Welches Problem ist aufgetreten?

Setupprobleme

Protokollierungsprobleme

AD LDS-Probleme

Konfigurationsprobleme

Setup-Probleme

Im Webbrowser wird eine Fehlerseite mit der Meldung "Die Seite kann nicht angezeigt werden", "Server nicht gefunden" oder "DNS-Fehler" angezeigt.

Dieses Problem kann unterschiedliche Ursachen haben:

  • Stellen Sie sicher, dass alle Verbundserver über ein für die Standardwebsite ausgestelltes Serverauthentifizierungszertifikat verfügen.

  • Stellen Sie sicher, dass alle AD FS-fähigen Webserver über ein für die Website ausgestelltes Serverauthentifizierungszertifikat verfügen, auf der sich die Anwendung befindet.

  • Wenn ein Verbunddienstproxy eines externen Kontopartners involviert ist, überprüfen Sie, ob während der Installation der richtige Verbunddienst-Hostname verwendet wurde.

  • Stellen Sie im Fall einer tokenbasierten Windows NT-Anwendung sicher, dass die Verbunddienst-URL (Uniform Resource Locator) im Snap-In Internetinformationsdienste-Manager (unter <Computername>\Verbunddienst-URL) ordnungsgemäß konfiguriert ist.

Beim Versuch, eine Verbindung mit der Anwendung herzustellen, wird im Webbrowser eine Fehlerseite mit der Meldung "Die Seite wurde nicht gefunden" oder "HTTP-Fehler 404 - Datei oder Verzeichnis wurde nicht gefunden" angezeigt.

Dieser Fehler kann durch die folgenden Konfigurationsprobleme verursacht werden:

  • Stellen Sie sicher, dass die Webanwendung ordnungsgemäß in Internetinformationsdienste (Internet Information Services, IIS) konfiguriert ist.

  • Überprüfen Sie, ob die URL der Webanwendung im Snap-In Active Directory-Verbunddienste richtig benannt ist.

  • Stellen Sie sicher, das Microsoft ASP.NET auf dem AD FS-fähigen Webserver und im Verbunddienst installiert ist.

  • Wenn Sie eine Verbindung mit einer tokenbasierten Windows NT-Anwendung, die ASP verwendet, herstellen und nach der Eingabe der Anmeldeinformationen der Fehler 404 angezeigt wird, stellen Sie sicher, dass der ASPClassic-Handler in IIS aktiviert und so konfiguriert ist, dass er ASP-Seiten verarbeiten kann. Stellen Sie außerdem sicher, dass das ASP-Feature für IIS installiert ist.

Nach dem Einrichten einer tokenbasierten Windows NT-Anwendung versuche ich, eine Verbindung mit der Anwendung herzustellen, ich werde jedoch nicht zur Auswahl eines Hostbereichs und der Anmeldeinformationen aufgefordert.

Stellen Sie sicher, dass das virtuelle Verzeichnis der tokenbasierten Windows NT-Anwendung zur Verwendung der ISAPI-Erweiterung (Internet Server Application Programming Interface) Ifsext.dll eingerichtet ist.

Protokollierungsprobleme

Ich möchte die Protokollierung auf dem Kontoverbundserver aktivieren.

Der Kontoverbundserver verwendet ein Authentifizierungspaket für die Zuordnung von Clientzertifikaten. Führen Sie die folgenden Aufgaben in der angegebenen Reihenfolge aus, um die Protokollierung für das Authentifizierungspaket des Kontoverbundservers zu aktivieren:

  1. Installieren Sie die Verbunddienstkomponente der Active Directory-Verbunddienste (Active Directory Federation Services, AD FS), sofern sie noch nicht installiert ist.

  2. Legen Sie den folgenden Registrierungsschlüssel fest: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

    "DebugLevel"=dword:ffffffff

Ich möchte die Protokollierung auf dem AD FS-fähigen Webserver für das Authentifizierungspaket des AD FS-Web-Agents aktivieren.

Das Authentifizierungspaket des AD FS-Web-Agents wird von tokenbasierten Windows NT-Anwendungen zum Generieren von Tokens verwendet, wenn S4U (Service-for-User) nicht verfügbar ist. Es wird auch verwendet, wenn das Token Sicherheitskennungen (Security Identifiers, SIDs) enthält, z. B. in Szenarios, bei denen Ressourcengruppen oder die Option Windows-Vertrauensstellung verwendet werden.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\WebSso\Parameters]

"DebugLevel"=dword:ffffffff

Ich möchte die Protokollierung auf dem AD FS-fähigen Webserver für die tokenbasierte AD FS Windows-Agent-Erweiterung aktivieren.

Die tokenbasierte AD FS Windows-Agent-Erweiterung verarbeitet die von AD FS zum Authentifizieren von Anforderungen verwendeten Protokolle.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFS\WebServerAgent]

"DebugPrintLevel"=dword:ffffffff

Ich möchte die Protokollierung auf dem AD FS-fähigen Webserver für den AD FS-Web-Agent-Authentifizierungsdienst aktivieren.

