Een federatieve gebruiker wordt herhaaldelijk gevraagd naar referenties wanneer hij of zij maakt u verbinding met het AD FS-2.0-service-eindpunt bij het aanmelden van Office 365

Artikel ID: 2461628 - Bekijk de producten waarop dit artikel van toepassing is.
Automatische vertalingLET OP: Dit artikel is automatisch vertaald. Meer informatie treft u aan de onderzijde van dit artikel.
Dit artikel wordt Microsoft Office 365 365 voorbeeld van Microsoft Office en Microsoft Office 365 vóór de upgrade. De informatie over Office 365 Preview in dit artikel, met inbegrip van eventuele koppelingen, wordt onder voorbehoud gegeven en kan zonder kennisgeving worden gewijzigd.

U weet niet welke versie van Office 365 u gebruikt? Ga naar de volgende Microsoft-website:
Gebruik ik Office 365 na de upgrade van de service?
(http://office.microsoft.com/redir/HA103982331.aspx)
Belangrijk Dit artikel bevat informatie waarmee u beveiligingsinstellingen kunt verlagen of beveiligingsfuncties op een computer uitschakelen. U kunt deze wijzigingen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, wordt u aangeraden het evalueren van de risico's die gekoppeld zijn aan deze oplossing implementeren in uw omgeving. Als u deze oplossing implementeert, neem dan alle mogelijke extra maatregelen om de computer te beschermen.
Alles uitklappen | Alles samenvouwen

Op deze pagina

PROBLEEM

Een federatieve gebruiker wordt herhaaldelijk gevraagd zijn of haar referenties als de gebruiker probeert te verifiëren bij de Active Directory Federation Services (AD FS) 2.0-service-eindpunt tijdens aanmelden bij Microsoft Office 365. Wanneer de gebruiker annuleert, wordt het volgende foutbericht weergegeven:
Toegang geweigerd
Naar boven | Geef ons feedback

OORZAAK

Het symptoom duidt op een probleem met Windows geïntegreerde verificatie van de AD FS-2.0-service die wordt gebruikt om te communiceren in eigen identiteiten aan Office 365 identiteiten Active Directory Domain Services (AD DS). Dit probleem kan optreden als een of meer van de volgende voorwaarden wordt voldaan:
  • Er is een probleem met de referenties die worden gebruikt.
  • Internet Information Services (IIS) verificatie-instellingen zijn niet correct ingesteld in AD FS 2.0. Of IIS-verificatie-instellingen voor AD FS 2.0 Federation-Services en -Proxy Services komen niet overeen.
  • De service principal name (SPN) die is gekoppeld aan de service-account die wordt gebruikt voor de AD FS 2.0 federation-serverfarm is verloren of beschadigd.

    Opmerking Dit gebeurt alleen wanneer AD FS 2.0 is geïmplementeerd als een federatieserverfarm en niet in een zelfstandige configuratie wordt geïmplementeerd.
  • Een of meer van de volgende opties worden aangeduid met uitgebreide beveiliging voor verificatie als een bron van een man-in-the-middle-aanval:
    • Sommige Internet-browsers van derden
    • De firewall van het bedrijfsnetwerk, netwerk-taakverdeling of ander netwerkapparaat publiceert de AD FS 2.0 Federation-Service op het Internet op zodanige wijze dat IP-nettolading mogelijk worden herschreven. Deze bevat mogelijk de volgende soorten gegevens:
      • Secure Sockets Layer (SSL)-bridging
      • SSL-offloading
      • Via statusafhankelijke pakketfiltering

        Zie voor meer informatie het volgende artikel in de Microsoft Knowledge Base:
        2510193
        (http://support.microsoft.com/kb/2510193/ )
        Gevolgen van het gebruik van AD FS 2.0 voor het implementeren van één aanmelding in Office 365
    • Een controle- of SSL-decodering-toepassing is geïnstalleerd of is actief op de clientcomputer
  • Domain Name System (DNS) de resolutie van het AD FS-2.0-service-eindpunt is uitgevoerd via een CNAME-record opzoeken in plaats van via een A record opzoeken.
  • Windows Internet Explorer niet is geconfigureerd voor geïntegreerde Windows-verificatie doorgegeven aan de AD FS-2.0-server.

