Konfiguration von Network Monitor Decryption Expert. erforderlich. Verwenden Sie als einfachere Alternative zum Entschlüsseln von HTTPS-Nachrichten ein Tool wie Fiddler auf dem Server, der SharePoint Server oder SharePoint Foundation hostet, das Berichte zu unverschlüsselten HTTP-Nachrichten liefert.

Eine Analyse des Netzwerkdatenverkehrs kann die folgenden Informationen liefern:

  • Die exakte Menge von Protokollen und Nachrichten, die zwischen den am Forderungsauthentifizierungsvorgang beteiligten Computern gesendet werden. Antwortnachrichten können Informationen zu Fehlerbedingungen enthalten, mit deren Hilfe Sie weitere Schritte zur Problembehandlung bestimmen können.

  • Ob es für Anforderungsnachrichten entsprechende Antworten gibt. Wenn mehrere gesendete Anforderungsnachrichten keine Antwort erhalten, kann dies bedeuten, dass der Netzwerkdatenverkehr nicht sein vorgesehenes Ziel erreicht. Führen Sie eine Überprüfung auf Paketweiterleitungsprobleme, Paketfiltergeräte im Pfad (z. B. eine Firewall) oder Paketfilterung am Ziel (z. B. lokale Firewall) durch.

  • Ob mehrere Forderungsmethoden versucht werden, und welche keinen Erfolg haben.

Für die Windows-Forderungsauthentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:

  • Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation

  • Server mit SharePoint Server oder SharePoint Foundation und seinem Domänencontroller

Für die formularbasierte Authentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:

  • Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation

  • Server mit SharePoint Server oder SharePoint Foundation und dem ASP.NET-Mitgliedschafts- und Rollenanbieter

Für die SAML-basierte Authentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:

  • Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation

  • Webclientcomputer und dessen Identitätsanbieter (z. B. ein AD DS-Domänencontroller)

  • Webclientcomputer und Verbundanbieter (z. B. AD FS)

See also

Konfigurieren der formularbasierten Authentifizierung für eine anspruchsbasierte Webanwendung in SharePoint 2013
Konfigurieren von SAML-basierter Anspruchsauthentifizierung mit ADFS in SharePoint 2013