Der AD FS-Web-Agent-Authentifizierungsdienst bestätigt eingehende Tokens und Cookies.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IFSSVC\Parameters]

"DebugPrintLevel"=dword:ffffffff

Ich möchte erfahren, wo die Protokolle gespeichert sind.

Sie befinden sich unter %systemroot%\SystemData\ADFS\logs.

AD LDS-Probleme

Nachdem meine Benutzerkonten in Active Directory Lightweight Directory Services (AD LDS) erstellt wurden und die Vertrauensrichtlinie mit Informationen zum AD LDS-Speicher konfiguriert wurde, kann der Verbunddienst keine Benutzer im AD LDS-Speicher überprüfen.

Lösung: Gehen Sie beim Erstellen von Benutzerkonten mit dem Snap-In AD LDS-ADSI-Editor vorsichtig vor. Erstellen Sie Benutzerkonten immer mit einem Kennwort. Wenn Sie ein Benutzerkonto ohne Kennwort erstellen, setzen Sie das Kennwort für das Benutzerkonto mit dem ADSI-Editor zurück. Überprüfen Sie unbedingt den Wert der msDS-UserAccountDisabled-Eigenschaft des Benutzerkontos. Diese Eigenschaft sollte nicht auf True festgelegt sein. Der Wert sollte False oder Not set lauten. Wenn die msDS-UserAccountDisabled-Eigenschaft auf True festgelegt ist, ist das Benutzerkonto deaktiviert, und der Verbunddienst kann die Anmeldeinformationen für dieses AD LDS-Benutzerkonto nicht überprüfen.

Ich habe einen AD LDS-Kontospeicher aktiviert, der Verbunddienst kann jedoch keine Ansprüche abrufen.

Wenn der Verbunddienst als lokales System ausgeführt wird, müssen Sie das Computerkonto des Computers mit dem Verbunddienst der Gruppe Leser im AD LDS-Speicher hinzufügen.

Wenn der Verbunddienst als Netzwerkdienst ausgeführt wird, müssen Sie das Domänenkonto der Gruppe Leser im AD LDS-Speicher hinzufügen.

Konfigurationsprobleme

Im folgenden Abschnitt werden einige der bekannten Probleme im Zusammenhang mit der AD FS-Konfiguration behandelt.

Es wird ein Serverfehler angezeigt.

Fehler: Die Tokenanforderung für die Anwendung mit URL "https://..." kann nicht erfüllt werden, weil die URL auf keine vertrauenswürdige Anwendung verweist.

Lösung: Dieser Fehler wird vom Ressourcenverbunddienst zurückgegeben, wenn die Anwendungs-URL nicht auf eine bekannte Anwendung verweist. Stellen Sie sicher, dass die Anwendung der Vertrauensrichtlinie für den Verbunddienst hinzugefügt wurde.

Stellen Sie im Fall einer Ansprüche unterstützenden Anwendung sicher, dass die Rückgabe-URL in der Datei Web.config der Anwendung richtig eingegeben wurde und der in der Vertrauensrichtlinie des Verbunddiensts angegebenen Anwendungs-URL entspricht.

Stellen Sie für eine tokenbasierte Windows NT-Anwendung sicher, dass die Rückgabe-URL im Snap-In Internetinformationsdienste-Manager (unter <Websitename>\Authentication\AD FS Windows Token-Based Agent) richtig eingegeben wurde und der Anwendungs-URL in der Vertrauensrichtlinie des Verbunddiensts entspricht.

Es wird ein Überprüfungsfehler angezeigt.

Fehler: Fehler bei der Bestätigung der Ansichtsstatus-MAC-Adresse. Wenn diese Anwendung von einer Webfarm oder einem Cluster gehostet wird, stellen Sie sicher, dass die <machineKey>-Konfiguration denselben Wert für validationKey und denselben Bestätigungsalgorithmus enthält.

AutoGenerate kann in einem Cluster nicht verwendet werden. Während der Ausführung der aktuellen Webanforderung ist ein nicht behandelter Ausnahmefehler aufgetreten. Überprüfen Sie in der Stapelablaufverfolgung die weiteren Informationen zum Fehler, und stellen Sie fest, an welcher Stelle des Codes der Fehler entstanden ist.

Oder

Fehler: Während der Ausführung der aktuellen Webanforderung wurde ein nicht behandelter Ausnahmefehler generiert. Informationen zum Ursprung und zur Position des Ausnahmefehlers können Sie der unten stehenden Ausnahmestapelüberwachung entnehmen.

Lösung: Fügen Sie der Datei Web.config auf dem Computer mit dem in einer Farm eingerichteten Verbunddienst, Verbunddienstproxy oder AD FS-Web-Agent mithilfe eines Texteditors die folgende Einstellung hinzu:

<system.web>

<machineKey>

<machineKey validationKey="specify key for the appropriate algorithm"

decryptionKey="specify key"

validation="SHA1|MD5|3DES"/>

Oder

Lösung: Fügen Sie auf den Computern mit dem in einer Farm eingerichteten Verbunddienst, Verbunddienstproxy oder AD FS-Web-Agent das folgende Element im Abschnitt <system.web> der Datei Web.config hinzu:

<pages enableViewStateMac="false"/>

Siehe auch


Inhaltsverzeichnis