Federované uživatele opakovaně vyzván k zadání pověření při přihlášení do služeb Office 365, Windows Azure nebo aplikace Windows Intune

Překlady článku Překlady článku
ID článku: 2461628 - Produkty, které se vztahují k tomuto článku.
Důležité Tento článek obsahuje informace, jak snížit zabezpečení počítače nebo vypnout funkce zabezpečení v počítači. Těmito změnami lze vyřešit konkrétní problém. Před provedením těchto změn doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto řešení v konkrétním prostředí. Pokud se rozhodnete řešení implementovat, přijměte veškerá dodatečná opatření k ochraně počítače.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

PROBLÉM

Federované uživatele opakovaně vyzván k zadání pověření při pokusu uživatele o ověření pro koncový bod služby Active Directory Federation Services (AD FS) při přihlášení k Microsoft služba cloud služeb Office 365, Windows Azure nebo aplikace Windows Intune. Pokud uživatel zruší, zobrazí se uživateli následující chybová zpráva:
Přístup byl odepřen

PŘÍČINA

Příznak označuje problém s integrované ověřování systému Windows se službou AD FS. Tomuto problému může dojít, pokud platí jedna nebo více z následujících podmínek:
  • Použil jste nesprávné uživatelské jméno nebo heslo.
  • Internetová informační služba (IIS) ověření nastavení nesprávně ve službě AD FS.
  • Hlavní název služby (SPN) přidružený účet služby, který se používá ke spuštění farmy federačních serverů služby AD FS, dojde ke ztrátě nebo poškození.

    Poznámka: Tím dochází pouze v případě, že služba AD FS je implementován jako farma federačních serverů a v samostatné konfiguraci není implementována.
  • Jeden nebo více z následujících jsou označeny Rozšířená ochrana pro ověřování jako zdroj útoku man-in-the-middle:
    • Některé prohlížeče Internetu jiných výrobců
    • Firewall podnikové sítě, služba Vyrovnávání zatížení sítě nebo jiné síťové zařízení je služba AD FS Federation publikování na Internetu tak, aby data datová část protokolu IP může potenciálně být přepsána. To případně zahrnuje následující typy dat:
      • Protokol SSL (Secure Sockets Layer) přemostění SSL)
      • Snižování zátěže protokolu SSL
      • Filtrování paketů

        Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
        2510193Podporované scénáře pro použití služby AD FS k nastavení jednotného přihlášení do služeb Office 365, Windows Azure nebo aplikace Windows Intune
    • Sledování nebo aplikace dešifrování SSL je nainstalován nebo je aktivní v klientském počítači
  • Pomocí vyhledání záznamu CNAME místo až vyhledávání záznamů A byl proveden překlad domén systému DNS (Name) koncového bodu služby AD FS.
  • Aplikace Windows Internet Explorer není nakonfigurována pro předání integrované ověřování systému Windows na serveru služby AD FS.

Před zahájením řešení potíží

Zkontrolujte, že uživatelské jméno a heslo nejsou příčinou problémů.
  • Ujistěte se, že správné uživatelské jméno se používá a je ve formátu uživatelského jména (UPN). Například johnsmith@contoso.com.
  • Ujistěte se, že se používá správné heslo. Znovu zkontrolovat, zda se používá správné heslo, je třeba obnovit heslo uživatele. Další informace naleznete v následujícím článku Microsoft TechNet:
    Resetování hesla uživatele
  • Ujistěte se, že účet není uzamčen, vypršela nebo použita mimo určený přihlašovací hodiny. Další informace naleznete v následujícím článku Microsoft TechNet:
    Správa uživatelů

Zjistit příčinu

Zkontrolujte, že Kerberos problémy způsobují potíže, dočasně obejít ověřování pomocí protokolu Kerberos povolením ověřování na základě formulářů na farmě federačních serverů služby AD FS. Postupujte následujícím způsobem

Krok 1: Upravte soubor web.config na každém serveru v serverové farmě federace služby AD FS
  1. V Průzkumníkovi Windows vyhledejte složku C:\inetpub\adfs\ls\ a potom vytvořit záložní kopii souboru web.config.
  2. Klepněte na tlačítko Start, klepněte na příkaz Všechny programy, klepněte na položku Příslušenství, klepněte pravým tlačítkem myši Poznámkový bloka potom klepněte na příkaz Spustit jako správce.
  3. Na souboru nabídky, klepněte na tlačítko Otevřít. V název souboru zadejteC:\inetpub\adfs\ls\web.configa potom klepněte na tlačítko Otevřít.
  4. V souboru web.config postupujte takto:
    1. Vyhledejte řádek, který obsahuje <authentication mode=""> </authentication>a pak změňte ho na <authentication mode="Forms"> </authentication>.
    2. Vyhledejte část začínající <localAuthenticationTypes> </localAuthenticationTypes>a potom v části změnit tak, aby <add name="Forms"></add> položka je uvedena první, takto:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Na souboru nabídky, klepněte na tlačítko Uložit.
  6. Na příkazovém řádku se zvýšenými oprávněními restartování služby IIS pomocí příkazu iisreset .
Krok 2: Funkce testovací AD FS
  1. V klientském počítači, který se připojil ale ověření místním prostředí služba AD DS, přihlášení na portál service cloudu.

    Namísto ověřování bezproblémový zkušenosti založené na formulářích přihlásit by mělo dojít. Přihlášení pomocí ověřování založeném na formulářích je úspěšný, potvrdíte, že existuje problém s protokolem Kerberos ve službě AD FS Federation Service.
  2. Obnoví konfiguraci jednotlivých serverů v serverové farmě federace služby AD FS na předchozí nastavení ověřování před provedením kroků v části "Řešení". Chcete-li vrátit konfiguraci jednotlivých serverů v serverové farmě federace služby AD FS, postupujte takto:
    1. V Průzkumníkovi Windows vyhledejte složku C:\inetpub\adfs\ls\ a potom odstraňte soubor web.config.
    2. Přesuňte zálohy vytvořené v souboru web.config "krok 1: Upravte soubor web.config na každém serveru v serverové farmě služby AD FS federation" oddíl do složky C:\inetpub\adfs\ls\.
  3. Na příkazovém řádku se zvýšenými oprávněními restartování služby IIS pomocí příkazu iisreset .
  4. Zkontrolujte, zda chování ověřování služby AD FS, které se vrátí do původního problému.

ŘEŠENÍ

Chcete-li vyřešit problém pomocí protokolu Kerberos, který omezuje ověřování službou AD FS, použijte jednu nebo více z následujících metod v závislosti situaci.

Řešení 1: Nastavení ověřování služby AD FS pro obnovení na výchozí hodnoty

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Pokud nastavení ověřování AD FS IIS jsou nesprávné, nebo neodpovídají nastavení ověřování služby IIS, služba AD FS Federation Services a serveru Proxy služby, je jedním z řešení Chcete-li obnovit všechna nastavení ověřování služby IIS k nastavení služby AD FS.

V následující tabulce jsou uvedeny výchozí nastavení ověřování.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Virtuální aplikaceOvěření úrovně
Výchozí webový server/adfsAnonymní ověřování
Výchozí webový server/adfs/lsAnonymní ověřování
Ověřování systému Windows
Na každý federační server AD FS a každý proxy federačního serveru služby AD FS obnovit virtuální aplikace služby AD FS IIS výchozí nastavení ověřování použijte informace v následujícím článku Microsoft TechNet:
Konfigurace ověřování ve službě IIS 7
Další informace o řešení této chyby naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
907273 Odstraňování potíží s chybami HTTP 401 ve službě IIS

871179 Obdržíte "Chyba protokolu HTTP 401.1 – Neautorizováno: přístup byl odepřen z důvodu neplatných pověření" chybová zpráva při pokusu o přístup k webu, který je součástí fondu aplikací služby IIS 6.0

Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

Řešení 2: Opravte farmy federačních serverů služby AD FS SPN

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Poznámka: Toto řešení použijte pouze v případě, že služba AD FS je implementován jako farma federačních serverů. Nepokoušejte toto řešení v samostatné konfiguraci služby AD FS.

Chcete-li tento problém vyřešit, pokud je hlavní název služby pro službu AD FS ztrátě nebo poškození v účtu služby AD FS, postupujte takto na jednom serveru ve farmě federačních serverů služby AD FS:
  1. Otevřete modul snap-in Řízení služby. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, klepněte na položku Nástroje pro správua potom klepněte na položku služby.
  2. Poklepejte na položku Služba AD FS (2.0) systému Windows.
  3. Na protokolu na karta, Poznámka: účet služby, který je zobrazen v poli Tento účet.
  4. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, klepněte na položku Příslušenství, klepněte pravým tlačítkem myši Příkazový řádeka potom klepněte na příkaz Spustit jako správce.
  5. Zadejte příkaz SetSPN –f –q hostitele /<AD fs="" service="" name=""></AD>, a stiskněte klávesu Enter.

    Poznámka: V tomto příkazu <AD fs="" service="" name=""></AD> představuje název služby úplný doménový název (FQDN) koncového bodu služby AD FS. Nepředstavuje název hostitele serveru služby AD FS systému Windows.
    • Pokud příkaz vrátí více než jednu položku a výsledek je spojena s uživatelským účtem, než bylo uvedeno v kroku 3, odeberte tohoto sdružení. Chcete-li to provést, spusťte následující příkaz:
      SetSPN –d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Pokud příkaz vrátí více než jednu položku a SPN používá stejný název jako název počítače serveru služby AD FS v systému Windows, federace název koncového bodu služby AD FS je nesprávná. Služba AD FS má provádět znovu. Úplný název farmy federačních serverů služby AD FS se nesmí shodovat s hostitelský název existujícího serveru systému Windows.
    • Pokud název SPN již neexistuje, spusťte následující příkaz:
      SetSPN –a host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Poznámka: V tomto příkazu <username of="" service="" account=""></username> představuje uživatelské jméno, které bylo uvedeno v kroku 3.
  6. Poté, co jsou tyto kroky provedeny na všech serverech v serverové farmě federace služby AD FS, klepněte pravým tlačítkem myši Služba systému Windows služby AD FS (2.0) v modulu snap-in Řízení služby a potom klepněte na tlačítko Restartovat.
Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

Řešení 3: Vyřešit Rozšířená ochrana pro ověřování týká

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Chcete-li tento problém vyřešit, pokud Rozšířená ochrana pro ověřování brání úspěšnému ověření, použijte jednu z následujících doporučených metod:
  • Metoda 1: použití aplikace Windows Internet Explorer 8 (nebo novější verze programu) pro přihlášení.
  • Metoda 2: publikování služby AD FS k Internetu tak, že není přepsat přemostění SSL, přesměrování zpracování protokolu SSL nebo filtrování paketů IP dat ESP. Doporučení nejlepších postupů k tomuto účelu je použití Proxy serveru služby AD FS.
  • Metoda 3: zavřít nebo zakázat sledování nebo dešifrování SSL aplikace.
Pokud nelze použít některou z těchto metod, chcete-li tento problém vyřešit, je možné zakázat Rozšířená ochrana pro ověřování pro pasivní a aktivní klienty.

Řešení: Zakázat Rozšířená ochrana pro ověřování

Upozornění:Nedoporučujeme používat tento postup jako dlouhodobé řešení. Zakázání Rozšířená ochrana pro ověřování oslabí profil zabezpečení služby AD FS není po zjištění některých man-in-the-middle útoky na integrované ověřování systému Windows koncové body.

Poznámka: Při použití tohoto zástupného řešení pro funkce aplikací jiných výrobců, byste měli také odinstalovat opravy hotfix v operačním systému klienta pro rozšířená ochrana pro ověřování. Další informace o opravách hotfix naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
968389 Rozšířená ochrana pro ověřování
Pro pasivní klienty
Rozšířená ochrana pro ověřování pro pasivní klienty zakázat, proveďte následující kroky pro následující virtuální aplikace služby IIS na všech serverech v serverové farmě federace služby AD FS:
  • Výchozí webový server/adfs
  • Výchozí webový server/adfs/ls
Postupujte následujícím způsobem
  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření modulu Správce služby IIS naleznete v tématu Spusťte Správce Internetové informační služby (IIS 7).
  2. V zobrazení funkce poklepejte na položku ověřování.
  3. Na stránce ověřování vyberte Ověřování systému Windows.
  4. V podokně Akce klepněte na tlačítko Upřesnit nastavení.
  5. Pokud se zobrazí dialogové okno Upřesnit nastavení , vyberte možnost vypnoutzRozšířená ochrana rozevírací nabídky.
Pro aktivní klienty.
Chcete-li zakázat rozšířené ochrany pro ověřování klientů aktivní, pomocí následujícího postupu na primárním serveru služby AD FS:
  1. Spusťte prostředí Windows PowerShell.
  2. Spusťte následující příkaz k načtení prostředí Windows PowerShell pro modul snap-in služby AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Spusťte následující příkaz pro zakázání Rozšířená ochrana pro ověřování:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Znovu povolit Rozšířená ochrana pro ověřování

Pro pasivní klienty
Rozšířená ochrana pro ověřování pro pasivní klienty znovu povolit, proveďte následující kroky pro následující virtuální aplikace služby IIS na všech serverech v serverové farmě federace služby AD FS:
  • Výchozí webový server/adfs
  • Výchozí webový server/adfs/ls
Postupujte následujícím způsobem
  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření modulu Správce služby IIS naleznete v tématu Spusťte Správce Internetové informační služby (IIS 7).
  2. V zobrazení funkce poklepejte na položku ověřování.
  3. Na stránce ověřování vyberte Ověřování systému Windows.
  4. V podokně Akce klepněte na tlačítko Upřesnit nastavení.
  5. Pokud se zobrazí dialogové okno Upřesnit nastavení , vyberte z rozevírací nabídky Rozšířené ochrany přijmout.
Pro aktivní klienty.
Rozšířená ochrana pro ověřování pro aktivní klienty znovu povolit, proveďte následující kroky na primárním serveru služby AD FS:
  1. Spusťte prostředí Windows PowerShell.
  2. Spusťte následující příkaz k načtení prostředí Windows PowerShell pro modul snap-in služby AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Spusťte následující příkaz Povolit Rozšířená ochrana pro ověřování:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

Řešení 4: Nahradit záznamy CNAME záznamy služby AD FS

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Použití nástroje pro správu služby DNS nahradit každý záznam DNS aliasu (CNAME), který se používá pro službu federation service s DNS záznam adresy (A). Také zkontrolujte nebo při provádění split-brain konfigurace služby DNS, zvažte nastavení DNS organizace. Další informace o správě záznamů DNS naleznete na následujícím webu Microsoft TechNet:
Správa DNS záznamů
Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

Řešení 5: Nastavení aplikace Internet Explorer jako klient služby AD FS pro jednotné přihlášování (SSO)

Zmenšit tento obrázekZvětšit tento obrázek
assets folding start collapsed
Další informace o tom, jak nastavit aplikaci Internet Explorer pro přístup služby AD FS naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2535227 Federované uživatele neočekávaně vyzván k zadání pověření při přístupu prostředkům služeb Office 365
Zmenšit tento obrázekZvětšit tento obrázek
assets folding end collapsed

DALŠÍ INFORMACE

K ochraně sítě, služba AD FS používá Rozšířená ochrana pro ověřování. Rozšířená ochrana pro ověřování můžete předejít útoku man-in-the-middle, kdy útočník zachycuje pověření klienta a předá je na server. Ochrana proti takovým útokům je umožněno pomocí kanálu vazby prací (CBT). CBT můžete požadované, povoleno nebo není požadováno na serveru, po komunikaci s klienty.

ExtendedProtectionTokenCheck AD FS nastavení určuje úroveň Rozšířená ochrana pro ověřování, podporovaný federační server. Dostupné hodnoty pro toto nastavení jsou následující:
  • Vyžadují: server je plně zesílený. Rozšířená ochrana je zajištěna.
  • Povolit: Jedná se o výchozí nastavení. Server je částečně zesílený. Rozšířená ochrana je vynuceno pro související systémy, které jsou změněny na tuto funkci nepodporují.
  • None: server je ohrožen. Rozšířená ochrana není vynucena.
Následující tabulky popisují, jak funguje ověřování pro tři operační systémy a prohlížeče, různé možnosti rozšířené ochrany, které jsou dostupné ve službě AD FS se službou IIS.

Poznámka: Klientských operačních systémech Windows, musí mít konkrétní aktualizace, které jsou nainstalovány na efektivně používat funkce rozšířené ochrany. Ve výchozím nastavení jsou povoleny funkce ve službě AD FS. Tyto aktualizace jsou k dispozici v následujícím článku znalostní báze Microsoft Knowledge Base:
968389 Rozšířená ochrana pro ověřování
Ve výchozím nastavení systém Windows 7 obsahuje odpovídající binární soubory pro použití rozšířené ochrany.

Windows 7 (nebo odpovídajícím způsobem aktualizované verze systému Windows Vista nebo Windows XP)
Zmenšit tuto tabulkuRozšířit tuto tabulku
NastaveníVyžadujíPovolit (výchozí)Žádný
Komunikace v systému Windows
Klient Foundation (WCF) (všechny koncové body)
PracujePracujePracuje
Aplikace Internet Explorer 8PracujePracujePracuje
Firefox 3.6SelháníSelháníPracuje
Safari 4.0.4SelháníSelháníPracuje
Systém Windows Vista bez příslušných aktualizací
Zmenšit tuto tabulkuRozšířit tuto tabulku
NastaveníVyžadujíPovolit (výchozí)Žádný
Klient WCF (všechny koncové body)SelháníPracujePracuje
Aplikace Internet Explorer 8PracujePracujePracuje
Firefox 3.6SelháníPracuje Pracuje
Safari 4.0.4SelháníPracuje Pracuje
Systém Windows XP bez příslušných aktualizací
Zmenšit tuto tabulkuRozšířit tuto tabulku
NastaveníVyžadujíPovolit (výchozí)Žádný
Aplikace Internet Explorer 8PracujePracujePracuje
Firefox 3.6SelháníPracuje Pracuje
Safari 4.0.4SelháníPracuje Pracuje
Další informace o rozšířené ochrany pro ověřování naleznete v následujících zdrojích společnosti Microsoft:
968389 Rozšířená ochrana pro ověřování
Konfigurace upřesňujících možností služby AD FS 2.0
Další informace o Sada ADFSProperties rutiny přejděte na následující web společnosti Microsoft:
Sada ADFSProperties

Video: Opakování pověření zobrazí výzvu při přihlášení ke službě Office 365 Identity pomocí federované účet

Zmenšit tento obrázekZvětšit tento obrázek
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Zmenšit tento obrázekZvětšit tento obrázek
assets video2

Video: Federované uživatele jsou opakovaně vyzván k zadání pověření a nemůže přihlásit do služeb Office 365

Zmenšit tento obrázekZvětšit tento obrázek
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Zmenšit tento obrázekZvětšit tento obrázek
assets video2

Stále potřebujete pomoc? Přejděte Komunity Office 365 Web nebo Fóra Windows Azure služby Active Directory .

Produkty třetích stran popisované v tomto článku jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou, týkající se výkonu nebo spolehlivosti těchto produktů

Vlastnosti

ID článku: 2461628 - Poslední aktualizace: 6. března 2014 - Revize: 19.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Klíčová slova: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 2461628

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com