Een federatieve gebruiker herhaaldelijk om referenties gevraagd tijdens het aanmelden bij Office 365, Azure of Windows Intune

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 2461628 - Bekijk de producten waarop dit artikel van toepassing is.
Belangrijk Dit artikel bevat informatie waarmee u beveiligingsinstellingen kunt verlagen of beveiligingsfuncties op een computer uitschakelen. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, wordt u aangeraden de risico's te evalueren die gekoppeld zijn aan het implementeren van deze tijdelijke oplossing in uw specifieke omgeving. Als u deze oplossing implementeert, neem dan alle mogelijke extra maatregelen om de computer te beschermen.
Alles uitklappen | Alles samenvouwen

Op deze pagina

PROBLEEM

Een federatieve gebruiker wordt herhaaldelijk gevraagd om referenties als de gebruiker probeert te verifiëren op het eindpunt van de service Active Directory Federation Services (AD FS) tijdens het aanmelden bij een Microsoft-service cloud zoals Office 365, Azure Microsoft of Windows Intune. Wanneer de gebruiker annuleert, wordt het volgende foutbericht weergegeven:
Toegang geweigerd

OORZAAK

Het symptoom duidt op een probleem met geïntegreerde Windows-verificatie met AD FS. Dit probleem kan optreden als een of meer van de volgende voorwaarden wordt voldaan:
  • Een onjuiste gebruikersnaam of wachtwoord er is gebruikt.
  • Internet Information Services (IIS) verificatie-instellingen zijn niet correct ingesteld in AD FS.
  • De service principal name (SPN) die is gekoppeld aan de service-account die wordt gebruikt voor de AD FS-federation-serverfarm is verloren of beschadigd.

    Opmerking Dit gebeurt alleen als AD FS wordt geïmplementeerd als een federatieserverfarm en niet in een zelfstandige configuratie wordt geïmplementeerd.
  • Een of meer van de volgende opties worden aangeduid met uitgebreide beveiliging voor verificatie als een bron van een man-in-the-middle-aanval:
    • Sommige Internet-browsers van derden
    • De firewall van het bedrijfsnetwerk, netwerk-taakverdeling of ander netwerkapparaat is de Federation-Service van AD FS publiceren op Internet op zodanige wijze dat IP-nettolading mogelijk worden herschreven. Dit omvat mogelijk de volgende soorten gegevens:
      • Secure Sockets Layer (SSL)-bridging
      • SSL-offloading
      • Via statusafhankelijke pakketfiltering

        Zie voor meer informatie het volgende artikel in de Microsoft Knowledge Base:
        2510193Ondersteunde scenario's voor het gebruik van AD FS kunt u eenmalige aanmelding in Office 365, Azure of Windows Intune instellen
    • Een controle- of SSL-decodering-toepassing is geïnstalleerd of is actief op de clientcomputer
  • Domain Name System (DNS) de resolutie van het AD FS-service-eindpunt is uitgevoerd via een CNAME-record opzoeken in plaats van via een A record opzoeken.
  • Windows Internet Explorer niet is geconfigureerd voor geïntegreerde Windows-verificatie doorgegeven aan de AD FS-server.

Voordat u begint met het oplossen van problemen

Controleer of de gebruikersnaam en het wachtwoord niet de oorzaak van het probleem zijn.
  • Zorg ervoor dat de juiste gebruikersnaam wordt gebruikt en gebruiker UPN (User Principal Name)-indeling. Bijvoorbeeld johnsmith@contoso.com.
  • Zorg ervoor dat het juiste wachtwoord wordt gebruikt. Als u wilt controleren of het juiste wachtwoord wordt gebruikt, moet u wellicht het gebruikerswachtwoord opnieuw instellen. Zie voor meer informatie de volgende Microsoft TechNet-artikel:
    Een gebruikerswachtwoord opnieuw instellen
  • Zorg ervoor dat de account niet is vergrendeld, verlopen of buiten de aangewezen aanmeldingstijden gebruikt. Zie voor meer informatie de volgende Microsoft TechNet-artikel:
    Gebruikers beheren

Controleer of de oorzaak

Om te controleren dat het probleem wordt veroorzaakt door problemen met Kerberos, Kerberos-verificatie tijdelijk te omzeilen door het forms-verificatie op de AD FS-federation-serverfarm inschakelen. Voer de volgende stappen uit:

Stap 1: Het bestand web.config op elke server in het AD FS-federation-serverfarm bewerken
  1. In Windows Verkenner, zoek de map C:\inetpub\adfs\ls\ en brengt u een back-up van het bestand web.config.
  2. Klik op Start, op Alle programma'sBureau-accessoires, klik met de rechtermuisknop op Kladbloken klik vervolgens op Als administrator uitvoeren.
  3. Op het bestand menu, klik op openen. In de bestandsnaam typt uC:\inetpub\adfs\ls\web.config, en klik op openen.
  4. In het bestand web.config de volgende stappen uit:
    1. Zoek de regel met <authentication mode=""> </authentication>, en wijzig deze naar <authentication mode="Forms"> </authentication>.
    2. Ga naar de sectie die met begint <localAuthenticationTypes> </localAuthenticationTypes>, en vervolgens de sectie te wijzigen zodat het <add name="Forms"></add> eerst, als volgt wordt vermeld:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Op het bestand menu, klik op Opslaan.
  6. Bij een opdrachtprompt door IIS opnieuw te starten via de opdracht iisreset .
Stap 2: Test AD FS-functionaliteit
  1. Op een clientcomputer die is verbonden en geverifieerd aan de installaties op AD DS-omgeving kunt aanmelden bij de service cloud portal.

    In plaats van een naadloze verificatie-ervaring moet een aanmeldingspagina op basis van formulieren worden ervaren. Als het aanmelden wordt uitgevoerd met behulp van verificatie op basis van formulieren, bevestigt dit dat er een probleem met Kerberos in de Federation-Service van AD FS is.
  2. De configuratie van elke server in het AD FS-federatieserverfarm naar de vorige verificatieinstellingen herstellen voordat u de stappen in de sectie 'Oplossing'. Als u de configuratie van elke server in het AD FS-federation-serverfarm, volg deze stappen:
    1. In Windows Verkenner, zoek de map C:\inetpub\adfs\ls\ en verwijder het bestand web.config.
    2. Verplaatsen van de back-up van het web.config-bestand dat u hebt gemaakt in de ' stap 1: het bestand web.config op elke server in het AD FS-federation-serverfarm bewerken "sectie naar de map C:\inetpub\adfs\ls\.
  3. Bij een opdrachtprompt door IIS opnieuw te starten via de opdracht iisreset .
  4. Controleer dat de werking van AD FS-verificatie keert terug naar het oorspronkelijke probleem.

OPLOSSING

Gebruik een of meer van de volgende methoden, afhankelijk van de situatie de Kerberos-probleem waardoor AD FS-verificatie op te lossen.

Oplossing 1: Reset AD FS verificatie-instellingen op de standaardwaarden

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding start collapsed
Als AD FS IIS-verificatie-instellingen onjuist zijn of niet overeenkomen met IIS-verificatie-instellingen voor AD FS-Federation-Services en -Proxy Services, is een oplossing voor alle IIS-verificatie-instellingen resetten naar de standaardinstellingen voor AD FS.

In de volgende tabel staan de standaardverificatie-instellingen.
Deze tabel samenvouwenDeze tabel uitklappen
Virtuele toepassingVerificatie coderingsniveau
Standaard website/adfsAnonieme verificatie
Standaard adfs-website/lsAnonieme verificatie
Windows-verificatie
Gebruik de informatie in het volgende Microsoft TechNet-artikel op elke AD FS-federation-server en op elke AD FS-federation-serverproxy de virtuele AD FS IIS-toepassingen op de standaardverificatie-instellingen opnieuw instellen:
Verificatie configureren in IIS 7
Zie de volgende artikelen in de Microsoft Knowledge Base voor meer informatie over het oplossen van deze fout:
907273 HTTP 401-probleemoplossing in IIS

871179 U ontvangt een ' HTTP-fout 401.1 - niet: toegang is geweigerd vanwege ongeldige referenties ' foutbericht wanneer u probeert toegang te krijgen tot een website die deel uitmaakt van een groep van IIS 6.0 toepassingen

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding end collapsed

Oplossing 2: AD FS federation-serverfarm SPN corrigeren

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding start collapsed
OpmerkingProbeer deze oplossing alleen als AD FS wordt geïmplementeerd als een federatieserverfarm. Probeer deze oplossing in een zelfstandige AD FS-configuratie niet.

Als het probleem opgelost als u de SPN voor de AD FS-service verloren is gegaan of beschadigd op de AD FS-account, als volgt te werk op een server in het AD FS-federation-serverfarm:
  1. Open de module Services-beheer. Hiertoe klikt u op Start, klik op Alle programma's, Systeembeheeren klik vervolgens op Services.
  2. Dubbelklik op AD FS (2.0) Windows Service.
  3. Op de op Bekijk de serviceaccount die bij Deze Accountwordt weergegeven.
  4. Klik op Start, Alle programma's, Bureau-accessoires, met de rechtermuisknop op opdrachtprompten klikt u vervolgens op Als administrator uitvoeren.
  5. Type SetSPN-f ? q host /<AD fs="" service="" name=""></AD>, en druk vervolgens op Enter.

    OpmerkingIn deze opdracht <AD fs="" service="" name=""></AD> Hiermee geeft u de servicenaam van de FQDN-naam (Fully Qualified Domain Name) van het AD FS-service-eindpunt. Vertegenwoordigt niet de naam van de Windows-host van de AD FS-server.
    • Als meer dan één vermelding voor de opdracht weergegeven en het resultaat is gekoppeld aan een andere gebruikersaccount dan de in stap 3 hebt genoteerd is, wordt deze koppeling verwijderen. Voer hiertoe de volgende opdracht:
      SetSPN-d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Als meer dan één vermelding voor de opdracht weergegeven en de SPN dezelfde naam als de naam van de computer van de AD FS-server in Windows gebruikt, wordt de naam van het Federatie voor AD FS is onjuist. AD FS moet opnieuw worden geïmplementeerd. De FQDN-naam van de AD FS-federation-serverfarm moet niet gelijk zijn aan de naam van de Windows-host van een bestaande server.
    • Als de SPN niet al bestaat, voert u de volgende opdracht:
      SetSPN-een host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      OpmerkingIn deze opdracht <username of="" service="" account=""></username> Hiermee geeft u de naam van de gebruiker is in stap 3 hebt genoteerd.
  6. Nadat u deze stappen worden uitgevoerd op alle servers in het AD FS-federation-serverfarm, met de rechtermuisknop op de Windows-Service van AD FS (2.0) in de module Services-beheer en klik op opnieuw opstarten.
Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding end collapsed

Oplossing 3: Uitgebreide beveiliging voor verificatie, problemen oplossen

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding start collapsed
Aanbevolen als uitgebreide beveiliging voor verificatie wordt voorkomen dat de verificatie is geslaagd het probleem is opgelost, gebruikt u een van de volgende methoden:
  • Methode 1: gebruik Windows Internet Explorer 8 (of een latere versie van het programma) aan te melden.
  • Methode 2: AD FS-services te publiceren op Internet op zodanige wijze dat SSL-bridging, SSL-offloading of via statusafhankelijke pakketfiltering IP-nettolading niet herschrijven. De aanbeveling van de beste praktijken voor dit doel is een AD FS-proxyserver te gebruiken.
  • Methode 3: sluiten of uitschakelen controleren of decoderen van SSL-toepassingen.
Als u niet een van deze methoden gebruiken om dit probleem te omzeilen, kunt u uitgebreide beveiliging voor verificatie uitgeschakeld voor passieve en actieve clients.

De tijdelijke oplossing: Uitgebreide beveiliging voor verificatie uitschakelen

WaarschuwingGebruik van deze procedure als een oplossing wordt niet aanbevolen. Uitgebreide beveiliging voor verificatie uitschakelen verzwakt AD FS-beveiliging serviceprofiel door bepaalde man-in-the-middle-aanvallen op de eindpunten van de geïntegreerde Windows-verificatie niet detecteren.

Opmerking Als deze oplossing wordt toegepast voor de functionaliteit van de toepassing van derden, moet u ook hotfixes van het besturingssysteem van de client verwijderen voor uitgebreide beveiliging voor verificatie. Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie over de hotfixes:
968389 Uitgebreide beveiliging voor verificatie
Voor passieve clients
Schakel uitgebreide beveiliging voor verificatie voor passieve clients, moet u de volgende procedure uitvoeren voor de volgende virtuele IIS-toepassingen op alle servers in de federatieserverfarm AD FS:
  • Standaard website/adfs
  • Standaard adfs-website/ls
Voer de volgende stappen uit:
  1. Open IIS-beheer en navigeer naar het niveau dat u wilt beheren. Zie voor meer informatie over het openen van IIS-beheer Open IIS-beheer (IIS 7).
  2. Dubbelklik op verificatiefuncties in de weergave.
  3. Selecteer Windows-verificatieop de pagina verificatie.
  4. Klik in het deelvenster Acties op Geavanceerde instellingen.
  5. Wanneer het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u uitvan deuitgebreide beveiliging in het vervolgmenu.
Voor actieve clients
Schakel uitgebreide beveiliging voor verificatie voor actieve clients, moet u de volgende procedure uitvoeren op de primaire server voor AD FS:
  1. Open Windows PowerShell.
  2. Voer de volgende opdracht om de Windows PowerShell voor AD FS-module te laden:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Voer de volgende opdracht uit te schakelen, uitgebreide beveiliging voor verificatie:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Uitgebreide beveiliging voor verificatie opnieuw in te schakelen

Voor passieve clients
Als u uitgebreide beveiliging voor verificatie voor passieve clients opnieuw in te schakelen, moet u de volgende procedure uitvoeren voor de volgende virtuele IIS-toepassingen op alle servers in het AD FS-federation-serverfarm:
  • Standaard website/adfs
  • Standaard adfs-website/ls
Voer de volgende stappen uit:
  1. Open IIS-beheer en navigeer naar het niveau dat u wilt beheren. Zie voor meer informatie over het openen van IIS-beheer Open IIS-beheer (IIS 7).
  2. Dubbelklik op verificatiefuncties in de weergave.
  3. Selecteer Windows-verificatieop de pagina verificatie.
  4. Klik in het deelvenster Acties op Geavanceerde instellingen.
  5. Wanneer in het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u accepterenvanuit het menu Uitgebreide beveiliging .
Voor actieve clients
Als u uitgebreide beveiliging voor verificatie voor actieve clients opnieuw in te schakelen, moet u de volgende procedure uitvoeren op de primaire server voor AD FS:
  1. Open Windows PowerShell.
  2. Voer de volgende opdracht om de Windows PowerShell voor AD FS-module te laden:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Voer de volgende opdracht uitgebreide beveiliging voor verificatie wilt inschakelen:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding end collapsed

Resolutie 4: Vervang CNAME-records met de A-records voor AD FS

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding start collapsed
Gebruik DNS-beheerprogramma's op elke DNS-aliasrecord (CNAME) van die wordt gebruikt voor de federation-service met een DNS-record vervangen de adresrecord (A). Ook, Controleer of zakelijke DNS-instellingen rekening houden bij een split-brain DNS-configuratie wordt geïmplementeerd. Ga naar de volgende Microsoft TechNet-website voor meer informatie over het beheren van DNS-records:
DNS-Records beheren
Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding end collapsed

Resolutie 5: Internet Explorer instellen als een AD FS-client voor eenmalige aanmelding (SSO)

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding start collapsed
Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie over het instellen van Internet Explorer voor toegang tot AD FS:
2535227 Een federatieve gebruiker wordt onverwacht gevraagd hun referenties invoeren wanneer zij toegang krijgen een bron voor Office 365 tot
Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets folding end collapsed

MEER INFORMATIE

Ter bescherming van een netwerk, gebruikt AD FS uitgebreide beveiliging voor verificatie. Uitgebreide beveiliging voor verificatie kunt man-in-the-middle-aanvallen waarbij een aanvaller worden onderschept referenties van een client en stuurt deze door naar een server te voorkomen. Bescherming tegen dergelijke aanvallen is mogelijk gemaakt met behulp van kanaal Binding Works (CBT). CBT kan worden vereist, toegestaan of niet door de server wordt vereist wanneer communicatie met clients zijn ingesteld.

De instelling van de ExtendedProtectionTokenCheck van AD FS wordt het niveau van uitgebreide beveiliging voor verificatie die door de federation-server wordt ondersteund. Dit zijn de beschikbare waarden voor deze instelling:
  • Vereisen: de server is volledig harde. Uitgebreide beveiliging wordt afgedwongen.
  • Toestaan: dit is de standaardinstelling. De server is deels harde. Uitgebreide beveiliging wordt afgedwongen voor de betrokken systemen die deze functie ondersteunt, worden gewijzigd.
  • Geen: de server kwetsbaar is. Uitgebreide beveiliging niet afgedwongen.
De volgende tabellen wordt beschreven hoe de verificatie voor drie besturingssystemen en browsers, afhankelijk van de verschillende opties voor uitgebreide beveiliging die beschikbaar in AD FS met IIS zijn werkt.

Opmerking Windows-besturingssystemen moet updates die zijn geïnstalleerd voor het effectief gebruik van uitgebreide beveiliging functies hebben. De functies worden standaard ingeschakeld in AD FS. Deze updates zijn beschikbaar via de volgende Microsoft Knowledge Base-artikel:
968389 Uitgebreide beveiliging voor verificatie
Windows 7 bevat standaard de juiste binaire bestanden voor het gebruik van uitgebreide beveiliging.

Windows 7 (of op de juiste wijze bijgewerkte versies van Windows Vista of Windows XP)
Deze tabel samenvouwenDeze tabel uitklappen
InstellingVereistToestaan (standaard)Geen
Windows-communicatie
Foundation (WCF) Client (alle eindpunten)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisluktMisluktWorks
Safari 4.0.4MisluktMisluktWorks
Windows Vista zonder juiste updates
Deze tabel samenvouwenDeze tabel uitklappen
InstellingVereistToestaan (standaard)Geen
WCF-Client (alle eindpunten)MisluktWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisluktWorks Works
Safari 4.0.4MisluktWorks Works
Windows XP zonder juiste updates
Deze tabel samenvouwenDeze tabel uitklappen
InstellingVereistToestaan (standaard)Geen
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisluktWorks Works
Safari 4.0.4MisluktWorks Works
Zie de volgende Microsoft-bronnen voor meer informatie over uitgebreide beveiliging voor verificatie:
968389 Uitgebreide beveiliging voor verificatie
Geavanceerde opties voor AD FS 2.0 configureren
Ga naar de volgende Microsoft-website voor meer informatie over de cmdlet Set-ADFSProperties :
Set ADFSProperties

Video: Herhalen van referenties wordt gevraagd wanneer de Account aanmelden bij Office 365 met een identiteit federatieve

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets video2

Video: Federatieve gebruikers wordt herhaaldelijk gevraagd naar referenties en kan niet aanmelden bij Office 365

Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Deze afbeelding samenvouwenDeze afbeelding uitklappen
assets video2

Nog steeds hulp nodig? Ga naar de Office 365-Community website of de Azure Active Directory-Forums .

De producten van andere leveranciers die in dit artikel worden beschreven, worden geproduceerd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft biedt geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of betrouwbaarheid van deze producten

Eigenschappen

Artikel ID: 2461628 - Laatste beoordeling: zaterdag 21 juni 2014 - Wijziging: 22.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Trefwoorden: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 2461628

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com