Pengguna Federasi berulang kali diminta untuk kredensial selama masuk ke Office 365, Azure, atau Windows Intune

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2461628 - Melihat produk di mana artikel ini berlaku.
Penting Artikel ini berisi informasi yang menunjukkan pada Anda cara membantu menurunkan pengaturan keamanan atau cara untuk mematikan fitur keamanan pada komputer. Anda dapat membuat perubahan ini untuk bekerja di sekitar masalah tertentu. Sebelum Anda membuat perubahan ini, kami anjurkan agar Anda mengevaluasi risiko yang berhubungan dengan penerapan di lingkungan tertentu Anda. Jika Anda menerapkan pemecahan masalah ini, ambil langkah tambahan yang tepat untuk membantu melindungi komputer.
Perbesar semua | Perkecil semua

Pada Halaman ini

MASALAH

Pengguna Federasi berulang kali diminta untuk kredensial ketika pengguna mencoba untuk melakukan otentikasi ke Active Directory Federation Services (AD FS) Layanan endpoint selama masuk ke Microsoft awan layanan Office 365, Microsoft Azure atau Windows Intune. Ketika pengguna membatalkan, pengguna akan menerima pesan galat berikut:
Akses ditolak

PENYEBAB

Gejala yang menunjukkan masalah dengan Otentikasi Windows Terpadu dengan AD FS. Masalah ini dapat terjadi jika satu atau lebih kondisi berikut ini benar:
  • Nama pengguna salah atau sandi yang digunakan.
  • Pengaturan otentikasi Internet Information Services (IIS) ditetapkan tidak benar di AD FS.
  • Layanan utama nama (SPN) yang terkait dengan account layanan yang digunakan untuk menjalankan AD FS Federasi kampung server hilang atau rusak.

    Catatan Ini hanya terjadi bila AD FS diimplementasikan sebagai Federasi kampung server dan tidak diimplementasikan dalam konfigurasi yang berdiri sendiri.
  • Satu atau lebih hal berikut diidentifikasi oleh diperpanjang perlindungan untuk otentikasi sebagai sumber serangan pria-di-the-tengah:
    • Beberapa pihak ketiga browser Internet
    • Firewall jaringan perusahaan, Jaringan beban pengimbang atau peranti penangkap jaringan lainnya adalah penerbitan Layanan Federasi FS iklan internet sedemikian rupa bahwa IP muatan data mungkin berpotensi dapat ditulis ulang. Ini mungkin termasuk jenis berikut data:
      • Secure Sockets Layer (SSL) menjembatani
      • SSL pembongkaran
      • Stateful packet penyaringan

        Untuk informasi lebih lanjut, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
        2510193Skenario yang didukung untuk menggunakan AD FS untuk mengatur akses terusan di Office 365, Azure, atau Windows Intune
    • Pemantauan atau SSL dekripsi aplikasi diinstal atau aktif pada komputer klien
  • Domain Name System (DNS) resolusi dari AD FS Layanan endpoint dilakukan melalui CNAME record lookup bukan melalui pencarian catatan A.
  • Windows Internet Explorer tidak dikonfigurasi untuk lulus otentikasi Terpadu Windows ke server AD FS.

Sebelum Anda mulai mengatasi masalah

Periksa bahwa Nama pengguna dan sandi yang tidak penyebab masalah.
  • Pastikan bahwa Nama pengguna benar digunakan dan pengguna (UPN nama dasar) format. Misalnya, johnsmith@contoso.com.
  • Pastikan bahwa password yang benar digunakan. Untuk Periksa bahwa password yang benar yang digunakan, Anda mungkin harus me-reset password pengguna. Untuk informasi lebih lanjut, lihat artikel Microsoft TechNet berikut:
    Membuat ulang sandi pengguna
  • Pastikan bahwa account tidak terkunci, kedaluwarsa atau digunakan di luar jam masuk Ruangan Khusus. Untuk informasi lebih lanjut, lihat artikel Microsoft TechNet berikut:
    Mengelola pengguna

Memverifikasi penyebab

Untuk memeriksa bahwa Kerberos masalah menyebabkan masalah, sementara bypass otentikasi Kerberos dengan mengaktifkan otentikasi berbasis bentuk pada AD FS Federasi kampung server. Untuk melakukannya, ikuti langkah berikut:

Langkah 1: Mengedit file web.config pada setiap server di peternakan server AD FS Federasi
  1. Di Penjelajah Windows, Cari C:\inetpub\adfs\ls\ folder, dan kemudian membuat kopi rekam cadang dari berkas Web.config.
  2. Klik mulai, klik Semua program, klik aksesori, klik kanan-atas Notepad, dan kemudian klik Jalankan sebagai administrator.
  3. Pada File menu, klik terbuka. Dalam nama File kotak, ketikC:\inetpub\adfs\ls\web.config, lalu klik buka.
  4. Dalam berkas Web.config, ikuti langkah berikut:
    1. Menemukan baris yang berisi <authentication mode=""> </authentication>, dan kemudian mengubahnya ke <authentication mode="Forms"> </authentication>.
    2. Cari bagian yang diawali dengan <localAuthenticationTypes> </localAuthenticationTypes>, dan kemudian mengubah bagian sehingga <add name="Forms"></add> entri yang terdaftar pertama, sebagai berikut:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Pada File menu, klik Simpan.
  6. Di wantian perintah yang ditinggikan, restart IIS dengan menggunakan perintah iisreset .
Langkah 2: Tes AD FS fungsi
  1. Pada komputer klien yang telah terhubung dan dikonfirmasi untuk lokal AD DS lingkungan, masuk ke portal layanan internet.

    Bukan pengalaman mulus otentikasi yang, berbasis bentuk masuk harus mengalami. Jika masuk berhasil dengan menggunakan otentikasi berbasis bentuk, ini menegaskan bahwa masalah dengan Kerberos yang ada dalam Layanan Federasi FS iklan.
  2. Memulihkan konfigurasi masing-masing server AD FS Federasi kampung server untuk pengaturan otentikasi sebelumnya sebelum mengikuti langkah-langkah di bagian "Resolusi". Untuk memulihkan konfigurasi masing-masing server AD FS Federasi kampung server, ikuti langkah berikut:
    1. Di Penjelajah Windows, Cari C:\inetpub\adfs\ls\ folder, dan kemudian menghapus berkas Web.config.
    2. Memindahkan cadangan dari file web.config yang Anda buat pada "langkah 1: mengedit file web.config pada setiap server di peternakan server AD FS Federasi" bagian ke C:\inetpub\adfs\ls\ folder.
  3. Di wantian perintah yang ditinggikan, restart IIS dengan menggunakan perintah iisreset .
  4. Periksa bahwa perilaku otentikasi AD FS beralih ke edisi asli.

SOLUSI

Untuk mengatasi masalah Kerberos yang membatasi AD FS otentikasi, menggunakan satu atau lebih metode berikut, yang sesuai untuk situasi.

Resolusi 1: Reset AD FS pengaturan otentikasi ke nilai asali

Perkecil gambar iniPerbesar gambar ini
assets folding start collapsed
Jika pengaturan otentikasi AD FS IIS salah, atau pengaturan otentikasi IIS untuk AD FS Federation Services dan layanan Proxy tidak cocok, salah satu solusinya adalah untuk me-reset semua pengaturan otentikasi IIS untuk pengaturan default AD FS.

Pengaturan otentikasi default tercantum dalam Daftar Tabel berikut.
Perkecil tabel iniPerbesar tabel ini
Virtual aplikasiOtentikasi level(s)
Standar situs Web/adfsAnonim otentikasi
Standar situs Web/adfs/lsAnonim otentikasi
Windows otentikasi
Pada setiap server AD FS Federasi dan setiap AD FS Federasi server proxy, menggunakan informasi dalam artikel Microsoft TechNet berikut untuk me-reset AD FS IIS virtual aplikasi untuk otentikasi pengaturan default:
Mengkonfigurasi otentikasi di IIS 7
Untuk selengkapnya tentang cara mengatasi kesalahan ini, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
907273 Mengatasi masalah kesalahan HTTP 401 di IIS

871179 Anda menerima "HTTP Error 401.1 - tidak sah: Akses ditolak karena kredensial tidak valid" pesan galat ketika Anda mencoba untuk mengakses situs web yang merupakan bagian dari kolam aplikasi IIS 6.0

Perkecil gambar iniPerbesar gambar ini
assets folding end collapsed

Resolusi 2: Memperbaiki AD FS Federasi kampung server SPN

Perkecil gambar iniPerbesar gambar ini
assets folding start collapsed
Catatan Coba resolusi ini hanya ketika AD FS diimplementasikan sebagai Federasi kampung server. Jangan mencoba resolusi ini dalam konfigurasi AD FS berdiri sendiri.

