Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

ACS-Fehlercodes

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2015

Betrifft: Azure

In diesem Thema werden die häufigsten Fehlermeldungen beschrieben, die ggf. bei der Verwendung von Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) auftreten können. Außerdem werden die Aktionen aufgeführt, die zum Beheben des Fehlers erforderlich sind. Weitere Informationen zum Bereitstellen benutzerdefinierter Fehlerbehandlung basierend auf den Fehlercodes finden Sie unter Vorgehensweise: Verwenden einer Fehler-URL für die benutzerdefinierte Fehlerbehandlung.

ImportantWichtig
ACS-Namespaces können ihre Google-Identitätsanbieterkonfigurationen von OpenID 2.0 zu OpenID Connect migrieren. Die Migration muss vor dem 1. Juni 2015 abgeschlossen sein. Ausführliche Anleitungen finden Sie unter Migrieren von ACS-Namespaces zu Google OpenID Connect.

ImportantWichtig
Verwenden Sie in der Anwendungslogik keine ACS-Fehlercodes oder -Beschreibungen. Verwenden Sie beim Schreiben von Code für die Fehlerbehandlung die Werte von HTTP-Status- und -Fehlercodes. ACS-Fehlercodes und -Fehlerbeschreibungen können sich jederzeit ohne Vorankündigung ändern. Weitere Informationen finden Sie unter ACS-Wiederholungsrichtlinien und ACS-Diensteinschränkungen.

 

ACS-Fehler HTTP-Statuscode Message Problembehandlung

ACS10000

400

Fehler beim Verarbeiten der SOAP-Nachricht.

Details finden Sie in der Nachricht.

ACS10001

400

Fehler beim Verarbeiten des SOAP-Headers.

Details finden Sie in der Nachricht.

ACS10002

400

Fehler beim Verarbeiten des SOAP-Nachrichtentexts.

Details finden Sie in der Nachricht.

ACS10003

400

Fehler beim Verarbeiten des Sicherheitsheaders.

Details finden Sie in der Nachricht.

Die Fehler in diesem Abschnitt beziehen sich auf das WS-Verbundprotokoll und WS-Verbundmetadaten.

Verwenden Sie FedUtil oder das Tool Identität und Zugriff in Visual Studio 2012, um eine gültige Datei WS-FederationMetadata.xml zu generieren. Das ACS-Verwaltungsportal generiert ebenfalls ein WS-Verbundmetadatendokument für jeden Namespace für die Zugriffssteuerung. Klicken Sie im ACS-Verwaltungsportal auf Anwendungsintegration, um es anzuzeigen.

Verwenden Sie zum Anpassen der WS-Verbundmetadaten die Klassen im Namespace Microsoft.IdentityModel.Protocols.WSFederation.Metadata.

Die OASIS XML-Standardschemaspezifikation für WS-Verbundmetadaten finden Sie in Abschnitt 3 des Standards Web Services Federation Language (WS-Federation) Version 1.2 unter http://docs.oasis-open.org/wsfed/federation/v1.2/os/ws-federation-1.2-spec-os.html#_Toc223174942.

Weitere Informationen zu bestimmten Fehlern und ihrer Behandlung finden Sie in den Einträgen in dieser Tabelle.

 

Fehler HTTP-Statuscode Message Problembehandlung

ACS20000

400

Fehler beim Verarbeiten einer Anmeldeanforderung des WS-Verbunds.

Details finden Sie in der Nachricht.

ACS20001

400

Fehler beim Verarbeiten einer Anmeldeantwort des WS-Verbunds.

Details finden Sie in der Nachricht.

ACS20002

400

Fehler beim Versuch, Verbundmetadaten zu generieren.

Weitere Details finden Sie ggf. in der Nachricht. Vergewissern Sie sich, dass ein primäres Tokensignaturzertifikat in Ihrem Namespace für die Zugriffssteuerung vorhanden ist.

ACS20003

400

Fehler beim Versuch, Verbundmetadaten zu importieren.

Weitere Details finden Sie ggf. in der Nachricht. Stellen Sie sicher, dass die Metadaten-URL oder die Metadatendatei gültig ist.

ACS20004

Die Entität kann nicht aus den Metadaten abgerufen werden.

Stellen Sie sicher, dass die Metadatendatei eine Entitäts-ID enthält.

ACS20005

Mehrere Metadatenentitäten werden nicht unterstützt.

Stellen Sie sicher, dass die Verbundmetadaten genau eine Entität enthalten.

ACS20006

Es wurden keine Beschreibungen des Sicherheitstokendiensts gefunden.

Stellen Sie sicher, dass die Verbundmetadaten genau eine Beschreibung des Sicherheitstokendiensts enthalten.

ACS20007

Mehrere Beschreibungen des Sicherheitstokendiensts werden nicht unterstützt.

Stellen Sie sicher, dass die Verbundmetadaten genau eine Beschreibung des Sicherheitstokendiensts enthalten.

ACS20008

400

Nur Identitätsanbieter, die den WS-Verbund unterstützen, können importiert werden.
oder
Nur vertrauende Seiten, die den WS-Verbund unterstützen, können importiert werden.

Stellen Sie sicher, dass die Verbundmetadaten einen RoleDescriptor vom Typ fed:SecurityTokenServiceType enthalten.

ACS20009

400

Fehler beim Lesen des Metadatendokuments des WS-Verbunds.

ACS konnte das bereitgestellte Metadatendokument nicht analysieren. Möglicherweise ist es ungültig. Sie können das Dokument überprüfen, indem Sie es Microsoft.IdentityModel.Protocols.WSFederation.Metadata.MetadataSerializer.ReadMetadata() durchlaufen lassen.

ACS20010

Es wurden keine Beschreibungen des Anwendungsdiensts gefunden.

Stellen Sie sicher, dass die Metadatendatei eine Beschreibung des Anwendungsdiensts enthält.

ACS20011

Mehrere Beschreibungen des Anwendungsdiensts werden nicht unterstützt.

Stellen Sie sicher, dass die Metadatendatei nur eine Beschreibung des Anwendungsdiensts enthält.

ACS20012

400

Die eingehende Anforderung ist keine gültige WS-Verbundanforderung.

Stellen Sie sicher, dass die Anforderung eine gültige Anmeldeanforderung des WS-Verbunds oder eine Anmeldeantwort ist und dass sie alle erforderlichen Parameter enthält.

ACS20014

400

Das WS-Verbundmetadatendokument ist kein wohlgeformtes XML.

Dieser Fehler tritt auf, wenn das XML im WS-Verbundmetadatendokument syntaktisch nicht richtig ist. Beispiel: Das Dokument weist zusätzliche oder fehlende Klammern oder Tags auf. Er tritt häufig dann auf, wenn Sie versuchen, ein Dokument WS-FederationMetadata.xml manuell zu erstellen oder zu bearbeiten. Dieser Fehler bezieht sich nicht auf Kompatibilität mit dem XML-Metadatenschema.

Verwenden Sie zum Beheben dieses Fehlers ein XML-Überprüfungstool, z. B. die Tools in Visual Studio oder XML Notepad 2007.

 

Fehler HTTP-Statuscode Message Problembehandlung

ACS30000

400

Fehler beim Verarbeiten einer OpenID-Anmeldeantwort.

Details finden Sie in der Nachricht.

ACS30001

400

Die OpenID-Antwortsignatur kann nicht überprüft werden.

Die OpenID-Signatur war ungültig oder wurde vom Identitätsanbieter zurückgewiesen. Stellen Sie sicher, dass die Nachricht nicht manipuliert wurde.

 

Fehler HTTP-Statuscode Message Problembehandlung

ACS40000

400

Fehler beim Verarbeiten einer Facebook-Anmeldeantwort. Die Ursache ist ggf. eine ungültige Konfiguration der Facebook-Anwendung.

Stellen Sie sicher, dass die für ACS konfigurierte Anwendungs-ID und das Geheimnis mit den Werten im Facebook-Entwicklerportal übereinstimmen.

ACS40001

400

Fehler bei dem Versuch, ein Zugriffstoken von Facebook abzurufen.

Stellen Sie sicher, dass die Anwendungs-ID und der geheime Schlüssel der Anwendung, die über ACS konfiguriert wurden, gültig sind.

 

Fehler HTP-Statuscode Message Problembehandlung

ACS50000

Fehler beim Ausstellen eines Tokens.

Details finden Sie in der Nachricht.

ACS50001

400

Der angeforderte Bereich <Bereichs-URL> der vertrauenden Seite ist unbekannt.

Konflikt zwischen dem in der Tokenanforderung angegebenen Wert "AppliesTo" und den in ACS konfigurierten Bereichen. Überprüfen Sie Folgendes: 1. Für die vertrauende Seite ist ein Bereich ordnungsgemäß konfiguriert. Dies kann mithilfe des Verwaltungsportals, des Verwaltungsdiensts oder durch Untersuchen der Einträge "RelyingParty.RelyingPartyAddresses entries.2" ausgeführt werden. Die vertrauende Seite wurde Ihrem Identitätsanbieter zugeordnet. Dies kann mithilfe des Verwaltungsportals, des Verwaltungsdiensts oder durch Untersuchen der Einträge RelyingPartyIdentityProviders ausgeführt werden.

ACS50002

400

Ungültige Dienstkonfiguration. (Details finden Sie in der Meldung.)

Details finden Sie in der Nachricht.

ACS50003

400

Es ist kein primärer symmetrischer Signaturschlüssel konfiguriert. Für SWT ist ein symmetrischer Signaturschlüssel erforderlich.

Wenn die ausgewählte vertrauende Seite SWT als Tokentyp verwendet, vergewissern Sie sich, dass ein symmetrischer Schlüssel für die vertrauende Seite oder den Namespace für die Zugriffssteuerung konfiguriert ist und dass der Schlüssel als primär festgelegt ist und sich in seinem Gültigkeitszeitraum befindet.

ACS50004

400

Es ist kein primäres X.509-Signaturzertifikat konfiguriert. Für SAML ist ein Signaturzertifikat erforderlich.

Wenn die ausgewählte vertrauende Seite SAML als Tokentyp verwendet, stellen Sie sicher, dass ein gültiges X.509-Signaturzertifikat für die vertrauende Seite oder den Namespace für die Zugriffssteuerung konfiguriert ist. Das Zertifikat muss als primär festgelegt sein und sich in seinem Gültigkeitszeitraum befinden.

ACS50005

400

Tokenverschlüsselung ist erforderlich, für die vertrauende Seite ist jedoch kein Verschlüsselungszertifikat konfiguriert.

Deaktivieren Sie die Tokenverschlüsselung für die vertrauende Seite, oder laden Sie ein X.509-Zertifikat hoch, das für die Tokenverschlüsselung verwendet wird.

ACS50006

403

Fehler bei der Signaturüberprüfung. (Weitere Details finden Sie ggf. in der Nachricht.)

Stellen Sie sicher, dass die Überprüfungsschlüssel, die über ACS konfiguriert wurden, gültig sind.

ACS50007

400

Die Signatur wurde nicht gefunden.

Stellen Sie sicher, dass das eingehende Token signiert und gültig ist.

ACS50008

401

Das SAML-Token ist ungültig. (Weitere Details finden Sie ggf. in der Nachricht.)

Weitere Informationen finden Sie unter Beheben von Fehler ACS50008.

ACS50009

401

Das SWT-Token ist ungültig. (Weitere Details finden Sie ggf. in der Nachricht.)

Details finden Sie in der Nachricht.

ACS50010

403

Fehler bei der Überprüfung des Zielgruppen-URIs. (Weitere Details finden Sie ggf. in der Nachricht.)

Stellen Sie sicher, dass die Zielgruppe des eingehenden Tokens auf https://yournamespace.accesscontrol.windows.net festgelegt ist.

ACS50011

400

Die ReplyTo-Adresse fehlt oder stimmt nicht mit dem Bereich überein.

Damit mit dem WS-Verbund gearbeitet werden kann, muss für eine vertrauende Seite mindestens eine ReplyTo-Adresse konfiguriert sein.
Dies kann im ACS-Verwaltungsportal mithilfe des Felds Rückgabe-URL konfiguriert werden.
Wenn die eingehende Nachricht eine ReplyTo-Adresse angibt, stellen Sie sicher, dass diese mit einem konfigurierten Wert ReplyTo übereinstimmt oder das Suffix eines solchen Werts ist (für den konfigurierten Wert ReplyTohttp://example.com/path1/ ist http://example.com/path1/index.aspx z. B. eine gültige angeforderte Adresse ReplyTo, http://example.com/path2/index.aspx hingegen nicht).