Voordat u bij het vaststellen van problemen met Kerberos

Voordat u verder wilt oplossen, moet u controleren of de gebruikersnaam en het wachtwoord niet de oorzaak van het probleem zijn.
  • Zorg ervoor dat de juiste gebruikersnaam wordt gebruikt. Voor toegang tot federatieve gebruiker is de UPN (User Principal Name) van de gebruikersaccount de enige geschikte indeling.
  • Zorg ervoor dat het juiste wachtwoord wordt gebruikt. Als u wilt controleren of het juiste wachtwoord wordt gebruikt, moet u wellicht het gebruikerswachtwoord opnieuw instellen. Zie voor meer informatie de volgende Microsoft TechNet-artikel:
    http://technet.Microsoft.com/en-us/library/cc754395.aspx
    (http://technet.microsoft.com/en-us/library/cc754395.aspx)
  • Zorg ervoor dat de account niet is vergrendeld, verlopen of buiten de aangewezen aanmeldingstijden gebruikt. Zie voor meer informatie de volgende Microsoft TechNet-artikel:
    http://technet.Microsoft.com/en-us/library/cc754661.aspx
    (http://technet.microsoft.com/en-us/library/cc754661.aspx)
Naar boven | Geef ons feedback

Controleer of de oorzaak

Om te controleren dat het probleem wordt veroorzaakt door problemen met Kerberos, Kerberos-verificatie tijdelijk te omzeilen door het forms-verificatie op de AD FS 2.0 federation-serverfarm inschakelen. Voer de volgende stappen uit:

Stap 1: Bewerken van het bestand web.config op elke server in het AD FS 2.0 Federation-Service-farm
  1. In Windows Verkenner, zoek de map C:\inetpub\adfs\ls\ en brengt u een back-up van het bestand web.config.
  2. Klik op Start, klikt u op Alle programma 's, klikt u op Bureau-accessoires, klik met de rechtermuisknop Kladblok, en klik vervolgens op Als administrator uitvoeren.
  3. Op de Bestand menu, klikt u op Open. In de Bestandsnaam vak, typ C:\inetpub\adfs\ls\web.config, en klik vervolgens op Open.
  4. In het bestand web.config de volgende stappen uit:
    1. Zoek de regel die bevat <authentication mode=""></authentication>, en vervolgens op <authentication mode="Forms"></authentication>.
    2. Ga naar de sectie die met begint <localAuthenticationTypes></localAuthenticationTypes>, en vervolgens de sectie te wijzigen zodat de <add name="Forms"></add> eerst, als volgt wordt vermeld:
      <localAuthenticationTypes>
      </localAuthenticationTypes><add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add>
  5. Op de Bestand menu, klikt u op Opslaan.
  6. Bij een opdrachtprompt door IIS opnieuw te starten via de opdracht iisreset .
Na deze procedure wordt uitgevoerd op elke server in het AD FS 2.0 federation-serverfarm, test AD FS 2.0-functionaliteit.

Stap 2: Test AD FS 2.0 functionaliteit
  1. Op een clientcomputer die is verbonden en geverifieerd aan de installaties op AD DS-omgeving, teken in de portal (Office 365https://Portal.microsoftonline.com
    (https://portal.microsoftonline.com)
    ), voer federatieve gebruikersaccount en klik vervolgens op deAanmelden bij Domeinnaam koppeling.

    In plaats van een naadloze verificatie ervaring, moet een op formulieren gebaseerde aanmelden worden opgetreden. Als-in geslaagd is op formulieren gebaseerde verificatie gebruikt, wordt dit bevestigd dat er een probleem met Kerberos in de AD FS 2.0 Federation-Service is.
  2. De configuratie van elke server in het AD FS 2.0 federation-serverfarm naar de vorige verificatieinstellingen herstellen voordat u de stappen in de sectie 'Oplossing'. Als u de configuratie van elke server in het AD FS 2.0 federation-serverfarm, als volgt te werk:
    1. In Windows Verkenner, zoek de map C:\inetpub\adfs\ls\ en verwijder het bestand web.config.
    2. Verplaatsen van de back-up van het web.config-bestand dat u hebt gemaakt in de ' stap 1: bewerken van het bestand web.config op elke server in het AD FS 2.0 Federation-Service-farm "sectie naar de map C:\inetpub\adfs\ls\.
  3. Bij een opdrachtprompt door IIS opnieuw te starten via de opdracht iisreset .
  4. Controleer dat de werking van AD FS-verificatie 2.0 keert terug naar het herhalen van verificatie.
Naar boven | Geef ons feedback

OPLOSSING

Gebruik een of meer van de volgende methoden, afhankelijk van de situatie op te lossen Kerberos dat verificatie grenzen AD FS 2.0.

Oplossing 1: Reset AD FS 2.0 verificatie-instellingen op de standaardwaarden

Als AD FS 2.0 IIS-verificatie-instellingen onjuist zijn of niet overeenkomen met IIS-verificatie-instellingen voor AD FS 2.0 Federation-Services en -Proxy Services, is één oplossing de AD FS-2.0 standaardinstellingen voor alle IIS-verificatie-instellingen herstellen.

Gebruik de informatie in de volgende Microsoft TechNet-artikel op elke federatieserver van AD FS 2.0 en elke AD FS 2.0 federation-serverproxy is de virtuele AD FS 2.0 IIS-toepassingen op de standaardverificatie-instellingen opnieuw instellen:
http://technet.Microsoft.com/en-us/library/cc733010 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/cc733010(WS.10).aspx)
In de volgende tabel staan de standaardverificatie-instellingen.
Deze tabel samenvouwenDeze tabel uitklappen
Virtuele toepassingVerificatie coderingsniveauGebruik door clients
Standaard website/adfsAnonieme verificatieAD FS 2.0 actieve aanvragers (rijke toepassingen)
Standaard AD FS-website/lsAnonieme verificatie
Windows-verificatie		AD FS 2.0 Passieve aanvragers (webbrowsers)
Voor meer informatie over het oplossen van deze fout klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:
907273
(http://support.microsoft.com/kb/907273/ )
HTTP 401-probleemoplossing in IIS
871179
(http://support.microsoft.com/kb/871179/ )
U ontvangt een ' HTTP-fout 401.1 - niet: toegang is geweigerd vanwege ongeldige referenties ' foutbericht wanneer u probeert toegang te krijgen tot een website die deel uitmaakt van een groep van IIS 6.0 toepassingen

Oplossing 2: Corrigeer de AD FS 2.0 Federation-Service-farm SPN

OpmerkingProbeer deze oplossing alleen als AD FS 2.0 is geïmplementeerd als een farm federation-service. Probeer deze oplossing niet in een AD FS-2.0 zelfstandige configuratie.

Het probleem oplossen als de SPN voor de AD FS-2.0-service verloren is gegaan of beschadigd op de serviceaccount voor AD FS 2.0, volgt u deze stappen op één server in het AD FS 2.0 federation-serverfarm:
  1. Open de module Services-beheer. Hiertoe klikt u op Start, klikt u op Alle programma 's, klikt u op Systeembeheer, en klik vervolgens op Services.
  2. Dubbelklik op 2.0 Windows-Service van AD FS.
  3. Op de Aanmelden Bekijk de serviceaccount die wordt weergegeven in Deze Account.
  4. Klik op Start, klikt u op Alle programma 's, klikt u op Bureau-accessoires, klik met de rechtermuisknop MS-DOS-Prompt, en klik vervolgens op Als administrator uitvoeren.
  5. Type SetSPN ?f ?q host /<AD fs="" service="" name=""></AD>, en druk vervolgens op Enter.

    OpmerkingIn deze opdracht <AD fs="" service="" name=""></AD> Hiermee geeft u de servicenaam van de FQDN-naam (Fully Qualified Domain Name) van het AD FS-2.0-service-eindpunt. Geeft de naam van de Windows-host van de advertentie geen 2.0 FS-server.
    • Als meer dan één vermelding voor de opdracht weergegeven en het resultaat is gekoppeld aan een andere gebruikersaccount dan de in stap 3 hebt genoteerd is, wordt deze koppeling verwijderen. Voer hiertoe de volgende opdracht:
      SetSPN ?d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Als meer dan één vermelding weergegeven voor de opdracht en de SPN wordt gebruikt naam dezelfde als de naam van de computer van de AD FS 2.0 in Windows is de naam van de federation-server voor AD FS 2.0 onjuist is. AD FS 2.0 moet opnieuw worden geïmplementeerd. De FQDN-naam van de AD FS 2.0 federation-serverfarm moet niet identiek zijn aan de naam van de Windows-host van een bestaande server.
    • Als de SPN niet bestaat, voert u de volgende opdracht:
      SetSPN ?a host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      OpmerkingIn deze opdracht <username of="" service="" account=""></username> Hiermee geeft u de naam van de gebruiker is in stap 3 hebt genoteerd.
  6. Nadat u deze stappen worden uitgevoerd op alle servers in het AD FS 2.0 federation-serverfarm, met de rechtermuisknop op 2.0 Windows-Service van AD FS in de module Services beheer en klik vervolgens op Opnieuw opstarten.

Oplossing 3: Uitgebreide beveiliging voor verificatie, problemen oplossen

Het probleem als uitgebreide beveiliging voor verificatie detecteert een mogelijke aanvalsvector man in het midden, gebruikt u een van de volgende manieren oplossen:
  • Methode 1: Gebruik Windows Internet Explorer 8 (of een latere versie van het programma) voor toegang tot Office 365 federatieve identiteit-services.
  • Methode 2: Publiceren AD FS 2.0 services via het Internet op zodanige wijze dat SSL-bridging of via statusafhankelijke pakketfiltering SSL offloading IP-nettolading niet herschrijven. De aanbeveling van de beste praktijken voor dit doel is het gebruik van een AD FS 2.0-proxyserver.
  • Methode 3: Sluiten of uitschakelen van controle of decoderen van SSL-toepassingen.
Als u niet een van deze methoden gebruiken om dit probleem te omzeilen, kunt u uitgebreide beveiliging voor verificatie uitgeschakeld. Hiervoor moet u de volgende procedure uitvoeren voor de volgende virtuele IIS-toepassingen op alle servers in het AD FS 2.0 federation-serverfarm.
Deze tabel samenvouwenDeze tabel uitklappen
Virtuele toepassingGebruik door clients
Standaard website/adfsAD FS 2.0 actieve aanvragers (rijke toepassingen)
Standaard AD FS-website/lsAD FS 2.0 Passieve aanvragers (webbrowsers)
WaarschuwingNiet aan te raden dat u deze procedure als een oplossing op lange termijn gebruiken. Uitgebreide beveiliging voor verificatie uitschakelen verzwakt de AD FS-profiel 2.0 service security door bepaalde man-in-the-middle-aanvallen op de eindpunten van de geïntegreerde Windows-verificatie niet detecteren.

Schakel uitgebreide beveiliging voor verificatie als volgt in:
  1. Toegang tot de geavanceerde instellingen voor Windows-verificatie met behulp van de volgende Microsoft TechNet-artikel:
    http://technet.Microsoft.com/en-us/library/cc754628 (WS.10) .aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Instellen Uitgebreide beveiliging naar Uitschakelen, en klik vervolgens op OK.
Wanneer de tijdelijke oplossing wordt toegepast voor de functionaliteit van de toepassing van derden, moet u ook hotfixes van het besturingssysteem van de client verwijderen voor uitgebreide beveiliging voor verificatie. Voor meer informatie over de hotfixes, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
968389
(http://support.microsoft.com/kb/968389/ )
Uitgebreide beveiliging voor verificatie
Uitgebreide beveiliging voor verificatie inschakelen, de volgende procedure uitvoeren voor de virtuele IIS-toepassingen die zijn vermelde eerder op alle servers in het AD FS 2.0 federation-serverfarm. Voer de volgende stappen uit:
  1. Toegang tot de geavanceerde instellingen voor Windows-verificatie met behulp van de volgende Microsoft TechNet-artikel:
    http://technet.Microsoft.com/en-us/library/cc754628 (WS.10) .aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Instellen Uitgebreide beveiliging naar Accepteren, en klik vervolgens op OK.
  3. Installeer vereiste hotfixes opnieuw op het besturingssysteem van de client voor uitgebreide beveiliging voor verificatie. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base te bekijken:
    968389
    (http://support.microsoft.com/kb/968389/ )
    Uitgebreide beveiliging voor verificatie

Resolutie 4: De advertentie CNAME DNS corrigeren

DNS-beheerprogramma's gebruiken om elke record DNS-aliasrecord (CNAME) vervangen door een DNS-adresrecord (A). Ook, Controleer of zakelijke DNS-instellingen rekening houden bij een split-brain DNS-configuratie wordt geïmplementeerd. Ga naar de volgende Microsoft TechNet-website voor meer informatie over het beheren van DNS-records:
http://technet.Microsoft.com/en-us/library/bb727018.aspx
(http://technet.microsoft.com/en-us/library/bb727018.aspx )

Resolutie 5: Internet Explorer configureren als een AD FS-2.0-client voor eenmalige aanmelding (SSO)

Voor meer informatie over het configureren van Internet Explorer voor AD FS 2.0 openen, raadpleegt u het volgende artikel in de Microsoft Knowledge Base:
2535227
(http://support.microsoft.com/kb/2535227/ )
Een federatieve gebruiker wordt onverwacht gevraagd hun referenties invoeren wanneer zij toegang krijgen een bron voor Office 365 tot
Naar boven | Geef ons feedback

MEER INFORMATIE

Ter bescherming van een netwerk, AD FS 2.0 uitgebreide beveiliging gebruikt voor verificatie. Uitgebreide beveiliging voor verificatie voorkomen man-in-the-middle-aanvallen waarbij een aanvaller worden onderschept referenties van een client en stuurt deze door naar een server. Bescherming tegen dergelijke aanvallen is mogelijk gemaakt met behulp van kanaal Binding Works (CBT). CBT kan worden vereist, toegestaan of niet door de server wordt vereist wanneer communicatie met clients zijn gevestigd.

Het ExtendedProtectionTokenCheck AD FS instelling bepaalt het niveau van uitgebreide beveiliging voor verificatie die door de federation-server wordt ondersteund. Dit zijn de beschikbare waarden voor deze instelling:
  • Vereist: De server is volledig harde. Uitgebreide beveiliging wordt afgedwongen.
  • Toestaan: Dit is de standaardinstelling. De server is deels harde. Uitgebreide beveiliging wordt afgedwongen voor de betrokken systemen die deze functie ondersteunt, worden gewijzigd.
  • Geen: De server is kwetsbaar. Uitgebreide beveiliging niet afgedwongen.

De volgende tabellen wordt beschreven hoe de verificatie voor drie besturingssystemen en browsers, afhankelijk van de verschillende opties voor uitgebreide beveiliging die beschikbaar in AD FS 2.0 met IIS zijn werkt.

Opmerking Windows-besturingssystemen moeten de updates die zijn geïnstalleerd voor het effectief gebruik van functies voor uitgebreide beveiliging. De functies worden standaard ingeschakeld in AD FS 2.0. Deze updates zijn beschikbaar via de volgende Microsoft Knowledge Base-artikel:
968389
(http://support.microsoft.com/kb/968389/ )
Uitgebreide beveiliging voor verificatie
Windows 7 bevat standaard de juiste binaire bestanden voor het gebruik van uitgebreide beveiliging.

Windows 7 (of op de juiste wijze bijgewerkte versies van Windows Vista of Windows XP)

Deze tabel samenvouwenDeze tabel uitklappen
InstellingVereistToestaan (standaard)Geen
Windows-communicatie
Foundation (WCF) Client (alle eindpunten)		WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisluktMisluktWorks
Safari 4.0.4MisluktMisluktWorks

Windows Vista zonder juiste updates

Deze tabel samenvouwenDeze tabel uitklappen
InstellingVereistToestaan (standaard)Geen
WCF-Client (alle eindpunten)MisluktWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisluktWorks Works
Safari 4.0.4MisluktWorks Works

Windows XP zonder juiste updates

Deze tabel samenvouwenDeze tabel uitklappen
InstellingVereistToestaan (standaard)Geen
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisluktWorks Works
Safari 4.0.4MisluktWorks Works
Zie de volgende Microsoft-bronnen voor meer informatie over uitgebreide beveiliging voor verificatie:
968389
(http://support.microsoft.com/kb/968389/ )
Uitgebreide beveiliging voor verificatie
Geavanceerde opties voor AD FS 2.0 configureren
(http://technet.microsoft.com/en-us/library/hh237448(WS.10).aspx)
Ga naar de volgende Microsoft-website voor meer informatie over de cmdlet Set-ADFSProperties :
Set ADFSProperties
(http://technet.microsoft.com/en-us/library/ee892317.aspx)

Video: Lus referenties wordt gevraagd wanneer de Account aanmelden bij Office met behulp van een identiteit 365 federatieve

Deze afbeelding samenvouwenDeze afbeelding uitklappen
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
(http://aka.ms/wqsfve)
Deze afbeelding samenvouwenDeze afbeelding uitklappen

Video: Federatieve gebruikers wordt herhaaldelijk gevraagd naar referenties en kan niet aanmelden bij Office 365

Deze afbeelding samenvouwenDeze afbeelding uitklappen
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
(http://aka.ms/lifluf)
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Naar boven | Geef ons feedback

Nog steeds hulp nodig? Ga naar de 365 Office-Community
(http://community.office365.com/)
naar de website.

De producten van andere leveranciers die in dit artikel worden beschreven, worden geproduceerd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft biedt geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of betrouwbaarheid van deze producten
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 2461628 - Laatste beoordeling: maandag 11 maart 2013 - Wijziging: 12.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • Microsoft Office 365 Enterprise preview
  • Windows Azure Active Directory
Trefwoorden: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtnl
Automatische vertaling
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende: 2461628
(http://support.microsoft.com/kb/2461628/en-us/ )
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven