Μια ομόσπονδη χρήστη είναι ζητούνται επανειλημμένα πιστοποιήσεις κατά τη σύνδεση στο Office 365, Azure ή Windows Intune

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 2461628 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες που σας δείχνουν πώς μπορείτε να χαμηλώσετε τις ρυθμίσεις ασφαλείας ή να απενεργοποιήσετε τις δυνατότητες ασφαλείας σε έναν υπολογιστή. Μπορείτε να κάνετε αυτές τις αλλαγές για να αντιμετωπίσετε ένα συγκεκριμένο πρόβλημα. Πριν κάνετε αυτές τις αλλαγές, συνιστάται να εκτιμήσετε τους κινδύνους που σχετίζονται με την εφαρμογή αυτής της λύσης στο συγκεκριμένο περιβάλλον. Εάν εφαρμόσετε αυτόν τον εναλλακτικό τρόπο αντιμετώπισης, λάβετε τα κατάλληλα πρόσθετα μέτρα για την προστασία του υπολογιστή.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΤΟ ΠΡΌΒΛΗΜΑ

Μια ομόσπονδη χρήστη ζητείται επανειλημμένα πιστοποιήσεις όταν ο χρήστης επιχειρεί να ελέγχουν την ταυτότητα του τελικού σημείου εξυπηρέτησης υπηρεσίες Ομοσπονδία Active Directory (AD ΛΕ) κατά τη σύνδεση σε μια υπηρεσία νέφους Microsoft όπως Office 365, Microsoft Azure ή Windows Intune. Όταν ο χρήστης ακυρώσει, ο χρήστης λαμβάνει το ακόλουθο μήνυμα λάθους:
Δεν επιτρέπεται η πρόσβαση

ΑΙΤΙΑ

Το σύμπτωμα αυτό δηλώνει κάποιο ζήτημα με τα Windows ο ενσωματωμένος έλεγχος ταυτότητας με AD FS. Αυτό το ζήτημα μπορεί να προκύψει αν ισχύει μία ή περισσότερες από τις ακόλουθες συνθήκες είναι αληθής:
  • Χρησιμοποιήθηκε ένα εσφαλμένο όνομα χρήστη ή ο κωδικός πρόσβασης.
  • Ρυθμίσεις ελέγχου ταυτότητας Internet Information Services (IIS) έχουν οριστεί λανθασμένα σε AD FS.
  • Το κύριο όνομα υπηρεσίας (SPN) που είναι συσχετισμένος με το λογαριασμό της υπηρεσίας που χρησιμοποιείται για την εκτέλεση του συμπλέγματος διακομιστών Ομοσπονδία AD FS χαθεί ή καταστραφεί.

    Σημείωση Αυτό συμβαίνει μόνο όταν AD FS υλοποιείται ως σύμπλεγμα διακομιστών Ομοσπονδία και δεν έχει υλοποιηθεί σε μια αυτόνομη ρύθμιση παραμέτρων.
  • Ένα ή περισσότερα από τα παρακάτω αναγνωρίζονται από την εκτεταμένη προστασία για έλεγχο ταυτότητας ως προέλευση μιας επίθεσης man-in-the-middle:
    • Ορισμένα προγράμματα περιήγησης στο Internet τρίτων κατασκευαστών
    • Το τείχος προστασίας εταιρικό δίκτυο, η μονάδα εξισορρόπησης φόρτου δικτύου ή άλλη συσκευή δικτύου γίνεται δημοσίευση από την ομοσπονδιακή υπηρεσία AD FS στο Internet έτσι ότι δεδομένα ωφέλιμου φορτίου IP μπορεί πιθανώς να γραφούν ξανά. Αυτό πιθανώς περιλαμβάνει τα ακόλουθα είδη δεδομένων:
      • Secure Sockets Layer (SSL) γεφύρωση
      • Μείωση φόρτου SSL
      • Φιλτράρισμα πακέτο

        Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
        2510193Υποστηριζόμενα σενάρια για τη χρήση AD FS για να ορίσετε καθολικής σύνδεσης στο Office 365, Azure ή το Windows Intune
    • Μια παρακολούθηση ή μια εφαρμογή αποκρυπτογράφησης SSL είναι εγκατεστημένο ή είναι ενεργοποιημένη στον υπολογιστή-πελάτη
  • Ανάλυση Name System (DNS) του τομέα της απόληξης υπηρεσία AD FS πραγματοποιήθηκε μέσω αναζήτησης εγγραφή CNAME αντί μέσω μιας αναζήτησης εγγραφών A.
  • Windows Internet Explorer δεν είναι ρυθμισμένη για τη μεταβίβαση των Windows ο ενσωματωμένος έλεγχος ταυτότητας διακομιστή AD FS.

Πριν να ξεκινήσετε την αντιμετώπιση προβλημάτων

Ελέγξτε ότι το όνομα χρήστη και ο κωδικός πρόσβασης δεν είναι η αιτία του ζητήματος.
  • Βεβαιωθείτε ότι το σωστό όνομα χρήστη χρησιμοποιείται και είναι σε μορφή κύριου ονόματος (UPN) χρήστη. Για παράδειγμα, johnsmith@contoso.com.
  • Βεβαιωθείτε ότι χρησιμοποιείται το σωστό κωδικό πρόσβασης. Για να ελέγξετε ξανά ότι χρησιμοποιείται το σωστό κωδικό πρόσβασης, ίσως χρειαστεί να επαναφέρετε τον κωδικό πρόσβασης του χρήστη. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο του Microsoft TechNet:
    Επαναφορά ενός κωδικού πρόσβασης χρήστη
  • Βεβαιωθείτε ότι ο λογαριασμός δεν είναι κλειδωμένος, λήξει ή χρησιμοποιείται εκτός σύνδεσης καθορισμένες ώρες. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο του Microsoft TechNet:
    Διαχείριση χρηστών

Επιβεβαιώσετε την αιτία

Για να ελέγξετε ότι Kerberos προβλήματα προκαλούν το ζήτημα, να παρακάμψετε προσωρινά τον έλεγχο ταυτότητας Kerberos με την ενεργοποίηση του ελέγχου ταυτότητας που βασίζεται σε φόρμες στο σύμπλεγμα διακομιστών Ομοσπονδία AD FS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

Βήμα 1: Επεξεργασία του αρχείου web.config σε κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS
  1. Στην Εξερεύνηση των Windows, εντοπίστε το φάκελο C:\inetpub\adfs\ls\ και, στη συνέχεια, κάντε ένα αντίγραφο ασφαλείας του αρχείου web.config.
  2. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Όλα τα προγράμματα, κατόπιν στην επιλογή Βοηθήματα, κάντε δεξιό κλικ στο Σημειωματάριο (Notepad)και, στη συνέχεια, κάντε κλικ στην εντολή Εκτέλεση ως διαχειριστής.
  3. Σχετικά με το αρχείο μενού, κάντε κλικ στο κουμπί Άνοιγμα. Με το όνομα αρχείου , πληκτρολογήστεC:\inetpub\adfs\ls\web.config, και στη συνέχεια κάντε κλικ στο κουμπί Άνοιγμα.
  4. Στο αρχείο web.config, ακολουθήστε τα εξής βήματα:
    1. Εντοπίστε τη γραμμή που περιέχει <authentication mode=""> </authentication>, και στη συνέχεια αλλάξτε τον σε <authentication mode="Forms"> </authentication>.
    2. Εντοπίστε την ενότητα που ξεκινά με <localAuthenticationTypes> </localAuthenticationTypes>, και στη συνέχεια αλλάξτε την ενότητα έτσι ώστε το <add name="Forms"></add> εγγραφή παρατίθεται πρώτα, ως εξής:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Σχετικά με το αρχείο μενού, κάντε κλικ στο κουμπί Αποθήκευση.
  6. Σε μια αναβαθμισμένη γραμμή εντολών, κάντε επανεκκίνηση των IIS, χρησιμοποιώντας την εντολή iisreset .
Βήμα 2: Δοκιμή AD FS λειτουργικότητα
  1. Σε έναν υπολογιστή-πελάτη που συνδέθηκε και έλεγχος ταυτότητας για τους σε χώρους περιβάλλον AD DS, είσοδος στην πύλη υπηρεσία νέφους.

    Αντί για μια εμπειρία χωρίς προβλήματα ελέγχου ταυτότητας, ένα βασίζεται σε φόρμες είσοδος πρέπει να προκύψουν. Εάν η είσοδος είναι επιτυχής, χρησιμοποιώντας έλεγχο ταυτότητας που βασίζεται σε φόρμες, αυτό επιβεβαιώνει ότι υπάρχει κάποιο πρόβλημα με το Kerberos στην υπηρεσία AD FS Ομοσπονδία.
  2. Επαναφέρει τη ρύθμιση παραμέτρων του κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS στις προηγούμενες ρυθμίσεις ελέγχου ταυτότητας, πριν να ακολουθήσετε τα βήματα στην ενότητα "Προτεινόμενη αντιμετώπιση". Για να επαναφέρετε τη ρύθμιση παραμέτρων του κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS, ακολουθήστε τα εξής βήματα:
    1. Στην Εξερεύνηση των Windows, εντοπίστε το φάκελο C:\inetpub\adfs\ls\ και, στη συνέχεια, διαγράψτε το αρχείο web.config.
    2. Μετακινήσετε το αντίγραφο ασφαλείας του αρχείου web.config που έχετε δημιουργήσει στο το "βήμα 1: επεξεργασία του αρχείου web.config σε κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS" ενότητα στο φάκελο C:\inetpub\adfs\ls\.
  3. Σε μια αναβαθμισμένη γραμμή εντολών, κάντε επανεκκίνηση των IIS, χρησιμοποιώντας την εντολή iisreset .
  4. Ελέγξτε ότι η συμπεριφορά ελέγχου ταυτότητας AD FS επιστρέφει το αρχικό ζήτημα.

ΛΎΣΗ

Για να επιλύσετε το ζήτημα του Kerberos που περιορίζει AD FS ελέγχου ταυτότητας, χρησιμοποιήστε μία ή περισσότερες από τις ακόλουθες μεθόδους, ανάλογα με την κατάσταση.

Προτεινόμενη αντιμετώπιση 1: Ρυθμίσεις ελέγχου ταυτότητας FS AD επαναφορά στις προεπιλεγμένες τιμές

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding start collapsed
Εάν οι ρυθμίσεις ελέγχου ταυτότητας AD FS IIS είναι εσφαλμένες ή δεν ταιριάζουν με τις ρυθμίσεις ελέγχου ταυτότητας IIS AD FS Ομοσπονδία υπηρεσιών και των υπηρεσιών του διακομιστή μεσολάβησης, μια λύση είναι να επαναφέρετε όλες τις ρυθμίσεις ελέγχου ταυτότητας IIS τις προεπιλογές AD FS.

Οι προεπιλεγμένες ρυθμίσεις ελέγχου ταυτότητας παρατίθενται στον ακόλουθο πίνακα.
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
Εικονικών εφαρμογώνΤα επίπεδα ελέγχου ταυτότητας
Προεπιλεγμένη τοποθεσία Web/adfsΟ ανώνυμος έλεγχος ταυτότητας
Προεπιλεγμένη τοποθεσία Web/adfs/lsΟ ανώνυμος έλεγχος ταυτότητας
Έλεγχος ταυτότητας των Windows
Σε κάθε διακομιστή Ομοσπονδία AD FS και σε κάθε μεσολάβησης AD FS Ομοσπονδία διακομιστή, χρησιμοποιήστε τις πληροφορίες στο ακόλουθο άρθρο της Microsoft TechNet για να επαναφέρετε τις εικονικές εφαρμογές AD FS IIS στις προεπιλεγμένες ρυθμίσεις ελέγχου ταυτότητας:Για περισσότερες πληροφορίες σχετικά με την επίλυση αυτού του σφάλματος, ανατρέξτε στα ακόλουθα άρθρα της Γνωσιακής Βάσης της Microsoft:
907273 Αντιμετώπιση σφαλμάτων HTTP 401 στις υπηρεσίες IIS

871179 Λαμβάνετε ένα "σφάλμα HTTP 401.1 - μη εξουσιοδοτημένη πρόσβαση: η πρόσβαση απορρίφθηκε λόγω μη έγκυρων διαπιστευτηρίων" μήνυμα λάθους όταν προσπαθείτε να αποκτήσετε πρόσβαση σε μια τοποθεσία Web που είναι μέρος ενός χώρου συγκέντρωσης εφαρμογών IIS 6.0

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding end collapsed

Προτεινόμενη αντιμετώπιση 2: Διόρθωση της συστοιχίας διακομιστών Ομοσπονδία AD FS SPN

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding start collapsed
ΣημείωσηΔοκιμάστε αυτήν την επίλυση μόνο όταν AD FS υλοποιείται ως σύμπλεγμα διακομιστών Ομοσπονδία. Μην επιχειρήσετε αυτό ανάλυση σε μια αυτόνομη ρύθμιση παραμέτρων AD FS.

Για να επιλύσετε το ζήτημα, εάν το SPN για την υπηρεσία AD FS χαθεί ή καταστραφεί στο λογαριασμό υπηρεσίας AD FS, ακολουθήστε τα εξής βήματα σε ένα διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS:
  1. Ανοίξτε το συμπληρωματικό πρόγραμμα Διαχείριση των υπηρεσιών. Για να γίνει αυτό, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Όλα τα προγράμματα, κάντε κλικ στην επιλογή Εργαλεία διαχείρισηςκαι, στη συνέχεια, κάντε κλικ στην επιλογή υπηρεσίες.
  2. Κάντε διπλό κλικ στην υπηρεσία του AD FS (2.0) των Windows.
  3. Σχετικά με το Log On καρτέλα, σημειώστε το λογαριασμό της υπηρεσίας που εμφανίζεται σε Αυτό το λογαριασμό.
  4. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Όλα τα προγράμματα, κατόπιν στην επιλογή Βοηθήματα, κάντε δεξιό κλικ στο στοιχείο γραμμή εντολώνκαι, στη συνέχεια, κάντε κλικ στην εντολή Εκτέλεση ως διαχειριστής.
  5. Τύπος Κεντρικός υπολογιστής-q-f SetSPN /<AD fs="" service="" name=""></AD>, και στη συνέχεια πιέστε το πλήκτρο Enter.

    ΣημείωσηΣε αυτήν την εντολή, <AD fs="" service="" name=""></AD> αντιπροσωπεύει το όνομα της υπηρεσίας ονόματος (FQDN) έγκυρου τομέα AD FS τελικού σημείου υπηρεσίας. Δεν αντιπροσωπεύει το όνομα του κεντρικού υπολογιστή των Windows του διακομιστή AD FS.
    • Εάν περισσότερες από μία καταχωρήσεις επιστρέφεται για την εντολή, και το αποτέλεσμα είναι συσχετισμένη με ένα λογαριασμό χρήστη διαφορετικό από αυτό που σημειώσατε στο βήμα 3, να καταργήσετε αυτή τη συσχέτιση. Για να γίνει αυτό, εκτελέστε την ακόλουθη εντολή:
      SetSPN – d κεντρικού υπολογιστή /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Εάν περισσότερες από μία καταχωρήσεις επιστρέφεται για την εντολή και το SPN χρησιμοποιεί το ίδιο όνομα με το όνομα υπολογιστή του διακομιστή AD FS στα Windows, το όνομα τελικού σημείου Ομοσπονδία AD FS είναι εσφαλμένη. AD FS πρέπει να εφαρμοστεί ξανά. Το FQDN του συμπλέγματος διακομιστών Ομοσπονδία AD FS δεν πρέπει να είναι ίδιο με το όνομα του κεντρικού υπολογιστή Windows υπάρχοντος διακομιστή.
    • Εάν δεν υπάρχει ήδη το SPN, εκτελέστε την ακόλουθη εντολή:
      SetSPN – ένας κεντρικός υπολογιστής /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      ΣημείωσηΣε αυτήν την εντολή, <username of="" service="" account=""></username> αντιπροσωπεύει το όνομα χρήστη που αναφέρθηκε στο βήμα 3.
  6. Αφού αυτά τα βήματα πραγματοποιούνται σε όλους τους διακομιστές του συμπλέγματος διακομιστών Ομοσπονδία AD FS, κάντε δεξιό κλικ στο Υπηρεσία AD FS (2.0) των Windows με το συμπληρωματικό πρόγραμμα Διαχείριση των υπηρεσιών και, στη συνέχεια, κάντε κλικ στην επιλογή επανεκκίνηση.
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding end collapsed

Προτεινόμενη αντιμετώπιση 3: Επίλυση εκτεταμένη προστασία για έλεγχο ταυτότητας αφορά

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding start collapsed
Για να επιλύσετε το ζήτημα, εάν η εκτεταμένη προστασία για έλεγχο ταυτότητας δεν επιτρέπει την επιτυχή έλεγχο ταυτότητας, χρησιμοποιήστε μία από τις ακόλουθες προτεινόμενες μεθόδους:
  • Μέθοδος 1: χρήση Windows Internet Explorer 8 (ή νεότερη έκδοση του προγράμματος), για να εισέλθετε.
  • Μέθοδος 2: δημοσίευση AD FS υπηρεσιών στο Internet έτσι ότι δεν επανεγγραφή γεφύρωση SSL, μείωση φόρτου SSL ή το πακέτο φιλτράρισμα δεδομένων ωφέλιμο φορτίο IP. Η σύσταση βέλτιστων πρακτικών για το σκοπό αυτό είναι να χρησιμοποιήσετε ένα διακομιστή μεσολάβησης FS AD.
  • Μέθοδος 3: Κλείσιμο ή απενεργοποίηση παρακολούθησης ή εφαρμογές αποκρυπτογράφησης SSL.
Εάν δεν μπορείτε να χρησιμοποιήσετε οποιαδήποτε από αυτές τις μεθόδους, για να επιλύσετε αυτό το ζήτημα, η εκτεταμένη προστασία για έλεγχο ταυτότητας μπορεί να απενεργοποιηθεί για υπολογιστές-πελάτες παθητικών και ενεργητικών.

Λύση: Απενεργοποίηση εκτεταμένη προστασία για έλεγχο ταυτότητας

ΠροειδοποίησηΔεν συνιστάται να χρησιμοποιήσετε αυτή τη διαδικασία ως μακροπρόθεσμη λύση. Απενεργοποίηση της εκτεταμένης προστασίας για έλεγχο ταυτότητας εξασθενεί το προφίλ ασφαλείας υπηρεσία AD FS εντοπίζοντας δεν ορισμένες επιθέσεις man-in-the-middle στις απολήξεις ο ενσωματωμένος έλεγχος ταυτότητας των Windows.

Σημείωση Όταν εφαρμόζεται αυτή η λύση για τις λειτουργίες εφαρμογών τρίτων, θα πρέπει να καταργήσετε επίσης επείγουσες επιδιορθώσεις για το λειτουργικό σύστημα του υπολογιστή-πελάτη για την εκτεταμένη προστασία για έλεγχο ταυτότητας. Για περισσότερες πληροφορίες σχετικά με τις επείγουσες επιδιορθώσεις, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
968389 Εκτεταμένη προστασία για έλεγχο ταυτότητας
Για παθητική υπολογιστές-πελάτες
Για να απενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας για παθητική υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία για τις ακόλουθες εφαρμογές εικονικό των υπηρεσιών IIS σε όλους τους διακομιστές του συμπλέγματος διακομιστών Ομοσπονδία AD FS:
  • Προεπιλεγμένη τοποθεσία Web/adfs
  • Προεπιλεγμένη τοποθεσία Web/adfs/ls
Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Ανοίξτε τη διαχείριση των υπηρεσιών IIS και περιήγηση στο επίπεδο που θέλετε να διαχειριστείτε. Για πληροφορίες σχετικά με το άνοιγμα της διαχείρισης των υπηρεσιών IIS, ανατρέξτε στο θέμα Ανοίξτε τη διαχείριση των υπηρεσιών IIS (IIS 7).
  2. Στην προβολή "χαρακτηριστικά", κάντε διπλό κλικ στο ελέγχου ταυτότητας.
  3. Στη σελίδα ελέγχου ταυτότητας, επιλέξτε Έλεγχος ταυτότητας των Windows.
  4. Στο παράθυρο ενεργειών , κάντε κλικ στο κουμπί " Ρυθμίσεις για προχωρημένους".
  5. Όταν εμφανιστεί το πλαίσιο διαλόγου " Ρυθμίσεις για προχωρημένους ", επιλέξτε Απενεργοποίησηαπό τοεκτεταμένη προστασία αναπτυσσόμενο μενού.
Για ενεργοί υπολογιστές-πελάτες
Για να απενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας για ενεργοί υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία στον πρωτεύοντα διακομιστή AD FS:
  1. Ανοίξτε το Windows PowerShell.
  2. Εκτελέστε την ακόλουθη εντολή για να φορτώσετε το Windows PowerShell για συμπληρωματικό πρόγραμμα AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Εκτελέστε την ακόλουθη εντολή για να απενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Εκ νέου ενεργοποίηση της εκτεταμένης προστασίας για έλεγχο ταυτότητας

Για παθητική υπολογιστές-πελάτες
Για να ενεργοποιήσετε ξανά την εκτεταμένη προστασία για έλεγχο ταυτότητας για παθητική υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία για τις ακόλουθες εφαρμογές εικονικό των υπηρεσιών IIS σε όλους τους διακομιστές του συμπλέγματος διακομιστών Ομοσπονδία AD FS:
  • Προεπιλεγμένη τοποθεσία Web/adfs
  • Προεπιλεγμένη τοποθεσία Web/adfs/ls
Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Ανοίξτε τη διαχείριση των υπηρεσιών IIS και περιήγηση στο επίπεδο που θέλετε να διαχειριστείτε. Για πληροφορίες σχετικά με το άνοιγμα της διαχείρισης των υπηρεσιών IIS, ανατρέξτε στο θέμα Ανοίξτε τη διαχείριση των υπηρεσιών IIS (IIS 7).
  2. Στην προβολή "χαρακτηριστικά", κάντε διπλό κλικ στο ελέγχου ταυτότητας.
  3. Στη σελίδα ελέγχου ταυτότητας, επιλέξτε Έλεγχος ταυτότητας των Windows.
  4. Στο παράθυρο ενεργειών , κάντε κλικ στο κουμπί " Ρυθμίσεις για προχωρημένους".
  5. Όταν εμφανιστεί το πλαίσιο διαλόγου " Ρυθμίσεις για προχωρημένους ", επιλέξτε την Αποδοχήαπό το αναπτυσσόμενο μενού Εκτεταμένης προστασίας .
Για ενεργοί υπολογιστές-πελάτες
Για να ενεργοποιήσετε ξανά την εκτεταμένη προστασία για έλεγχο ταυτότητας για ενεργοί υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία στον πρωτεύοντα διακομιστή AD FS:
  1. Ανοίξτε το Windows PowerShell.
  2. Εκτελέστε την ακόλουθη εντολή για να φορτώσετε το Windows PowerShell για συμπληρωματικό πρόγραμμα AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Εκτελέστε την ακόλουθη εντολή για να ενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding end collapsed

Προτεινόμενη αντιμετώπιση 4: Αντικαταστήστε τις εγγραφές CNAME με ένα καρτέλες για AD FS

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding start collapsed
Χρησιμοποιήστε τα εργαλεία διαχείρισης DNS για να αντικαταστήσετε κάθε εγγραφή ψευδωνύμου DNS (CNAME) που έχει χρησιμοποιηθεί για την ομοσπονδιακή υπηρεσία με μια διεύθυνση DNS (Α) την εγγραφή. Επίσης, ελέγξτε ή εξετάστε το ενδεχόμενο να εταιρικές ρυθμίσεις DNS όταν εφαρμόζεται μια split-brain ρύθμιση παραμέτρων DNS. Για περισσότερες πληροφορίες σχετικά με τη διαχείριση των εγγραφών DNS, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft TechNet στο Web:
Διαχείριση εγγραφών DNS
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding end collapsed

Προτεινόμενη αντιμετώπιση 5: Να ρυθμίσετε τον Internet Explorer με ένα πρόγραμμα-πελάτη του AD FS για καθολικής σύνδεσης (SSO)

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding start collapsed
Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης του Internet Explorer για πρόσβαση AD FS, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
2535227 Μια ομόσπονδη ζητείται απροσδόκητα να εισάγουν τα διαπιστευτήριά τους κατά την πρόσβαση σε έναν πόρο του Office 365
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets folding end collapsed

ΠΕΡΙΣΣΟΤΕΡΕΣ ΠΛΗΡΟΦΟΡΙΕΣ

Για να προστατεύσετε το δίκτυο, AD FS χρησιμοποιεί εκτεταμένη προστασία για έλεγχο ταυτότητας. Εκτεταμένη προστασία για έλεγχο ταυτότητας μπορεί να σας βοηθήσει να αποτρέψετε επιθέσεις man-in-the-middle, με την οποία ένας εισβολέας διακόπτει τις πιστοποιήσεις του υπολογιστή-πελάτη και τα προωθεί σε ένα διακομιστή. Παρέχει δυνατότητα προστασίας από τέτοιες επιθέσεις με χρήση έργων σύνδεσης καναλιού (CBT). CBT μπορεί να απαιτούνται, επιτρέπεται ή δεν απαιτείται από το διακομιστή όταν δημιουργούνται επικοινωνίες με υπολογιστές-πελάτες.

Η ρύθμιση ExtendedProtectionTokenCheck AD FS Καθορίζει το επίπεδο της εκτεταμένης προστασίας για έλεγχο ταυτότητας που υποστηρίζεται από το διακομιστή Ομοσπονδία. Αυτές είναι οι διαθέσιμες τιμές για αυτήν τη ρύθμιση:
  • Απαιτούν: Ο διακομιστής δεν είναι πλήρως υψηλό επίπεδο ασφαλείας. Είναι επιβεβλημένη η εκτεταμένη προστασία.
  • Αποδοχή: Αυτή είναι η προεπιλεγμένη ρύθμιση. Ο διακομιστής είναι εν μέρει υψηλό επίπεδο ασφαλείας. Εκτεταμένη προστασία τίθεται σε ισχύ για τα συστήματα που εμπλέκονται που αλλάζουν για να υποστηρίζει αυτήν τη δυνατότητα.
  • Κανένα: Ο διακομιστής δεν είναι ευπαθή. Εκτεταμένη προστασία δεν εφαρμόζεται.
Οι παρακάτω πίνακες περιγράφουν τον τρόπο λειτουργίας του ελέγχου ταυτότητας για τρία λειτουργικά συστήματα και προγράμματα περιήγησης, ανάλογα με τις διάφορες επιλογές εκτεταμένης προστασίας που είναι διαθέσιμες στην AD FS με τις υπηρεσίες IIS.

Σημείωση Λειτουργικά συστήματα υπολογιστών-πελατών των Windows, πρέπει να έχετε συγκεκριμένες ενημερωμένες εκδόσεις που έχουν εγκατασταθεί για την αποτελεσματική χρήση δυνατοτήτων εκτεταμένης προστασίας. Από προεπιλογή, οι δυνατότητες είναι ενεργοποιημένες στο AD FS. Αυτές οι ενημερωμένες εκδόσεις είναι διαθέσιμες στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
968389 Εκτεταμένη προστασία για έλεγχο ταυτότητας
Από προεπιλογή, τα Windows 7 περιλαμβάνουν τα κατάλληλα δυαδικά αρχεία για να χρησιμοποιήσετε την εκτεταμένη προστασία.

Τα Windows 7 (ή κατάλληλα ενημερωμένες εκδόσεις των Windows Vista ή των Windows XP)
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Επικοινωνίας των Windows
Πρόγραμμα-πελάτης του ιδρύματος (WCF) (όλες τις απολήξεις)
ΈργωνΈργωνΈργων
Το Internet Explorer 8ΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΑποτυγχάνειΈργων
Safari 4.0.4ΑποτυγχάνειΑποτυγχάνειΈργων
Τα Windows Vista χωρίς τις κατάλληλες ενημερωμένες εκδόσεις
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Υπολογιστή-πελάτη WCF (όλες τις απολήξεις)ΑποτυγχάνειΈργωνΈργων
Το Internet Explorer 8ΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΈργων Έργων
Safari 4.0.4ΑποτυγχάνειΈργων Έργων
Στα Windows XP χωρίς τις κατάλληλες ενημερωμένες εκδόσεις
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Το Internet Explorer 8ΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΈργων Έργων
Safari 4.0.4ΑποτυγχάνειΈργων Έργων
Για περισσότερες πληροφορίες σχετικά με την εκτεταμένη προστασία για έλεγχο ταυτότητας, ανατρέξτε στους παρακάτω πόρους της Microsoft:
968389 Εκτεταμένη προστασία για έλεγχο ταυτότητας
Για περισσότερες πληροφορίες σχετικά με το Σύνολο ADFSProperties cmdlet, μεταβείτε στην παρακάτω τοποθεσία Web της Microsoft:
Σύνολο ADFSProperties

Βίντεο: Επανάληψη των διαπιστευτηρίων σας ζητά όταν εισέλθετε στο Office 365 χρησιμοποιώντας μια ταυτότητα ομόσπονδων λογαριασμού

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets video2

Βίντεο: Εξωτερικούς χρήστες είναι ζητούνται επανειλημμένα πιστοποιήσεις και δεν είναι δυνατό να είσοδος στο Office 365

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
assets video2

Εξακολουθείτε να χρειάζεστε βοήθεια; Μεταβείτε το Κοινότητα του Office 365 τοποθεσία Web ή το Φόρουμ Azure υπηρεσίας καταλόγου Active Directory .

Τα προϊόντα τρίτων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες από την Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων

Ιδιότητες

Αναγν. άρθρου: 2461628 - Τελευταία αναθεώρηση: Παρασκευή, 20 Ιουνίου 2014 - Αναθεώρηση: 21.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Λέξεις-κλειδιά: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 2461628

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com