ACS50012

401

Authentifizierungsfehler (Weitere Details finden Sie ggf. in der Nachricht.)

Wenn eine mehrinstanzenfähige Anwendung versucht, ein Token für den Zugriff auf die Graph-API für einen Azure AD-Mandanten abzurufen, der der Anwendung vor Kurzem zugestimmt hat, tritt ggf. ein vorübergehender Fehler ACS50012 für die Tokenanforderung auf. Um das Problem beheben, warten Sie einige Minuten und wiederholen dann den Vorgang. Oder bitten Sie den Mandantenadministrator, der die Zustimmung erteilt hat, sich anschließend bei der Anwendung anzumelden.

ACS50013

400

Die Anzahl der Segmente im URI-Wert ist größer als die maximal zulässige Anzahl von Pfadsegmenten.

Stellen Sie sicher, dass die Anzahl der Segmente im URI-Wert kleiner oder gleich 32 ist.

ACS50014

400

Selbstbestätigte Ansprüche sind für Dienst- und Verwaltungsidentitäten unzulässig.

Stellen Sie sicher, dass das Authentifizierungstoken Ihrer Dienstidentität keine Ansprüche oder nur den Namensbezeichneranspruch enthält.

ACS50015

400

Fehler beim Versuch, Identitätsanbietermetadaten abzurufen.

Weitere Details finden Sie ggf. in der Nachricht. Stellen Sie sicher, dass die Metadaten-URL oder -datei gültig ist.

ACS50016

400

Das X509Certificate mit dem Antragsteller <Zertifikatantragstellername> und dem Fingerabdruck <Zertifikatfingerabdruck> stimmt mit keinem konfigurierten Zertifikat überein.

Stellen Sie sicher, dass das angeforderte Zertifikat in ACS hochgeladen wurde.

ACS50017

401

Fehler bei der Überprüfung des Zertifikats mit dem Antragsteller <Zertifikatantragstellername> und dem Aussteller <Ausstellername>.

Stellen Sie sicher, dass das Zertifikat selbstsignierend oder mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet ist. Das Zertifikat darf außerdem nicht gesperrt sein und muss in seinem Gültigkeitszeitraum liegen. Weitere Informationen finden Sie unter Beheben von Fehler ACS50017.

ACS50018

400

Fehlender Bereich. Der Name der vertrauenden Seite wurde nicht angegeben.

Stellen Sie sicher, dass die Anforderung einen Bereich enthält.

ACS50019

401

Die Anmeldung wurde vom Benutzer abgebrochen.

ACS50020

401

Der Benutzer ist nicht autorisiert.

ACS50022

400

Der Wert <Funktionsname> des Rückrufparameters ist kein gültiger JavaScript-Funktionsname.

Stellen Sie sicher, dass der angegebene Rückrufparameter der Name einer gültigen JavaScript-Funktion ist. Gültige JavaScript-Funktionsnamen enthalten nur Buchstaben, Ziffern und die Zeichen "$" und "_" und dürfen nicht mit einer Ziffer beginnen. Unicode-Zeichen in Funktionsnamen werden nicht unterstützt.

ACS50026

Der Prinzipal mit dem Namen Name ist kein gültiger Prinzipal.

Dieser Fehler gibt an, dass ein Versuch, eine Entität anhand des angegebenen Namens zu einem Fehler geführt hat, weil die Entität ACS nicht bekannt ist. Diese Entität kann abhängig vom jeweiligen Szenario eine Dienstidentität, eine Anwendung der vertrauenden Seite oder ein Identitätsanbieter sein.

Stellen Sie sicher, dass diesen Entität in Ihrem Namespace für die Zugriffssteuerung vorhanden ist.

ACS50042

401

Der Saltwert, der zum Generieren eines paarweisen Bezeichners erforderlich ist, fehlt. Wenn diese Anwendung vor Kurzem registriert wurde, warten Sie einige Minuten, bevor Sie einen Wiederholungsversuch vornehmen.

Wenn Sie sofort nach dem Hinzufügen einer Anwendung zu Azure AD versuchen, sich bei dieser anzumelden, tritt ggf. ein Fehler des Anmeldeversuchs auf, bis die paarweisen Schlüssel synchronisiert wurden. Warten Sie einige Minuten, und versuchen Sie dann erneut, sich anzumelden. Weitere Informationen finden Sie unter ACS-Wiederholungsrichtlinien.

 

Fehler HTTP-Statuscode Message Problembehandlung

ACS

60000

403

Fehler des Richtlinienmoduls.

Details finden Sie in der Nachricht.

ACS60001

Während der Regelverarbeitung wurden keine Ausgabeansprüche generiert.

Die der ausgewählten vertrauenden Seite zugeordneten Regelgruppen weisen keine Regeln auf, die für die von Ihrem Identitätsanbieter generierten Ansprüche gelten. Konfigurieren Sie einige Regeln in einer Regelgruppe, die Ihrer vertrauenden Seite zugeordnet ist, oder generieren Sie Pass-Through-Regeln mithilfe des Regelgruppen-Editors.

ACS60002

403

Das Kontingent für die Anzahl der Tokenanforderungen wurde erreicht, und es können keine weiteren Token angefordert werden.

ACS60003

403

Eine schreibgeschützte Eigenschaft kann nicht geändert werden.

Bestimmte integrierte ACS-Objekte können nicht geändert oder gelöscht werden.

ACS60004

409

Versionskonflikt

Ein Versionskonfliktfehler kann auftreten, wenn versucht wird, den Namen einer vertrauenden Seite, eines Identitätsanbieters, einer Dienstidentität oder eines Ausstellers so zu aktualisieren, dass er mit dem Namen einer anderen vertrauenden Seite, eines Identitätsanbieters, einer Dienstidentität oder eines Ausstellers identisch ist. Wählen Sie einen anderen eindeutigen Namen aus, um dieses Problem zu beheben.

ACS60005

400

Versuch des Hinzufügens eines untergeordneten Objekts mit einem ungültigen oder fehlenden übergeordneten Objekt.

Stellen Sie für untergeordnete Objekte (z. B. Adressen) sicher, dass das übergeordnete Objekt oder die Objekt-ID gültig ist und den richtigen Typ besitzt.

ACS60006

400

Versuch, eine neue Kopie eines Objekts einzufügen, das bereits in der Datenbank vorhanden ist.

Das Objekt, das Sie einfügen möchten, verletzt eine Eindeutigkeitseinschränkung. Stellen Sie sicher, dass die Eigenschaften des Objekts (z. B. der Name und die Adresse) eindeutig sind, wenn dies erforderlich ist.

ACS60007

400

Ungültiges X.509-Zertifikat.

Stellen Sie sicher, dass die angegebenen Bytes ein gültiges X.509-Zertifikat darstellen.

ACS60008

Für diesen <Objekttyp> konnte kein eindeutiger Name gefunden werden.

ACS60012

Die Anzahl der Eingabeansprüche (Nr.) überschreitet den Grenzwert von (80).

Das eingehende Token darf höchstens 80 Ansprüche besitzen, damit ACS diese verarbeiten und dann erfolgreich ein ausgehendes Token ausstellen kann.

ACS60021

503

Der Dienst ist nicht verfügbar.

Die Tokenanforderung wird zurückgewiesen, weil die ACS-Datenserver durch Antworten auf Tokenanforderungen von allen Namespaces ausgelastet sind. Warten Sie einige Minuten, und wiederholen Sie die Anforderungen dann in längeren Zeitintervallen. Weitere Informationen finden Sie unter ACS-Wiederholungsrichtlinien.

 

Fehler HTTP-Statuscode Message Zum Beheben des Fehlers erforderliche Aktion

ACS70000

401

Die bereitgestellte Zugriffsberechtigung ist ungültig, abgelaufen oder gesperrt.

Details finden Sie in der Nachricht.

ACS70001

401

Der Client ist nicht autorisiert.

ACS70002

401

Ungültiger Client.

ACS70003

401

Die eingeschlossene Zugriffsberechtigung wird vom Autorisierungsserver nicht unterstützt.

 

Fehler HTTP-Fehlercode Message Zum Beheben des Fehlers erforderliche Aktion

ACS80001

404

Diese Regel ist für die Verwendung eines Anspruchsausstellertyps konfiguriert, der vom Verwaltungsportal nicht unterstützt wird. Verwenden Sie den Verwaltungsdienst, um diese Regel anzuzeigen und zu bearbeiten.

Dieser Fehler tritt auf, wenn eine Regel für die Verwendung eines Ausstellers, der kein Identitätsanbieter ist, oder für die Verwendung des Access Control Service-Ausstellers "LOCAL AUTHORITY" konfiguriert ist. Ausführliche Anweisungen zum Verwenden des ACS-Verwaltungsdiensts finden Sie unter ACS-Verwaltungsdienst.

 

Fehler HTTP-Fehlercode Message Problembehandlung

ACS90002

404

Der Name des Dienstnamespaces in der URL ist ungültig.

Vergewissern Sie sich, dass der angeforderte Namespace für die Zugriffssteuerung vorhanden ist.

ACS90004

400

Die Anforderung ist nicht ordnungsgemäß formatiert.

ACS90005

502

Externer Serverfehler. (Weitere Details finden Sie ggf. in der Meldung.)

Fehler während der Kommunikation mit einem externen Server, z. B. einem Identitätsanbieter.

ACS90006

504

Timeout des externen Servers.

Kommunikationstimeout während der Kommunikation mit einem externen Server, z. B. mit einem Identitätsanbieter.

ACS90007

405

Die Anforderungsmethode ist unzulässig.

Stellen Sie sicher, dass die HTTP-Methode (z. B. GET und POST) vom betreffenden Endpunkt unterstützt wird.

ACS90008

403

Der Mandant ist deaktiviert.

Stellen Sie sicher, dass der Namespace für die Zugriffssteuerung aktiv ist.

ACS90009

404

Es wurde kein <Objekt> für die angegebene ID gefunden.

Details finden Sie in der Nachricht.

ACS90010

400

Nicht unterstützt. (Weitere Details finden Sie ggf. in der Meldung.)

Details finden Sie in der Nachricht.

ACS90011

400

Ungültige Anforderung. (Weitere Details finden Sie ggf. in der Meldung.)

Details finden Sie in der Nachricht.

ACS90012

408

Timeout der Anforderung an den Server.

Details finden Sie in der Nachricht.

ACS90013

400

Ungültige Benutzereingabe. (Weitere Details finden Sie ggf. in der Meldung.)

Details finden Sie in der Nachricht.

ACS90014

400

Das Pflichtfeld "<Feld>" fehlt.

Stellen Sie sicher, dass Ihre Anforderung an ACS alle Parameter enthält, die für das Protokoll erforderlich sind, das Sie verwenden.

ACS90015

403

Nicht autorisiert: Dienstschlüssel sind für diesen Mandanten eingeschränkt.

ACS zeigt keine Schlüssel an, die zu den Namespaces ServiceBus und Cache gehören. Verwenden Sie das ServiceBus- oder Cache-Portal, um diese Schlüssel anzuzeigen.

ACS90016

400

'Die Bitzahl <Schlüsselgröße>' ist eine ungültige Schlüsselgröße. Die Schlüsselgröße muss größer als 0 und ein Vielfaches von 8 sein.

ACS90046

503

Der Dienst ist nicht verfügbar.

Die Tokenanforderung wird zurückgewiesen, weil ACS durch Antworten auf Tokenanforderungen von allen Namespaces ausgelastet ist. Warten Sie einige Minuten, und wiederholen Sie die Anforderungen dann in längeren Zeitintervallen. Weitere Informationen finden Sie unter ACS-Wiederholungsrichtlinien.

ACS90055

429

Zu viele Anforderungen.

Die Tokenanforderung wird zurückgewiesen, weil dieser Namespace die maximal zulässige Tokenanforderungsrate von 30 Token pro Sekunde für einen längeren Zeitraum überschritten hat. Warten Sie einige Minuten, und wiederholen Sie die Anforderungen dann in längeren Zeitintervallen. Wenn der Fehler erneut auftritt, sollten Sie in Betracht ziehen, die Arbeitslast auf mehrere Namespaces umzuverteilen. Weitere Informationen finden Sie unter ACS-Diensteinschränkungen.

Anzeigen: