Поделиться через

Проверка подлинности утверждений не проверяет пользователя в SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Когда пользователи пытаются подключиться к веб-приложению, в журналах регистрируются события неудачной проверки подлинности. Используя предоставляемые Майкрософт инструменты и систематический подход к изучению сбоев, можно определить общие проблемы, связанные с проверкой подлинности на основе утверждений, и устранить их.

Для успешного доступа к ресурсу SharePoint необходима как проверка подлинности, так и авторизация. При использовании утверждений проверка подлинности проверяет, является ли маркер безопасности допустимым. Процесс авторизации проверяет, разрешен ли доступ к ресурсу, на основе набора утверждений в маркере безопасности, а также настроенные разрешения для ресурса.

Чтобы определить, что является источником проблемы доступа, проверка подлинности или авторизация, внимательно изучите сообщение об ошибке в окне браузера.

  • Если сообщение об ошибке указывает, что у пользователя нет доступа к сайту, проверка подлинности прошла успешно и авторизация завершилась ошибкой. Для устранения неполадок авторизации попробуйте использовать следующие решения.

    • Наиболее распространенной причиной сбоя авторизации при использовании проверки подлинности на основе утверждений SAML является то, что разрешения были назначены учетной записи пользователя на основе Windows (домен\пользователь) вместо утверждения удостоверения SAML пользователя.

    • Убедитесь, что было настроено использование соответствующих разрешений пользователем или группой, к которой принадлежит пользователь. Дополнительные сведения см. в статье User permissions and permission levels in SharePoint Server.

    • С помощью инструментов и методов, которые описываются в данной статье, установите набор утверждений в маркере безопасности пользователя, чтобы можно было сравнить его с настроенными разрешениями.

  • Если сообщение указывает, что проверка подлинности завершилась неудачно, то имеется проблема проверки подлинности. Если имеющийся в веб-приложении SharePoint ресурс использует проверку подлинности на основе утверждений, начните устранение неполадок с помощью сведений, которые приводятся в настоящей статье.

Инструменты устранения неполадок

Ниже перечислены основные средства устранения неполадок, предоставляемые корпорацией Майкрософт для сбора сведений о проверке подлинности на основе утверждений в SharePoint Server.

  • Чтобы получить подробные сведения о транзакциях проверки подлинности, можно использовать журналы единой службы ведения журналов (ULS).

  • Чтобы просмотреть сведения о параметрах проверки подлинности пользователей для веб-приложений и зон SharePoint и настроить уровни ведения журналов ULS, можно использовать центр администрирования.

  • Если вы используете службы федерации Active Directory (AD FS) 2.0 (AD FS) в качестве поставщика федерации для проверки подлинности на основе утверждений на основе SAML, вы можете использовать ведение журнала AD FS для определения утверждений, которые находятся в маркерах безопасности, которые AD FS выдает на веб-клиентских компьютерах.

  • Для сбора и проверки сведений сетевого трафика проверки подлинности пользователей используйте сетевой монитор версии 3.4.

Установка уровня ведения журналов ULS для проверки подлинности пользователей

Приведенная ниже процедура предназначена для настройки SharePoint Server таким образом, чтобы в журнал заносилось как можно больше сведений о попытках проверки подлинности на основе утверждений.

Настройка SharePoint Server для занесения в журнал максимального объема сведений о проверке подлинности пользователей

  1. В центре администрирования выберите Мониторинг на панели быстрого запуска, а затем выберите Настроить ведение журнала диагностики.

  2. В списке категорий разверните узел SharePoint Foundation, а затем последовательно выберите элементы Авторизация проверки подлинности и Проверка подлинности на основе утверждений.

  3. В разделе Событие наименьшей важности для занесения в журнал событий выберите элемент Подробно.

  4. В разделе Событие наименьшей важности для занесения в журнал трассировки выберите элемент Подробно.

  5. Нажмите OK.

Чтобы оптимизировать производительность, если вы не выполняете устранение неполадок с проверкой подлинности утверждений, выполните следующие действия, чтобы задать для ведения журнала проверки подлинности пользователей значения по умолчанию.

Настройка SharePoint Server для занесения в журнал стандартного объема сведений о проверке подлинности пользователей

  1. В центре администрирования выберите Мониторинг на панели быстрого запуска, а затем выберите Настроить ведение журнала диагностики.

  2. В списке категорий разверните узел SharePoint Foundation, а затем последовательно выберите элементы Авторизация проверки подлинности и Проверка подлинности на основе утверждений.

  3. В разделе Событие наименьшей важности для занесения в журнал событий выберите элемент Information (Сведения).

  4. В разделе Событие наименьшей важности для занесения в журнал трассировки выберите элемент Medium (Среднее значение).

  5. Нажмите OK.

Настройка ведения журналов AD FS

Даже после включения максимального уровня ведения журнала ULS SharePoint Server не записывает набор утверждений в полученный маркер безопасности. Если вы используете AD FS для проверки подлинности на основе утверждений SAML, можно включить ведение журнала AD FS и использовать Просмотр событий для проверки утверждений на наличие маркеров безопасности, которые выдает SharePoint Server.

Включение ведения журналов AD FS

  1. На сервере AD FS в Просмотр событий выберите Вид, а затем — Показать журналы аналитики и отладки.

  2. В дереве консоли Просмотра событий последовательно разверните Журналы приложений и служб/Трассировка AD FS 2.0.

  3. Щелкните правой кнопкой мыши Отладка и выберите Включить журнал.

  4. Откройте папку %ProgramFiles% \Active Directory Federation Services 2.0.

  5. С помощью программы "Блокнот" откройте файл Microsoft.IdentityServer.ServiceHost.Exe.Config.

  6. Выберите Изменить, выберите Найти, введите <имя источника="Microsoft.IdentityModel" switchValue="Off">, а затем нажмите кнопку ОК.

  7. Измените switchValue="Off" на switchValue="Verbose".

  8. Выберите Файл, нажмите кнопку Сохранить, а затем закройте Блокнот.

  9. В оснастке Службы щелкните правой кнопкой мыши службу ** AD FS 2.0 **, а затем выберите Перезапустить.

Теперь с помощью Просмотра событий на сервере AD FS можно исследовать подробные сведения об утверждениях в узле "Журналы приложений и служб/Трассировка AD FS 2.0/Отладка". Найдите события с идентификатором 1001.

Вы также можете перечислить утверждения в HttpModule, веб-части или с помощью OperationContext. Дополнительные сведения см. в статье Получение всех утверждений пользователей по времени увеличения утверждений в SharePoint 2010. Эти сведения о SharePoint 2010 относятся также к SharePoint 2013.

Методика устранения неполадок для проверки подлинности пользователей на основе утверждений

Следующие действия помогут определить причину неудачных попыток проверки подлинности на основе утверждений.

Действие 1. Получение сведений о попытке неудачной проверки подлинности

Чтобы получить подробные и исчерпывающие сведения о неудачной попытке проверки подлинности, необходимо найти ее в журналах ULS SharePoint. Эти файлы журналов хранятся в папке %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\15\LOGS.

Неудачную попытку проверки подлинности можно найти в файлах журналов ULS вручную или с помощью средства просмотра журналов ULS.

Поиск неудачной попытки проверки подлинности вручную

  1. Получите у пользователя имя учетной записи, которая создала неудачную попытку проверки подлинности.

  2. На сервере, на котором работает SharePoint Server или SharePoint Foundation, найдите папку %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS или %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\15\LOGS.

  3. В папке LOGS выберите Дата изменения , чтобы отсортировать папку по дате с самым последним вверху.

  4. Повторите попытку проверки подлинности.

  5. В окне папки LOGS дважды щелкните файл журнала вверху списка, чтобы открыть его в блокноте.

  6. В Блокноте выберите Изменить, выберите Найти, введите Авторизация проверки подлинности или Проверка подлинности утверждений, а затем нажмите кнопку Найти далее.

  7. Выберите Отмена, а затем прочитайте содержимое столбца Сообщение .

Чтобы использовать средство просмотра ULS, скачайте его из средства просмотра ULS и сохраните его в папку на сервере с SharePoint Server или SharePoint Foundation. После установки выполните следующие действия, чтобы найти неудачную попытку проверки подлинности.

Поиск неудачной попытки проверки подлинности с помощью средства просмотра ULS

  1. На сервере под управлением SharePoint Server или SharePoint Foundation дважды щелкните Ulsviewer в папке, в которой он хранится.

  2. В средстве просмотра ULS выберите Файл, наведите указатель мыши на пункт Открыть с, а затем выберите ULS.

  3. В диалоговом окне Настройка веб-канала среды выполнения ULS убедитесь, что папка %CommonProgramFiles% \Common Files\Microsoft Shared\Web Server Extensions\16\LOGS или \Common Files\Microsoft Shared\Web Server Extensions\15\LOGS указана в разделе Использование веб-канала ULS из каталога log-file по умолчанию. Если нет, выберите Использовать расположение каталога для веб-каналов в режиме реального времени и укажите папку %CommonProgramFiles% \Microsoft Shared\Web Server Extensions\16\LOGS или папку\Microsoft Shared\Web Server Extensions\15\LOGS в папке Расположение файла журнала.

    Для %CommonProgramFiles замените значение из переменной среды CommonProgramFiles сервера, на котором выполняется SharePoint Server или SharePoint Foundation. Например, если в качестве расположения задан диск C, значение %CommonProgramFiles% устанавливается в C:\Program Files\Common Files.

  4. Нажмите OK.

  5. Выберите Изменить, а затем — Изменить фильтр.

  6. В диалоговом окне Фильтр по в поле выберите Категория.

  7. В поле Значение введите Авторизация проверки подлинности или Проверка подлинности утверждений, а затем нажмите кнопку ОК.

  8. Повторите попытку проверки подлинности.

  9. В окне средства просмотра ULS дважды щелкайте отображенные строки, чтобы просмотреть часть Сообщение.

Сведения о кодировке утверждений в части строк, связанной с сообщением, для запросов, отличных от запросов OAuth, позволят определить способ проверки подлинности, а строка зашифрованного утверждения (например: i:0#.w|contoso\chris), — зашифрованное удостоверение пользователя.

Действие 2. Проверка требований к конфигурации

С помощью Веб-сайт центра администрирования SharePoint можно определить, каким образом настроено веб-приложение или зона для поддержки одного или нескольких методов проверки подлинности на основе утверждений.

Проверка конфигурации проверки подлинности для веб-приложения или зоны

  1. В центре администрирования выберите Управление приложениями на панели быстрого запуска, а затем выберите Управление веб-приложениями.

  2. Выберите имя веб-приложения, к которому пользователь пытается получить доступ, и в группе Безопасность на ленте выберите Поставщики проверки подлинности.

  3. В списке поставщиков проверки подлинности выберите соответствующую зону (например, По умолчанию).

  4. В диалоговом окне Изменение проверки подлинности в разделе Типы проверки подлинности утверждений проверьте параметры проверки подлинности утверждений.

  • Для проверки подлинности на основе утверждений Windows проверьте, установлены ли флажки Включить проверку подлинности Windows и Встроенная проверка подлинности Windows, и выбрано ли NTLM или Согласование (Kerberos) в соответствии с требованиями. Выберите Обычная проверка подлинности , если она необходима.

  • Для проверки подлинности на основе форм убедитесь, что установлен флажок Разрешить проверку подлинности на основе форм (FBA). Проверьте значения в полях Имя поставщика контроля членства в ASP.NET и Имя диспетчера ролей ASP.NET. Эти значения должны соответствовать значениям поставщика членства и ролей, настроенным в файлах web.config для веб-сайта центра администрирования SharePoint, веб-приложения и веб-служб SharePoint\SecurityTokenServiceApplication. Дополнительные сведения см. в статье Configure forms-based authentication for a claims-based web application in SharePoint Server.

  • Для проверки подлинности на основе утверждений SAML убедитесь, что выбран элемент Доверенный поставщик удостоверений и указано правильное имя доверенного поставщика. Дополнительные сведения см. в статье Configure SAML-based claims authentication with AD FS in SharePoint Server.

  • В разделе URL-адрес страницы входа проверьте параметр для страницы входа. Для страницы входа по умолчанию должен быть выбран параметр Страница входа по умолчанию. Для настраиваемой страницы входа проверьте ее указанный URL-адрес. Для этого скопируйте этот URL-адрес и попробуйте получить к нему доступ в веб-браузере.

  1. Нажмите кнопку Сохранить , чтобы сохранить изменения в параметрах проверки подлинности.

  2. Повторите попытку проверки подлинности. Появляется ли предполагаемая страница входа с правильными параметрами входа для проверки подлинности на основе форм или на основе SAML?

  3. Если проверка подлинности по-прежнему завершается ошибкой, проверка журналы ULS, чтобы определить, есть ли разница между попыткой проверки подлинности до изменения конфигурации проверки подлинности и после нее.

Шаг 3. Дополнительные элементы для проверка

После проверки файлов журналов и конфигурации веб-приложения проверьте следующее.

  • Поддерживаются ли утверждения в веб-браузере на компьютере веб-клиента. Дополнительные сведения см. в статье Plan browser support in SharePoint Server 2016.

  • Для проверки подлинности на основе утверждений Windows проверьте следующее.

    • Является ли компьютер, с которого пользователь выдает попытку проверки подлинности, членом того же домена, что и сервер, на котором размещается веб-приложение SharePoint, или членом домена, который имеет отношения доверия с размещающим сервером.

    • Вошел ли компьютер, с которого пользователь выдает попытку проверки подлинности, в свой домен доменных служб Active Directory (AD DS). Введите nltest /dsgetdc: /force в командной строке или командной консоли SharePoint на клиентском веб-компьютере, чтобы убедиться, что он может получить доступ к контроллеру домена. Если не перечислен ни один контроллер домена, устраните неполадку, препятствующую возможности обнаружения и подключения компьютера веб-клиента к контроллеру домена AD DS.

    • Сервер под управлением SharePoint Server или SharePoint Foundation входит в домен AD DS. Введите nltest /dsgetdc: /force в командной строке или командной консоли SharePoint на сервере, на котором выполняется SharePoint Server или SharePoint Foundation, чтобы убедиться, что он может получить доступ к контроллеру домена. Если контроллеры домена не указаны в списке, устраните проблему отсутствия возможности обнаружения и подключения между сервером под управлением SharePoint Server или SharePoint Foundation и контроллером домена AD DS.

  • Для проверки подлинности на основе форм проверьте следующее.

    • Правильны ли учетные данные пользователя для настроенного поставщика членства и ролей ASP.NET.

    • Доступны ли в сети системы, в которых размещен поставщик членства и ролей ASP.NET.

    • Правильно ли настраиваемые страницы входа собирают и передают учетные данные пользователя. Чтобы протестировать это, настройте веб-приложение для временного использования страницы входа по умолчанию и проверьте, будет ли это работать.

  • Для проверки подлинности на основе утверждений SAML проверьте следующее.

    • Правильны ли учетные данные пользователя для настроенного поставщика удостоверений.

    • Доступны ли в сети системы, действующие в качестве поставщика федерации (например, AD FS) и поставщика удостоверений (такие как AD DS или сторонний поставщик удостоверений).

    • Правильно ли настраиваемые страницы входа собирают и передают учетные данные пользователя. Чтобы протестировать это, настройте веб-приложение для временного использования страницы входа по умолчанию и проверьте, будет ли это работать.

Действие 4. Использование веб-инструмента отладки для наблюдения за веб-трафиком и его анализа

С помощью таких инструментов, как HttpWatch или Fiddler, можно анализировать приведенные ниже типы HTTP-трафика.

  • Между компьютером веб-клиента и сервером, на котором работает SharePoint Server или SharePoint Foundation

    Например, можно наблюдать за HTTP-сообщениями перенаправления, отправляемыми сервером, на котором работает SharePoint Server или SharePoint Foundation, чтобы информировать компьютер веб-клиента о расположении сервера федерации (такого как AD FS).

  • Между компьютером веб-клиента и сервером федерации (таким как AD FS)

    Например, можно наблюдать за HTTP-сообщениями, отправляемыми компьютером веб-клиента, и ответами сервера федерации, которые могут содержать маркеры безопасности и их утверждения.

Примечание.

Если вы применяете Fiddler, попытка проверки подлинности может завершиться сбоем после трех запросов на ввод учетных данных. Чтобы предотвратить такое поведение, см. статью Использование Fiddler с SAML и SharePoint для получения Запросы трех Запросы проверки подлинности.

Действие 5. Сбор и анализ сетевого трафика проверки подлинности

С помощью такого инструмента анализа сетевого трафика, как Microsoft Network Monitor 3.4, можно собирать и анализировать трафик между компьютером веб-клиента, сервером с SharePoint Server или SharePoint Foundation, а также системами, которые используются для проверки подлинности на основе утверждений в случае SharePoint Server или SharePoint Foundation.

Примечание.

В большинстве случаев при проверке подлинности на основе утверждений используются подключения на основе протокола HTTPS (Hypertext Transfer Protocol Secure), который шифрует сообщения, отправляемые между компьютерами. С помощью средства анализа сетевого трафика вы не можете видеть содержимое зашифрованных сообщений, не используя надстройку или расширение. Например, для сетевого монитора необходимо установить и настроить эксперт для сетевого монитора. В качестве более простой альтернативы попыткам расшифровки сообщений HTTPS используйте такое средство, как Fiddler на сервере, на котором размещается SharePoint Server или SharePoint Foundation, которое может сообщать о незашифрованных HTTP-сообщениях.

Анализ сетевого трафика может выявить следующее.

  • Точный набор протоколов и сообщений, отправляемых между компьютерами, участвующими в процессе проверки подлинности на основе утверждений. Ответные сообщения могут содержать сведения об ошибке, которые можно использовать для определения дополнительных действий по устранению неполадок.

  • Имеют ли сообщения-запросы соответствующие ответы. Несколько отправленных сообщений запроса, которые не получили ответ, могут указывать на то, что сетевой трафик не достигает своего назначения. В этом случае проверьте наличие проблем с маршрутизацией пакетов, устройства фильтрации пакетов в пути (такие как брандмауэр) и фильтрацию пакетов в месте назначения (таком, как локальный брандмауэр).

  • Использовалось ли несколько методов на основе утверждений, и которые из них завершились неудачно.

Для проверки подлинности на основе утверждений Windows можно собирать и анализировать трафик между следующими компьютерами:

  • компьютером веб-клиента и сервером, на котором работает SharePoint Server или SharePoint Foundation;

  • сервером, на котором работает SharePoint Server или SharePoint Foundation, и его контроллером домена.

Для проверки подлинности на основе форм можно собирать и анализировать трафик между следующими компьютерами:

  • компьютером веб-клиента и сервером, на котором работает SharePoint Server или SharePoint Foundation;

  • сервером, на котором работает SharePoint Server или SharePoint Foundation, и поставщиком членства и ролей ASP.NET.

Для проверки подлинности на основе утверждений SAML можно собирать и анализировать трафик между следующими компьютерами:

  • компьютером веб-клиента и сервером, на котором работает SharePoint Server или SharePoint Foundation;

  • компьютером веб-клиента и его поставщиком удостоверений (таким как контроллер домена AD DS);

  • компьютером веб-клиента и поставщиком федерации (таким как AD FS).

См. также

Другие ресурсы

Configure forms-based authentication for a claims-based web application in SharePoint Server

Configure SAML-based claims authentication with AD FS in SharePoint Server