Freigeben über

Die Anspruchsauthentifizierung überprüft den Benutzer in SharePoint Server nicht.

  • Artikel

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Wenn Benutzer versuchen, sich mit einer Webanwendung zu verbinden, werden nicht erfolgreiche Authentifizierungsereignisse in Protokollen aufgezeichnet. Wenn Sie mit von Microsoft bereitgestellten Tools systematisch versuchen, die Fehler zu untersuchen, können sich mit gängigen Problemen bei der Forderungsauthentifizierung vertraut machen und diese beheben.

Für einen erfolgreichen Zugriff auf eine SharePoint-Ressource werden eine Authentifizierung und Autorisierung benötigt. Wenn Sie Ansprüche verwenden, überprüft die Authentifizierung, ob das Sicherheitstoken gültig ist. Bei der Autorisierung wird geprüft, ob der Zugriff auf die Ressource erlaubt ist, was von der Gruppe der Ansprüche im Sicherheitstoken und den für die Ressource konfigurierten Berechtigungen abhängt.

Um zu prüfen, ob ein Zugriffsproblem auf die Authentifizierung oder Autorisierung zurückzuführen ist, untersuchen Sie im Browserfenster eingehend die Fehlermeldung.

  • Wenn die Fehlermeldung darauf hinweist, dass der Benutzer keinen Zugriff auf die Website hat, war die Authentifizierung erfolgreich, und die Autorisierung ist fehlgeschlagen. Versuchen Sie Probleme bei der Autorisierung wie folgt zu lösen:

    • Der häufigste Grund für einen Autorisierungsfehler bei Verwendung der anspruchsbasierten SAML-Authentifizierung (Security Assertion Markup Language) ist, dass die Berechtigungen dem Windows-basierten Konto eines Benutzers (Domäne\Benutzer) statt dem SAML-Identitätsanspruch des Benutzers zugewiesen wurden.

    • Prüfen Sie, ob der Benutzer oder eine Gruppe, zu der der Benutzer gehört, für die Verwendung der entsprechenden Berechtigungen konfiguriert wurde. Weitere Informationen finden Sie unter Benutzerberechtigungen und Berechtigungsstufen in SharePoint Server.

    • Mithilfe der Tools und Techniken in diesem Artikel können Sie die verschiedenen Ansprüche im Sicherheitstoken des Benutzers bestimmen und anschließend mit den konfigurierten Berechtigungen vergleichen.

  • Wenn die Meldung besagt, dass die Authentifizierung keinen Erfolg hatte, liegt ein Authentifizierungsproblem vor. Wenn die Ressource in einer SharePoint-Webanwendung mit Forderungsauthentifizierung enthalten ist, nutzen Sie die Informationen in diesem Artikel, um mit der Problembehandlung zu beginnen.

Tools zur Problembehandlung

Es folgen die primären von Microsoft bereitgestellten Tools zur Problembehandlung, mit denen Sie Informationen zur Forderungsauthentifizierung in SharePoint Server erfassen können:

  • Nutzen Sie Protokolle des vereinheitlichten Protokollierungsdiensts (Unified Logging Service, ULS), um Details zu Authentifizierungstransaktionen zu erhalten.

  • Verwenden Sie die Zentraladministration, um die Details der Benutzerauthentifizierungseinstellungen für SharePoint-Webanwendungen und Zonen zu überprüfen und ULS-Protokollierungsstufen zu konfigurieren.

  • Wenn Sie Active Directory-Verbunddienste (AD FS) 2.0 (AD FS) als Verbundanbieter für die SAML-basierte Anspruchsauthentifizierung (Security Assertion Markup Language) verwenden, können Sie die AD FS-Protokollierung verwenden, um die Ansprüche in Sicherheitstoken zu ermitteln, die AD FS für Webclientcomputer ausgibt.

  • Nutzen Sie Netzwerkmonitor 3.4 zum Erfassen und Untersuchen der Details zum Netzwerkdatenverkehr bei der Benutzerauthentifizierung.

Festlegen der ULS-Protokollierungsstufe für die Benutzerauthentifizierung

Im folgenden Verfahren wird SharePoint Server für die Protokollierung der Höchstmenge an Informationen für Versuche der Forderungsauthentifizierung konfiguriert.

So konfigurieren Sie SharePoint Server für die Protokollierung der Höchstmenge an Informationen bei der Authentifizierung

  1. Wählen Sie in der Zentraladministration im Schnellstart die Option Überwachung und dann Diagnoseprotokollierung konfigurieren aus.

  2. Erweitern Sie in der Liste der Kategorien SharePoint Foundation, und wählen Sie dann Authentifizierungsautorisierung und anschließend Forderungsauthentifizierung aus.

  3. Wählen Sie für Unwichtigstes, im Ereignisprotokoll aufzuzeichnendes Ereignis die Option Ausführlich aus.

  4. Wählen Sie für Unwichtigstes, im Ablaufverfolgungsprotokoll aufzuzeichnendes Ereignis die Option Ausführlich aus.

  5. Wählen Sie OK aus.

Um die Leistung zu optimieren, wenn Sie keine Problembehandlung bei der Anspruchsauthentifizierung durchführen, führen Sie die folgenden Schritte aus, um die Benutzerauthentifizierungsprotokollierung auf ihre Standardwerte festzulegen.

So konfigurieren Sie SharePoint Server für die Protokollierung der Standardmenge an Informationen bei der Authentifizierung

  1. Wählen Sie in der Zentraladministration im Schnellstart die Option Überwachung und dann Diagnoseprotokollierung konfigurieren aus.

  2. Erweitern Sie in der Liste der Kategorien SharePoint Foundation, und wählen Sie dann Authentifizierungsautorisierung und anschließend Forderungsauthentifizierung aus.

  3. Wählen Sie für Unwichtigstes, im Ereignisprotokoll aufzuzeichnendes Ereignis die Option Information aus.

  4. Wählen Sie für Unwichtigstes, im Ablaufverfolgungsprotokoll aufzuzeichnendes Ereignis die Option Mittel aus.

  5. Wählen Sie OK aus.

Konfigurieren der AD FS-Protokollierung

Selbst wenn Sie die Höchststufe der ULS -Protokollierung aktivieren, zeichnet SharePoint Server nicht die Ansprüche in einem empfangenen Sicherheitstoken auf. Wenn Sie AD FS für die SAML-basierte Forderungsauthentifizierung verwenden, können Sie die AD FS-Protokollierung aktivieren und mithilfe der Ereignisanzeige die Ansprüche auf Sicherheitstoken untersuchen, die SharePoint Server ausstellt.

So aktivieren Sie die AD­ FS-Protokollierung

  1. Wählen Sie auf dem AD FS-Server Ereignisanzeige Ansicht und dann Analyse- und Debugprotokolle anzeigen aus.

  2. Erweitern Sie in der Konsolenstruktur der Ereignisanzeige Anwendungs- und Dienstprotokolle/AD FS 2.0-Ablaufverfolgung.

  3. Klicken Sie mit der rechten Maustaste auf Debuggen, und wählen Sie dann Protokoll aktivieren aus.

  4. Öffnen Sie den Ordner %ProgramFiles%\Active Directory Federation Services 2.0.

  5. Öffnen Sie in Editor die Datei Microsoft.IdentityServer.ServiceHost.Exe.Config.

  6. Wählen Sie Bearbeiten aus, wählen Sie Suchen aus, geben Sie <source name="Microsoft.IdentityModel" switchValue="Off"> ein, und wählen Sie dann OK aus.

  7. Ändern Sie switchValue="Off" in switchValue="Verbose".

  8. Wählen Sie Datei aus, wählen Sie Speichern aus, und beenden Sie dann Editor.

  9. Klicken Sie im Snap-In Dienste mit der rechten Maustaste auf den Dienst ** AD FS 2.0 **, und wählen Sie dann Neu starten aus.

Sie können nun in der Ereignisanzeige auf dem Server mit AD FS im Knoten Anwendungs- und Dienstprotokolle/AD FS 2.0-Ablaufverfolgung/Debugging die Details zu Ansprüchen untersuchen. Suchen Sie nach Ereignissen mit der Ereignis-ID 1001.