Untuk mengatasi masalah jika SPN untuk layanan AD FS hilang atau rusak pada account layanan AD FS, ikuti langkah-langkah di salah satu server di peternakan server AD FS Federasi:
  1. Buka manajemen snap-in layanan. Untuk melakukannya, klik mulai, klik Semua program, klik Alat administratif, dan kemudian klik Layanan.
  2. klik ganda AD FS layanan Windows (2.0).
  3. Pada Log On tab, perhatikan account layanan yang ditampilkan dalam Account ini.
  4. Klik mulai, klik Semua program, klik aksesori, klik kanan-atas Prompt Perintah, dan kemudian klik Jalankan sebagai administrator.
  5. Jenis SetSPN-f-q host /<AD fs="" service="" name=""></AD>, kemudian tekan Enter.

    Catatan Dalam perintah ini, <AD fs="" service="" name=""></AD> mewakili nama domain sepenuhnya memenuhi syarat Layanan (FQDN name) akhir Layanan AD FS. Tidak mewakili nama host Windows Server AD FS.
    • Jika lebih dari satu entri dikembalikan untuk perintah, dan hasilnya terkait dengan account pengguna selain yang tercatat pada langkah 3, menghapus hubungan. Untuk melakukan ini, jalankan perintah berikut:
      SetSPN-d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Jika lebih dari satu entri dikembalikan untuk perintah, dan SPN menggunakan nama yang sama sebagai nama komputer server AD FS di Windows, nama endpoint Federasi untuk AD FS tidak betul. AD FS telah diterapkan lagi. FQDN AD FS Federasi kampung server tidak harus sama dengan nama host Windows Server yang sudah ada.
    • Jika SPN tidak sudah ada, jalankan perintah berikut:
      SetSPN-sebuah host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Catatan Dalam perintah ini, <username of="" service="" account=""></username> mewakili Nama pengguna yang tercatat pada langkah 3.
  6. Setelah langkah-langkah yang dilakukan pada semua server di peternakan server AD FS Federasi, klik-kanan Layanan Windows AD FS (2.0) dalam manajemen snap-in layanan, dan kemudian klik Restart.
Perkecil gambar iniPerbesar gambar ini
assets folding end collapsed

Resolusi 3: Menyelesaikan diperpanjang perlindungan untuk otentikasi keprihatinan

Perkecil gambar iniPerbesar gambar ini
assets folding start collapsed
Untuk mengatasi masalah jika diperpanjang perlindungan untuk otentikasi mencegah sukses otentikasi, gunakan salah satu metode yang direkomendasikan:
  • Metode 1: Gunakan Windows Internet Explorer 8 (atau versi yang lebih baru program) untuk masuk.
  • Metode 2: mempublikasikan AD FS Layanan Internet sedemikian rupa bahwa menjembatani SSL, SSL pembongkaran atau stateful packet penyaringan tidak menulis ulang data muatan IP. Rekomendasi praktek terbaik untuk tujuan ini adalah dengan menggunakan AD FS server proksi.
  • Metode 3: tutup atau Nonaktifkan pemantauan atau mendekripsi SSL aplikasi.
Jika Anda tidak dapat menggunakan metode ini, untuk bekerja di sekitar masalah ini, diperpanjang perlindungan untuk otentikasi dapat dinonaktifkan untuk klien pasif dan aktif.

Solusi: Nonaktifkan diperpanjang perlindungan untuk otentikasi

PeringatanKami tidak menganjurkan bahwa Anda menggunakan prosedur ini sebagai solusi jangka panjang. Menonaktifkan diperpanjang perlindungan untuk otentikasi melemahkan AD FS layanan keamanan profil dengan tidak mendeteksi serangan pria-di-the-tengah tertentu pada Endpoint Otentikasi Windows Terpadu.

Catatan Ketika solusi ini diterapkan untuk fungsionalitas aplikasi pihak ketiga, Anda juga harus menghapus perbaikan terbaru pada sistem operasi klien untuk diperpanjang perlindungan untuk otentikasi. Untuk informasi lebih lanjut tentang perbaikan terbaru, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
968389 Diperpanjang perlindungan untuk otentikasi
Untuk klien pasif
Untuk menonaktifkan diperpanjang perlindungan untuk otentikasi untuk klien pasif, lakukan prosedur berikut untuk aplikasi virtual IIS berikut di semua server AD FS Federasi server peternakan:
  • Standar situs Web/adfs
  • Standar situs Web/adfs/ls
Untuk melakukannya, ikuti langkah berikut:
  1. Buka IIS manajer dan navigasikan ke tingkat yang Anda ingin mengelola. Untuk informasi tentang membuka manajer IIS, lihat Buka IIS manajer (IIS 7).
  2. Dalam pandangan fitur, klik ganda otentikasi.
  3. Pada halaman otentikasi, pilih Windows otentikasi.
  4. Dalam tindakan panel, klik Advanced Settings.
  5. Ketika muncul kotak dialog Advanced Settings , pilih Offdaridiperpanjang perlindungan menu turun.
Untuk klien yang aktif
Untuk menonaktifkan diperpanjang perlindungan untuk otentikasi untuk klien aktif, lakukan prosedur berikut pada server AD FS utama:
  1. Buka Windows PowerShell.
  2. Jalankan perintah berikut untuk me-load Windows PowerShell untuk AD FS snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Jalankan perintah berikut agar dapat menonaktifkan diperpanjang perlindungan untuk otentikasi:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Mengaktifkan kembali diperpanjang perlindungan untuk otentikasi

Untuk klien pasif
Untuk mengaktifkan ulang diperpanjang perlindungan untuk otentikasi untuk klien pasif, lakukan prosedur berikut untuk aplikasi virtual IIS berikut di semua server AD FS Federasi server peternakan:
  • Standar situs Web/adfs
  • Standar situs Web/adfs/ls
Untuk melakukannya, ikuti langkah berikut:
  1. Buka IIS manajer dan navigasikan ke tingkat yang Anda ingin mengelola. Untuk informasi tentang membuka manajer IIS, lihat Buka IIS manajer (IIS 7).
  2. Dalam pandangan fitur, klik ganda otentikasi.
  3. Pada halaman otentikasi, pilih Windows otentikasi.
  4. Dalam tindakan panel, klik Advanced Settings.
  5. Ketika muncul kotak dialog Advanced Settings , pilih terimadari menu turun Diperpanjang perlindungan .
Untuk klien yang aktif
Untuk mengaktifkan ulang diperpanjang perlindungan untuk otentikasi untuk klien aktif, lakukan prosedur berikut pada server AD FS utama:
  1. Buka Windows PowerShell.
  2. Jalankan perintah berikut untuk me-load Windows PowerShell untuk AD FS snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Jalankan perintah berikut untuk mengaktifkan diperpanjang perlindungan untuk otentikasi:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Perkecil gambar iniPerbesar gambar ini
assets folding end collapsed

Resolusi 4: Ganti CNAME records dengan catatan untuk AD FS

Perkecil gambar iniPerbesar gambar ini
assets folding start collapsed
Menggunakan alat bantu manajemen DNS untuk mengganti setiap record DNS Alias (CNAME) yang digunakan selama Layanan Federasi dengan alamat penyuratan DNS record (yang). Juga, periksa atau mempertimbangkan perusahaan pengaturan DNS ketika Konfigurasi DNS split-brain dilaksanakan. Untuk informasi lebih lanjut tentang bagaimana mengelola data DNS, kunjungi website Microsoft TechNet berikut:
Mengelola data DNS
Perkecil gambar iniPerbesar gambar ini
assets folding end collapsed

Resolusi 5: Mengatur Internet Explorer sebagai AD FS klien untuk akses terusan (SSO akses)

Perkecil gambar iniPerbesar gambar ini
assets folding start collapsed
Untuk selengkapnya tentang cara mengatur Internet Explorer untuk mengakses AD FS, lihat artikel Pangkalan Pengetahuan Microsoft berikut:
2535227 Pengguna Federasi adalah tiba-tiba diminta untuk memasukkan kredensial mereka bila mereka mengakses sumber daya Office 365
Perkecil gambar iniPerbesar gambar ini
assets folding end collapsed

INFORMASI LEBIH LANJUT

Untuk membantu melindungi jaringan, AD FS menggunakan diperpanjang perlindungan untuk otentikasi. Diperpanjang perlindungan untuk otentikasi dapat membantu mencegah serangan pria-di-the-tengah di mana penyerang penyadapan klien kredensial dan meneruskan mereka ke server. Perlindungan terhadap serangan tersebut dimungkinkan dengan menggunakan karya mengikat Channel (CBT). CBT dapat diperlukan, memungkinkan, atau tidak diperlukan oleh server ketika communications diperjelas dengan klien.

Pengaturan ExtendedProtectionTokenCheck AD FS menentukan tingkat diperpanjang perlindungan untuk otentikasi yang didukung oleh server Federasi. Ini adalah nilai yang tersedia untuk pengaturan ini:
  • Memerlukan: server sepenuhnya mengeras. Diperpanjang perlindungan ditegakkan.
  • Izinkan: ini adalah pengaturan default. Server sebagian mengeras. Perlindungan tambahan yang diperlukan untuk sistem terlibat yang berubah untuk mendukung fitur ini.
  • Tidak ada: server rentan. Diperpanjang perlindungan tidak diberlakukan.
Daftar Tabel berikut menjelaskan bagaimana otentikasi beroperasi untuk tiga sistem operasi dan browser, tergantung pada pilihan diperpanjang perlindungan yang berbeda yang tersedia di AD FS dengan IIS.

Catatan sistem operasi Windows klien harus spesifik pembaruan yang diinstal secara efektif menggunakan fitur diperpanjang perlindungan. secara asali, fitur diaktifkan di AD FS. Pembaruan ini tersedia dari artikel Pangkalan Pengetahuan Microsoft berikut:
968389 Diperpanjang perlindungan untuk otentikasi
secara asali, Windows 7 termasuk binari tepat untuk menggunakan perlindungan diperpanjang.

Windows 7 (atau tepat diperbarui versi Windows Vista atau Windows XP)
Perkecil tabel iniPerbesar tabel ini
PengaturanMemerlukanMemungkinkan (default)Tidak ada
Komunikasi Windows
Yayasan (WCF) klien (semua Endpoint)
KaryaKaryaKarya
Internet Explorer 8KaryaKaryaKarya
Firefox 3,6GagalGagalKarya
Safari 4.0.4GagalGagalKarya
Windows Vista tanpa pembaruan sesuai
Perkecil tabel iniPerbesar tabel ini
PengaturanMemerlukanMemungkinkan (default)Tidak ada
Klien WCF (semua Endpoint)GagalKaryaKarya
Internet Explorer 8KaryaKaryaKarya
Firefox 3,6GagalKarya Karya
Safari 4.0.4GagalKarya Karya
Windows XP tanpa pembaruan sesuai
Perkecil tabel iniPerbesar tabel ini
PengaturanMemerlukanMemungkinkan (default)Tidak ada
Internet Explorer 8KaryaKaryaKarya
Firefox 3,6GagalKarya Karya
Safari 4.0.4GagalKarya Karya
Untuk informasi lebih lanjut tentang diperpanjang perlindungan untuk otentikasi, tampilan sumber daya daya Microsoft berikut:
968389 Diperpanjang perlindungan untuk otentikasi
Mengkonfigurasi opsi lanjutan untuk AD FS 2.0
Untuk selengkapnya tentang cmdlet Set-ADFSProperties , kunjungi website Microsoft berikut:
Set-ADFSProperties

Video: Perulangan Credential prompt ketika masuk ke Office 365 menggunakan identity federation Account

Perkecil gambar iniPerbesar gambar ini
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://AKA.ms/wqsfve
Perkecil gambar iniPerbesar gambar ini
assets video2

Video: pengguna gabungan yang berulang kali diminta untuk kredensial dan tidak dapat Sign In ke Office 365

Perkecil gambar iniPerbesar gambar ini
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://AKA.ms/lifluf
Perkecil gambar iniPerbesar gambar ini
assets video2

Masih perlu bantuan? Pergi ke Komunitas Office 365 situs web atau Forum Azure Active Directory .

Produk pihak ketiga yang didiskusikan dalam artikel ini dibuat oleh perusahaan yang independen terhadap Microsoft. Microsoft tidak membuat jaminan, tersirat atau sebaliknya, berkenaan dengan kinerja atau keandalan produk ini

Properti

ID Artikel: 2461628 - Kajian Terakhir: 21 Juni 2014 - Revisi: 20.0
Berlaku bagi:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Kata kunci: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2461628

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com