페더레이션된 사용자가 반복적으로 자격 증명을 로그인 Office 365, Azure 또는 Windows Intune을 중

기술 자료 번역 기술 자료 번역
기술 자료: 2461628 - 이 문서가 적용되는 제품 보기.
중요 이 문서에서는 낮은 보안 설정을 데 도움이 되는 방법 또는 컴퓨터의 보안 기능을 해제하는 방법을 보여 주는 정보가 포함되어 있습니다. 특정 문제를 해결하려면 이러한 변경을 할 수 있습니다. 이렇게 변경하기 전에 특정 환경에서 이 해결 방법을 구현하는 관련된 위험을 평가하는 것이 좋습니다. 이 해결 방법을 구현할 경우 적절한 추가 단계를 수행하여 컴퓨터를 보호할 수 있습니다.
모두 확대 | 모두 축소

이 페이지에서

문제

페더레이션된 사용자 자격 증명 확인 반복적으로 사용자 Office 365, Microsoft Azure Windows Intune 등 Microsoft 클라우드 서비스에 로그인 하는 동안 Active Directory 페더레이션 서비스 (ADFS) 서비스 끝점을 인증 하려고 할 때. 사용자가 다음과 같은 오류 메시지가 받습니다.
액세스가 거부 되었습니다.

원인

ADFS 사용 하 여 Windows 통합 인증을 사용 하 여 문제 증상을 나타냅니다. 이 문제가 발생할 수 있습니다 또는 이상 다음 조건 중:
  • 잘못 된 사용자 이름이 나 암호를 사용 했습니다.
  • 인터넷 정보 서비스 (IIS) 인증 설정은 잘못 설정 Adfs에서.
  • 서비스 사용자 이름 (SPN) AD FS 페더레이션 서버 팜에서 실행 하는 데 사용 되는 서비스 계정과 관련 된 손실 또는 손상.

    참고 Adfs는 페더레이션 서버 팜 구현 하는 경우에 발생 하 고 독립 실행형 구성에서 구현 되지 않습니다.
  • 하나 이상의 인증을 위한 확장 된 보호 하 여 중간자 개입 공격을 원본으로 식별 됩니다.
    • 일부 타사 인터넷 브라우저
    • 회사 네트워크 방화벽, 네트워크 부하 분산 장치 또는 기타 네트워크 장치는 IP 페이로드 데이터 잠재적으로 다시 작성 하는 방식으로 인터넷에 ADFS 페더레이션 서비스 게시 됩니다. 가능한 경우 다음과 같은 종류의 데이터 포함 됩니다.
      • Secure Sockets Layer (SSL) 브리징
      • SSL 오프 로딩
      • 상태 저장 패킷 필터링

        자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
        2510193Adfs를 사용 하 여 단일 로그온 Office 365, Azure 또는 Windows Intune 설정에 대해 지원 되는 시나리오
    • 설치 된 또는 클라이언트 컴퓨터에 활성화 된 모니터링 또는 SSL 암호 해독 응용 프로그램
  • ADFS 서비스 끝점의 도메인 이름 시스템 (DNS) 해상도 통해 CNAME 레코드 조회 대신 A 레코드 조회 프로그램을 통해 수행 되었습니다.
  • Windows Internet Explorer Windows 통합 인증을 AD FS 서버에 전달 하도록 구성 되지 않았습니다.

문제 해결을 시작 하기 전에

사용자 이름과 암호가 없는지 확인 문제의 원인이 있습니다.
  • 올바른 사용자 이름이 사용 되 고 사용자 원칙 이름 (UPN) 형식으로 되어 있는지 확인 하십시오. 예를 들어, johnsmith@contoso.com입니다.
  • 올바른 암호를 사용 하 고 있는지 확인 하십시오. 올바른 암호를 사용 하는 다시 한 번 확인을 하려면 사용자 암호를 다시 설정 할 수 있습니다. 자세한 내용은 Microsoft TechNet 문서를 참조 하십시오.
    사용자 암호 재설정
  • 계정 없는 잠겨, 만료 되었거나 지정 된 로그온 시간이 사용 되는 있는지 확인 하십시오. 자세한 내용은 Microsoft TechNet 문서를 참조 하십시오.
    사용자 관리

원인을 확인 하십시오.

Kerberos 문제로 인해 문제가 있는지를 확인 하려면 일시적으로 ADFS 페더레이션 서버 팜에서 폼 기반 인증을 사용 하 여 Kerberos 인증을 무시 합니다. 이렇게 하려면, 다음과 같이 하십시오.

1 단계: AD FS 페더레이션 서버 팜의 각 서버에서 web.config 파일을 편집
  1. Windows 탐색기에서 C:\inetpub\adfs\ls\ 폴더를 찾아 다음 web.config 파일의 백업 복사본을 확인 합니다.
  2. 시작, 모든프로그램, 보조 프로그램, 메모장을 마우스 오른쪽 단추로 및 관리자 권한으로 실행을 클릭 합니다.
  3. 파일 메뉴에서 열기를 클릭 합니다. 에 파일 이름 상자에 입력 합니다C:\inetpub\adfs\ls\web.config를 클릭 하 고 열기를 클릭 합니다.
  4. Web.config 파일에서 다음과이 같이 하십시오.
    1. 포함 된 줄을 찾습니다 <authentication mode=""> </authentication>를 변경 하 고 <authentication mode="Forms"> </authentication>.
    2. 로 시작 하는 항목을 찾습니다 <localAuthenticationTypes> </localAuthenticationTypes>, 다음 섹션을 변경 하는 <add name="Forms"></add> 먼저, 다음과 같은 항목이 나타납니다:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. 파일 메뉴에서 저장을 클릭 합니다.
  6. 상승된 된 명령 프롬프트에서 iisreset 명령을 사용 하 여 IIS를 다시 시작 합니다.
2 단계: 테스트 AD FS 기능
  1. 연결 하 고 온-프레미스에 인증 하는 클라이언트 컴퓨터에서 AD DS 환경에서는 클라우드 서비스 포털에 로그인 합니다.

    원활한 인증 경험을 대신는 양식 기반 로그인 해야 발생할 수 있습니다. 로그인에 성공할 경우 폼 기반 인증을 사용 하 여 ADFS 페더레이션 서비스에 Kerberos 사용 하 여 문제가 있는지 확인 합니다.
  2. "해결 방법" 절의 단계를 수행 하기 전에 이전 인증 설정을 AD FS 페더레이션 서버 팜에 있는 각 서버의 구성으로 되돌립니다. ADFS 페더레이션 서버 팜에 있는 각 서버의 구성으로 되돌리려면 다음과이 같이 하십시오.
    1. Windows 탐색기에서 C:\inetpub\adfs\ls\ 폴더를 찾아 다음 web.config 파일을 삭제 합니다.
    2. 만든 web.config 파일의 백업을 이동의 "1 단계: AD FS 페더레이션 서버 팜의 각 서버에서 web.config 파일을 편집" C:\inetpub\adfs\ls\ 폴더에 섹션.
  3. 상승된 된 명령 프롬프트에서 iisreset 명령을 사용 하 여 IIS를 다시 시작 합니다.
  4. 원래 문제는 돌아갑니다 ADFS 인증 동작을 확인 합니다.

해결 방법

AD FS 인증에 제한 된 Kerberos 문제를 해결 하려면 상황에 맞게 다음 방법 중 하나 이상을 사용 합니다.

해결 방법 1: 원래 대로 AD FS 인증 설정을 기본 값으로

그림 축소그림 확대
assets folding start collapsed
AD FS IIS 인증 설정을 올바른지 또는 AD FS 페더레이션 서비스와 프록시 서비스에 대 한 IIS 인증 설정에서 일치 하지 않는 경우 한 가지 방법은 모든 IIS 인증 설정을 AD FS 기본 설정으로 다시 설정 합니다.

기본 인증 설정은 다음 테이블에 나열 됩니다.
표 축소표 확대
가상 응용 프로그램인증 수준
기본 웹 사이트/adf익명 인증
기본 웹 사이트/adf/ls익명 인증
Windows 인증
각 ADFS 페더레이션 서버 및 ADFS 페더레이션 서버 프록시가 각는 기본 인증 설정을 AD FS IIS 가상 응용 프로그램을 다시 설정 하려면 Microsoft TechNet의 다음 문서에서 정보를 사용.
IIS 7.0에서에서 인증 구성
이 오류를 해결 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
907273 IIS에서 HTTP 401 오류 문제 해결

871179 표시는 "HTTP 오류 401.1-권한이 없음: 잘못 된 자격 증명 때문에 액세스가 거부 되었습니다" IIS 6.0 응용 프로그램 풀의 일부인 웹 사이트에 액세스 하려고 하면 오류 메시지가 나타난다

그림 축소그림 확대
assets folding end collapsed

해결 방법 2: ADFS 페더레이션 서버 팜에 SPN 수정

그림 축소그림 확대
assets folding start collapsed
참고Adfs는 페더레이션 서버 팜 구현 하는 경우에이 해결 해 보십시오. 이 해결 방법은 독립 실행형 AD FS 구성에서 하지 마십시오.

ADFS 서비스에 대 한 SPN를 잃어버리거나 손상 ADFS 서비스 계정에이 문제를 해결 하려면 AD FS 페더레이션 서버 팜의 한 서버에서 다음이 단계를 수행 합니다.
  1. 서비스 관리 스냅인을 엽니다. 이렇게 시작, 모든 프로그램, 관리 도구차례로 클릭 한 다음 서비스를 누릅니다.
  2. AD FS (2.0) Windows 서비스를 두 번 클릭 합니다.
  3. 로그에 탭에서 계정에 표시 되는 서비스 계정을 확인 합니다.
  4. 시작, 모든프로그램, 보조 프로그램, 명령 프롬프트마우스 오른쪽 단추로 및 관리자 권한으로 실행을 클릭 합니다.
  5. 형식 SetSPN ? f q-호스트 /<AD fs="" service="" name=""></AD>를 누른 다음 Enter 키를 누릅니다.

    참고이 명령에서 <AD fs="" service="" name=""></AD> ADFS 서비스 끝점의 정규화 된 도메인 이름 (FQDN) 서비스 이름을 나타냅니다. ADFS 서버 Windows 호스트 이름을 나타내지 않습니다.
    • 명령에 대 한 항목이 둘 이상 반환 결과 3 단계에서 설명한 것과 다른 사용자 계정과 관련 된 경우 해당 연결을 제거 합니다. 이렇게 하려면 다음 명령을 실행 합니다.
      SetSPN ? d 호스트 /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • 명령에 대 한 항목이 둘 이상 반환 됩니다 SPN ADFS 서버 창에 컴퓨터 이름과 동일한 이름을 사용 하는 경우 adfs 페더레이션 끝점 이름이 올바르지 않습니다. AD FS에 다시 구현할 수 있습니다. FQDN을 AD FS 페더레이션 서버 팜의 기존 서버의 Windows 호스트 이름과 같을 수 없습니다.
    • SPN가 아직 없는 경우 다음 명령을 실행 합니다.
      SetSPN ? 호스트 /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      참고이 명령에서 <username of="" service="" account=""></username> 3 단계에서 확인 된 사용자 이름을 나타냅니다.
  6. ADFS 페더레이션 서버 팜의 모든 서버에서 다음이 단계를 수행 후 AD FS (2.0) Windows 서비스 는 서비스 관리 스냅인에서 마우스 오른쪽 단추로 및 다음 다시 시작을 클릭 합니다.
그림 축소그림 확대
assets folding end collapsed

해결 방법 3: 인증 문제에 대 한 확장 된 보호를 해결

그림 축소그림 확대
assets folding start collapsed
인증을 위한 확장 된 보호 하면 성공적으로 인증 하는 경우 문제를 해결 하려면 다음 중 하나를 사용 하 여 권장 방법:
  • 방법 1: 로그인을 사용 하 여 Windows Internet Explorer 8 (또는 이후 버전의 프로그램).
  • 방법 2: ADFS 서비스 SSL 브리징, SSL 오프 로딩을 또는 상태 저장 패킷 필터링 IP 페이로드 데이터 재작성 하지 않는 방식으로 인터넷에 게시 합니다. 이 목적을 위해 모범 사례 권장 사항 AD FS 프록시 서버를 사용 하는.
  • 방법 3: 닫기 또는 모니터링 사용 안 함 또는 응용 프로그램 SSL 암호 해독 합니다.
이 문제를 해결 하려면 다음이 방법 중 하나를 사용할 수 없으면, 수동 및 능동 클라이언트 인증을 위한 확장 된 보호를 해제할 수 있습니다.

해결 방법: 인증을 위한 확장 된 보호를 사용 하지 않도록 설정

경고이 절차를 사용 하 여 장기적인 솔루션으로 권장 하지 않습니다. 인증을 위한 확장 된 보호를 사용 하지 않도록 설정 하지 Windows 통합 인증 끝점에서 특정 중간자 개입 공격을 감지 하 여 ADFS 서비스 보안 프로필을 시킵니다.

참고 타사 응용 프로그램 기능에 대 한이 대안을 적용 하면 인증을 위한 확장 된 보호에 대 한 클라이언트 운영 체제에 핫픽스도 제거 해야 합니다. 해당 핫픽스에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
968389 인증을 위한 확장 된 보호
수동 클라이언트
수동 클라이언트 인증을 위한 확장 된 보호를 사용 하지 않으려면 다음 IIS 가상 응용 프로그램이 AD FS 페더레이션 서버 팜에 있는 모든 서버에 대해 다음 절차를 수행 합니다.
  • 기본 웹 사이트/adf
  • 기본 웹 사이트/adf/ls
이렇게 하려면, 다음과 같이 하십시오.
  1. IIS 관리자를 열고 관리 하려는 수준으로 이동 합니다. IIS 관리자를 여는 방법에 대 한 정보를 참조 하십시오. IIS 관리자를 열고 (IIS 7).
  2. 기능 보기에서 인증을 두 번 클릭 합니다.
  3. 인증 페이지에서 Windows 인증을 선택 합니다.
  4. 작업 창에서 고급 설정을 클릭 합니다.
  5. 고급 설정 대화 상자가 나타나면 선택 오프에서확장 된 보호 드롭 다운 메뉴.
현재 클라이언트에 대 한
활성 클라이언트 인증을 위한 확장 된 보호를 사용 하지 않으려면 기본 ADFS 서버에서 다음 절차를 수행 합니다.
  1. Windows PowerShell 엽니다.
  2. Windows PowerShell ADFS 스냅인을 로드 하려면 다음 명령을 실행 합니다.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 인증을 위한 확장 된 보호를 사용 하지 않도록 설정 하려면 다음 명령을 실행 합니다.
    Set-ADFSProperties ?ExtendedProtectionTokenCheck “None”

인증을 위한 확장 된 보호를 다시 설정

수동 클라이언트
수동 클라이언트 인증을 위한 확장 된 보호를 다시 사용 하는 경우 다음 IIS 가상 응용 프로그램이 AD FS 페더레이션 서버 팜에 있는 모든 서버에 대해 다음 절차를 수행.
  • 기본 웹 사이트/adf
  • 기본 웹 사이트/adf/ls
이렇게 하려면, 다음과 같이 하십시오.
  1. IIS 관리자를 열고 관리 하려는 수준으로 이동 합니다. IIS 관리자를 여는 방법에 대 한 정보를 참조 하십시오. IIS 관리자를 열고 (IIS 7).
  2. 기능 보기에서 인증을 두 번 클릭 합니다.
  3. 인증 페이지에서 Windows 인증을 선택 합니다.
  4. 작업 창에서 고급 설정을 클릭 합니다.
  5. 고급 설정 대화 상자가 나타나면 수락확장 보호 드롭 다운 메뉴에서 선택 합니다.
현재 클라이언트에 대 한
활성 클라이언트 인증을 위한 확장 된 보호를 다시 사용 기본 ADFS 서버에서 다음 절차를 수행 합니다.
  1. Windows PowerShell 엽니다.
  2. Windows PowerShell ADFS 스냅인을 로드 하려면 다음 명령을 실행 합니다.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 인증을 위한 확장 된 보호를 사용 하려면 다음 명령을 실행 합니다.
    Set-ADFSProperties ?ExtendedProtectionTokenCheck “Allow”
그림 축소그림 확대
assets folding end collapsed

해결 방법 4: 대체 Adfs에 대 한 레코드와 CNAME 레코드

그림 축소그림 확대
assets folding start collapsed
대체 DNS 사용 하 여 페더레이션 서비스에 사용 되는 각 DNS 별칭 (CNAME) 레코드를 DNS 관리 도구를 사용 하는 (A) 레코드를 해결 합니다. 또한 확인 하거나 회사 DNS 설정 때는 split-brain DNS 구성이 구현 됩니다. DNS 레코드를 관리 하는 방법에 대 한 자세한 내용은 다음 Microsoft TechNet 웹 사이트로 이동 합니다.
DNS 레코드를 관리합니다.
그림 축소그림 확대
assets folding end collapsed

해결 방법 5: ADFS 클라이언트에 단일 사인온 (SSO)으로 Internet Explorer 설정

그림 축소그림 확대
assets folding start collapsed
ADFS 액세스에 대 한 Internet Explorer 설정 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하십시오.
2535227 페더레이션된 사용자는 Office 365 리소스에 액세스할 때 자격 증명을 입력 하도록 예기치 않게 요청
그림 축소그림 확대
assets folding end collapsed

자세한 내용

네트워크를 보호 하기 위해 ADFS 인증을 위한 확장 된 보호를 사용 합니다. 인증을 위한 확장 된 보호는 공격자가 클라이언트의 자격 증명을 가로채 고 서버로 전달 끼어 들기 공격을 방지할 수 있습니다. 채널 바인딩 동산 (CBT)를 사용 하 여 이러한 공격 으로부터 보호 수 있게 됩니다. CBT 필수 허용 하거나 커뮤니케이션 클라이언트를 사용 하 여 설정 된 경우 서버에서 필요 하지 될 수 있습니다.

설정은 ExtendedProtectionTokenCheck AD FS 페더레이션 서버에 의해 지원 되는 인증을 위한 확장 된 보호 수준을 지정 합니다. 이 설정의 가능한 값은 다음과 같습니다.
  • 필요: 서버를 완전 하 게 강화 된. 확장 된 보호 적용 됩니다.
  • 허용: 이것이 기본 설정입니다. 서버를 부분적으로 강화 된. 이 기능을 지원 하도록 변경 되는 관련된 시스템에 대 한 확장 된 보호 적용 됩니다.
  • 없음: 서버는 취약 합니다. 확장 된 보호 적용 되지 않습니다.
다음 표에서 세 운영 체제 및 브라우저에서 IIS 사용 하 여 AD FS에서 사용할 수 있는 다양 한 보호 확장 옵션에 따라 인증이 작동 하는 방식을 설명 합니다.

참고 Windows 클라이언트 운영 체제 특정 업데이트를 효과적으로 확장 된 보호 기능을 사용 하려면 설치 되어 있어야 합니다. 기본적으로 adfs에서 기능이 활성화 됩니다. 이러한 업데이트는 다음 Microsoft 기술 자료 문서에서 사용할 수 있습니다.
968389 인증을 위한 확장 된 보호
기본적으로 Windows 7에는 확장 된 보호를 사용 하 여 적절 한 이진 파일이 포함 되어 있습니다.

Windows 7 (또는 적절 하 게 업데이트 된 버전의 Windows Vista 또는 Windows XP의)
표 축소표 확대
설정필요허용 (기본값)없음
Windows 통신
Foundation (WCF) 클라이언트 (모든 끝점)
작동작동작동
Internet Explorer 8작동작동작동
Firefox 3.6실패실패작동
Safari 4.0.4실패실패작동
적절 한 업데이트를 하지 않고 Windows Vista
표 축소표 확대
설정필요허용 (기본값)없음
WCF 클라이언트 (모든 끝점)실패작동작동
Internet Explorer 8작동작동작동
Firefox 3.6실패작동 작동
Safari 4.0.4실패작동 작동
적절 한 업데이트를 하지 않고 Windows XP
표 축소표 확대
설정필요허용 (기본값)없음
Internet Explorer 8작동작동작동
Firefox 3.6실패작동 작동
Safari 4.0.4실패작동 작동
인증을 위한 확장 된 보호에 대 한 자세한 내용은 다음 Microsoft 리소스를 참조 하십시오.
968389 인증을 위한 확장 된 보호
AD FS 2.0에 대 한 고급 옵션 구성
집합 ADFSProperties cmdlet에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 이동.
집합 ADFSProperties

비디오: 계정 페더레이션 Office 365 Id를 사용 하 여 로그인 하면 표시 자격 증명을 반복

그림 축소그림 확대
assets video1
uuid VideoUrl206faa92-f769-445d-8cd6-0c3f45a0ecc3 = =http://aka.ms/wqsfve
그림 축소그림 확대
assets video2

비디오: 페더레이션된 사용자 자격 증명 및 없습니다 로그인 Office 365를 반복적으로 입력 됩니다.

그림 축소그림 확대
assets video1
uuid VideoUrl3add2284-c878-46f8-881c-ba6c8bb6286a = =http://aka.ms/lifluf
그림 축소그림 확대
assets video2

도움이 더 필요하십니까? 이동 하는 Office 365 커뮤니티 웹 사이트 또는 Azure Active Directory 포럼 !

이 문서에서 설명하는 제3사 제품군 중 일부는 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft 어떠한 보증도, 묵시적 또는 성능 또는 안정성 이러한 제품에 대 한

속성

기술 자료: 2461628 - 마지막 검토: 2014년 6월 21일 토요일 - 수정: 22.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
키워드:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtko
기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:2461628

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com