Sie können Ansprüche auch mit einem HttpModule oder Webpart oder über OperationContext spezifizieren. Weitere Informationen finden Sie unter Abrufen aller Benutzeransprüche in Anspruchaugmentationszeit in SharePoint 2010. Diese Informationen für SharePoint 2010 gelten auch für SharePoint 2013.

Problembehandlungsmethoden für die Forderungsauthentifizierung

Anhand der folgenden Schritte können Sie die Ursache nicht erfolgreicher Versuche der Forderungsauthentifizierung bestimmen.

1. Schritt: Bestimmen der Details des nicht erfolgreichen Authentifizierungsversuchs

Um detaillierte und endgültige Informationen zu einem fehlgeschlagenen Authentifizierungsversuch zu erhalten, müssen Sie sie in den SharePoint ULS-Protokollen finden. Diese Protokolldateien werden im Ordner %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS gespeichert.

Informationen zu einem nicht erfolgreichen Authentifizierungsversuch können Sie in den ULS-Protokolldateien entweder manuell oder mithilfe der ULS-Protokollanzeige finden.

So finden Sie Informationen zu einem nicht erfolgreichen Authentifizierungsversuch manuell

  1. Bestimmen Sie den Namen des Benutzerkontos mit dem nicht erfolgreichen Authentifizierungsversuch.

  2. Navigieren Sie auf dem Server mit SharePoint Server oder SharePoint Foundation zum Ordner %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS oder %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\15\LOGS.

  3. Wählen Sie im Ordner LOGS die Option Datum der Änderung aus, um den Ordner nach Datum zu sortieren, wobei die letzte am Anfang steht.

  4. Versuchen Sie es erneut mit der Authentifizierungsaufgabe.

  5. Doppelklicken Sie im Fenster des Ordners LOGS auf die Protokolldatei ganz oben in der Liste, um diese in Editor zu öffnen.

  6. Klicken Sie im Editor auf Bearbeiten, wählen Sie Suchen aus, geben Sie Authentifizierungsautorisierung oder Anspruchsauthentifizierung ein, und wählen Sie dann Weiter suchen aus.

  7. Wählen Sie Abbrechen aus, und lesen Sie dann den Inhalt der Spalte Nachricht .

Den ULS Viewer müssen Sie zunächst von der Website ULS Viewer herunterladen und in einem Ordner auf dem Server mit SharePoint Server oder SharePoint Foundation speichern. Führen Sie nach der Installation die folgenden Schritte aus, um den fehlgeschlagenen Authentifizierungsversuch zu ermitteln.

So finden Sie Informationen zu einem nicht erfolgreichen Authentifizierungsversuch mit ULS Viewer

  1. Doppelklicken Sie auf dem Server, auf dem SharePoint Server oder SharePoint Foundation ausgeführt wird, in dem Ordner, in dem es gespeichert ist, auf Ulsviewer .

  2. Wählen Sie im ULS-ViewerDatei aus, zeigen Sie auf Öffnen von, und wählen Sie dann ULS aus.

  3. Vergewissern Sie sich im Dialogfeld ULS-Laufzeitfeed einrichten , dass der Ordner %CommonProgramFiles% \Common Files\Microsoft Shared\Web Server Extensions\16\LOGS oder \Common Files\Microsoft Shared\Web Server Extensions\15\LOGS unter UlS-Feed aus standardprotokolldateiverzeichnis verwenden angegeben ist. Wenn nicht, wählen Sie Verzeichnisspeicherort für Echtzeitfeeds verwenden aus, und geben Sie den Ordner %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS oder \Microsoft Shared\Web Server Extensions\15\LOGS im Speicherort der Protokolldatei an.

    Ersetzen Sie %CommonProgramFiles% durch den Wert der Umgebungsvariablen CommonProgramFiles des Servers mit SharePoint Server oder SharePoint Foundation. Wenn der Speicherort beispielsweise Laufwerk C ist, wird %CommonProgramFiles% auf C:\Programme\Common Files festgelegt.

  4. Wählen Sie OK aus.

  5. Wählen Sie Bearbeiten und dann Filter ändern aus.

  6. Wählen Sie im Dialogfeld Filtern nach unter Feld die Option Kategorie aus.

  7. Geben Sie unter Wert die Zeichenfolge Authentifizierungsautorisierung oder Anspruchsauthentifizierung ein, und wählen Sie dann OK aus.

  8. Wiederholen Sie den Authentifizierungsversuch.

  9. Doppelklicken Sie im Fenster ULS Viewer auf die angezeigten Zeilen, um den Bereich Message anzuzeigen.

Im Abschnitt zur Anspruchscodierung des Bereichs „Message" bei Nicht-OAuth-Anforderungen können Sie die Authentifizierungsmethode und codierte Benutzeridentität in der mit dem Anspruch codierten Zeichenfolge (Beispiel: i:0#.w|contoso\chris) finden.

2. Schritt: Überprüfen der Konfigurationsanforderungen

In der die Website für die SharePoint-Zentraladministration können Sie bestimmen, wie eine Webanwendung oder Zone zur Unterstützung einer oder mehrerer Forderungsauthentifizierungsmethoden konfiguriert sein muss.

So überprüfen Sie die Authentifizierungskonfiguration für eine Webanwendung oder Zone

  1. Wählen Sie in der Zentraladministration im Schnellstart die Option Anwendungsverwaltung und dann Webanwendungen verwalten aus.

  2. Wählen Sie den Namen der Webanwendung aus, auf die der Benutzer zugreifen möchte, und wählen Sie im Menüband in der Gruppe Sicherheit die Option Authentifizierungsanbieter aus.

  3. Wählen Sie in der Liste der Authentifizierungsanbieter die entsprechende Zone aus (z. B. Standard).

  4. Überprüfen Sie im Dialogfeld Authentifizierung bearbeiten im Abschnitt Anspruchsauthentifizierungstypen die Einstellungen für die Anspruchsauthentifizierung.

  • Überprüfen Sie für die Windows-Forderungsauthentifizierung, dass Windows-Authentifizierung aktivieren und Integrierte Windows-Authentifizierung ausgewählt sind und dass entweder NTLM oder Aushandeln (Kerberos) bei Bedarf ausgewählt ist. Wählen Sie bei Bedarf Standardauthentifizierung aus.

  • Überprüfen Sie, ob für die formularbasierte Authentifizierung Formularbasierte Authentifizierung aktivieren aktiviert ist. Überprüfen Sie die Werte in Name des ASP.NET-Mitgliedschaftsanbieters und Name des ASP.NET-Rollen-Managers. Diese Werte müssen mit den Mitgliedschaftsanbieter- und Rollenwerten übereinstimmen, die Sie in Ihren web.config-Dateien für die Website der SharePoint-Zentraladministration, die Webanwendung und die SharePoint-Webdienste\SecurityTokenServiceApplication konfiguriert haben. Weitere Informationen finden Sie unter Configure forms-based authentication for a claims-based web application in SharePoint Server.

  • Überprüfen Sie bei der SAML-basierten Forderungsauthentifizierung, ob Vertrauenswürdiger Identitätsanbieter und der ordnungsgemäße vertrauenswürdige Anbietername ausgewählt sind. Weitere Informationen finden Sie unter Configure SAML-based claims authentication with AD FS in SharePoint Server.

  • Überprüfen Sie im Abschnitt URL der Anmeldeseite die Option für die Anmeldeseite. Für eine Standardanmeldeseite muss Standardanmeldeseite ausgewählt sein. Überprüfen Sie bei einer benutzerdefinierten Anmeldeseite die für diese angegebene URL. Kopieren Sie zu diese zur Überprüfung, und versuchen Sie, darauf in einem Webbrowser zuzugreifen.

  1. Wählen Sie Speichern aus, um die Änderungen an den Authentifizierungseinstellungen zu speichern.

  2. Wiederholen Sie den Authentifizierungsversuch. Wird bei der formular- oder SAML-basierten Authentifizierung die erwartete Anmeldeseite mit den ordnungsgemäßen Anmeldeoptionen angezeigt?

  3. Wenn die Authentifizierung weiterhin fehlschlägt, überprüfen Sie die ULS-Protokolle, um festzustellen, ob es einen Unterschied zwischen dem Authentifizierungsversuch vor der Änderung der Authentifizierungskonfiguration und danach gibt.

Schritt 3: Weitere zu überprüfende Elemente

Überprüfen Sie nach der Prüfung der Protokolldateien und Webanwendungskonfiguration Folgendes:

  • Der Webbrowser auf dem Webclientcomputer unterstützt Ansprüche. Weitere Informationen finden Sie unter Planen der Browserunterstützung in SharePoint Server 2016.

  • Überprüfen Sie für die Windows-Forderungsauthentifizierung Folgendes:

    • Der Computer, auf dem der Benutzer die Authentifizierung versucht, ist Mitglied derselben Domäne wie der Server, der die SharePoint-Webanwendung hostet, oder einer Domäne, der der hostende Server vertraut.

    • Der Computer, von dem aus der Benutzer den Authentifizierungsversuch ausgibt, ist bei seiner Active Directory Domain Services(AD DS)-Domäne angemeldet. Geben Sie nltest /dsgetdc: /force an einer Eingabeaufforderung oder in der SharePoint-Verwaltungsshell auf dem Webclientcomputer ein, um sicherzustellen, dass er auf einen Domänencontroller zugreifen kann. Wenn keine Domänencontroller aufgeführt sind, beheben Sie die fehlende Auffindbarkeit und Konnektivität zwischen dem Webclientcomputer und einem AD DS-Domänencontroller.

    • Der Server, auf dem SharePoint Server oder SharePoint Foundation ausgeführt wird, ist bei seiner AD DS-Domäne angemeldet. Geben Sie nltest /dsgetdc: /force an einer Eingabeaufforderung oder in der SharePoint-Verwaltungsshell auf dem Server ein, auf dem SharePoint Server oder SharePoint Foundation ausgeführt wird, um sicherzustellen, dass er auf einen Domänencontroller zugreifen kann. Wenn keine Domänencontroller aufgeführt sind, beheben Sie die fehlende Erkennbarkeit und Konnektivität zwischen dem Server, auf dem SharePoint Server oder SharePoint Foundation ausgeführt wird, und einem AD DS-Domänencontroller.

  • Überprüfen Sie für die formularbasierte Authentifizierung Folgendes:

    • Die Benutzeranmeldeinformationen für die konfigurierte ASP.NET-Mitgliedschaft und den Rollenanbieter sind ordnungsgemäß.

    • Die Systeme, die die ASP.NET-Mitgliedschaft und den Rollenanbieter hosten, sind im Netzwerk verfügbar.

    • Auf benutzerdefinierten Anmeldeseiten werden die Anmeldeinformationen des Benutzers ordnungsgemäß erfasst und übertragen. Um dies zu testen, konfigurieren Sie die Webanwendung für eine vorübergehende Verwendung der Standardanmeldeseite, und prüfen Sie, ob diese funktioniert.

  • Überprüfen Sie für die SAML-basierte Authentifizierung Folgendes:

    • Die Benutzeranmeldeinformationen für den konfigurierten Identitätsanbieter sind ordnungsgemäß.

    • Systeme, die als Verbundanbieter (z. B. AD FS) und Identitätsanbieter (z. B. AD DS oder Drittanbieter) sind im Netzwerk verfügbar.

    • Auf benutzerdefinierten Anmeldeseiten werden die Anmeldeinformationen des Benutzers ordnungsgemäß erfasst und übertragen. Um dies zu testen, konfigurieren Sie die Webanwendung für eine vorübergehende Verwendung der Standardanmeldeseite, und prüfen Sie, ob diese funktioniert.

4. Schritt: Überwachen und Analysieren des Internetdatenverkehrs mit einem Debuggingtool

Analysieren Sie mit einem Tool, wie z. B. HttpWatch oder Fiddler die folgenden Typen von HTTP-Datenverkehr:

  • Zwischen dem Webclientcomputer und dem Server mit SharePoint Server oder SharePoint Foundation

    Sie können beispielsweise die HTTP Redirect-Nachrichten überwachen, die der Server mit SharePoint Server oder SharePoint Foundation sendet, um den Webclientcomputer über den Standort eines Verbundservers (z. B. AD FS) zu informieren.

  • Zwischen dem Webclientcomputer und dem Verbundserver (z. B. AD FS)

    Sie können beispielsweise die HTTP-Nachrichten, die der Webclientcomputer sendet, und die Antworten des Verbundservers überwachen, die ggf. Sicherheitstoken und ihre Ansprüche enthalten.

Hinweis

[!HINWEIS] Bei Fiddler kann der Authentifizierungsversuch nach der Anforderung von drei Authentifizierungsaufforderungen fehlschlagen. Um dies zu verhindern, lesen Sie Verwenden von Fiddler mit SAML und SharePoint zum Abrufen der letzten drei Authentifizierungsaufforderungen.

5. Schritt: Erfassen und Analysieren von Netzwerkdatenverkehr für die Authentifizierung

Erfassen und analysieren Sie mit einem Tool wie Netzwerkmonitor 3.4 den Datenverkehr zwischen dem Webclientcomputer, dem Server mit SharePoint Server oder SharePoint Foundation und den Systemen, auf denen SharePoint Server oder SharePoint Foundation die Forderungsauthentifizierung verwenden.

Hinweis

In vielen Fällen verwendet die Anspruchsauthentifizierung HTTPS-basierte Verbindungen (Hypertext Transfer Protocol Secure), die die zwischen Computern gesendeten Nachrichten verschlüsseln. Sie können den Inhalt verschlüsselter Nachrichten mit einem Tool für Netzwerkdatenverkehr nicht ohne die Hilfe eines Add-Ins oder einer Erweiterung anzeigen. Für Netzwerkmonitor müssen Sie z. B. den Experten für Netzwerkmonitor installieren und konfigurieren. Als einfachere Alternative zum Versuch, HTTPS-Nachrichten zu entschlüsseln, verwenden Sie ein Tool wie Fiddler auf dem Server, der SharePoint Server oder SharePoint Foundation hostet, das die unverschlüsselten HTTP-Nachrichten melden kann.

Eine Analyse des Netzwerkdatenverkehrs kann die folgenden Informationen liefern:

  • Die exakte Menge von Protokollen und Nachrichten, die zwischen den am Forderungsauthentifizierungsvorgang beteiligten Computern gesendet werden. Antwortnachrichten können Informationen zu Fehlerbedingungen enthalten, die Sie verwenden können, um weitere Schritte zur Problembehandlung zu ermitteln.

  • Ob es für Anforderungsnachrichten entsprechende Antworten gibt. Mehrere gesendete Anforderungsnachrichten, die keine Antwort erhalten, können darauf hindeuten, dass der Netzwerkdatenverkehr das beabsichtigte Ziel nicht erreicht. Führen Sie eine Überprüfung auf Paketweiterleitungsprobleme, Paketfiltergeräte im Pfad (z. B. eine Firewall) oder Paketfilterung am Ziel (z. B. lokale Firewall) durch.

  • Ob mehrere Forderungsmethoden versucht werden, und welche keinen Erfolg haben.

Für die Windows-Forderungsauthentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:

  • Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation

  • Server mit SharePoint Server oder SharePoint Foundation und seinem Domänencontroller

Für die formularbasierte Authentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:

  • Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation

  • Server mit SharePoint Server oder SharePoint Foundation und dem ASP.NET-Mitgliedschafts- und Rollenanbieter

Für die SAML-basierte Authentifizierung können Sie den Datenverkehr zwischen den folgenden Computern erfassen und analysieren:

  • Webclientcomputer und Server mit SharePoint Server oder SharePoint Foundation

  • Webclientcomputer und dessen Identitätsanbieter (z. B. ein AD DS-Domänencontroller)

  • Webclientcomputer und Verbundanbieter (z. B. AD FS)

Siehe auch

Weitere Ressourcen

Configure forms-based authentication for a claims-based web application in SharePoint Server

Configure SAML-based claims authentication with AD FS in SharePoint Server