En samlet bruker spurt konstant etter legitimasjon under påloggingen til Office 365, Azure eller Windows Intune

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 2461628 - Vis produkter som denne artikkelen gjelder for.
Viktig Denne artikkelen inneholder informasjon som viser deg hvordan du kan senke sikkerhetsinnstillingene eller deaktivere sikkerhetsfunksjonene på en datamaskin. Du kan gjøre disse endringene for å løse et bestemt problem. Før du foretar disse endringene, anbefaler vi at du evaluerer risikoen som er knyttet til implementering av denne løsningen i ditt bestemte miljø. Hvis du implementerer denne midlertidige løsningen, må du ta alle nødvendige forholdsregler for å beskytte datamaskinen.
Vis alt | Skjul alt

På denne siden

PROBLEMET

En samlet bruker er gjentatte ganger bedt om legitimasjon når brukeren prøver å tilgang til serviceendepunktet Active Directory Federation Services (AD FS) under påloggingen til en skytjeneste for Microsoft Office 365, Azure Microsoft eller Windows Intune. Når brukeren avbryter, får brukeren følgende feilmelding:
Ingen tilgang

ÅRSAK

Symptomet indikerer et problem med Windows-integrert godkjenning med AD FS. Dette problemet kan oppstå hvis én eller flere av følgende betingelser er oppfylt:
  • En feil brukernavn eller passord ble brukt.
  • Godkjenningsinnstillinger for Internet Information Services (IIS) er feilaktig definert i AD FS.
  • Hovednavn for tjeneste (SPN) som er tilknyttet tjenestekontoen som brukes til å kjøre AD FS federation serverfarmen er tapt eller skadet.

    Obs! Dette skjer bare når AD FS er implementert som en serverfarm federation og implementert ikke i en frittstående konfigurasjon.
  • Ett eller flere av følgende er identifisert av Extended Protection for Authentication som en kilde til en mann-i-midten-angrep:
    • Noen weblesere fra tredjeparter
    • Brannmuren firmanettverk, belastningsfordeling for nettverket eller andre nettverksenheten publiserer AD FS Federation Service på Internett på en slik måte at IP-nyttelasten data kan potensielt bli skrevet på nytt. Dette inkluderer kanskje følgende typer data:
      • Secure Sockets Layer (SSL)-bro
      • SSL-avlasting
      • Stateful packet filtrering

        Hvis du vil ha mer informasjon, kan du se følgende artikkel i Microsoft Knowledge Base:
        2510193Scenarier som støttes for bruk av AD FS for å konfigurere enkel pålogging i Office 365, Azure eller Windows Intune
    • En overvåking eller SSL dekryptering program er installert eller er aktive på klientdatamaskinen
  • Domain Name System (DNS) oppløsning på serviceendepunktet AD FS ble utført gjennom CNAME post oppslag i stedet for gjennom en A post oppslag.
  • Windows Internet Explorer er ikke konfigurert for å sende Windows-integrert godkjenning til AD FS-serveren.

Før du starter å feilsøke

Kontroller at brukernavnet og passordet ikke er årsaken til problemet.
  • Kontroller at riktig brukernavn brukes og brukeren hovednavnet (UPN)-format. For eksempel johnsmith@contoso.com.
  • Kontroller at det er brukt riktig passord. Hvis du vil dobbeltsjekke at det er brukt riktig passord, må du tilbakestille brukerpassord. Hvis du vil ha mer informasjon, kan du se følgende Microsoft TechNet-artikkel:
    Tilbakestille et brukerpassord
  • Kontroller at kontoen ikke er låst, utløpt eller brukes utenfor utpekt påloggingstid. Hvis du vil ha mer informasjon, kan du se følgende Microsoft TechNet-artikkel:
    Administrere brukere

Bekreft årsaken

Hvis du vil kontrollere at Kerberos-problemer som forårsaker problemet, omgå dem midlertidig Kerberos-godkjenning ved å aktivere skjemabasert godkjenning på serverfarmen AD FS federation. Følg disse trinnene:

Trinn 1: Redigere filen web.config på hver server i serverfarmen AD FS federation
  1. I Windows Utforsker, Finn mappen C:\inetpub\adfs\ls\, og deretter ta en sikkerhetskopi av filen web.config.
  2. Klikk Start, klikk Alle programmer, Tilbehør, høyreklikk Notisblokkog deretter Kjør som administrator.
  3. På den filen -menyen klikker du Åpne. I den filen navnet skriverC:\inetpub\adfs\ls\web.config, og klikk deretter Åpne.
  4. I web.config-filen, gjør du følgende:
    1. Finn linjen som inneholder <authentication mode=""> </authentication>, og endre den til <authentication mode="Forms"> </authentication>.
    2. Finn delen som begynner med <localAuthenticationTypes> </localAuthenticationTypes>, og endre deretter delen slik at den <add name="Forms"></add> stikkordet er oppført først, som følger:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. På den filen -menyen klikker du Lagre.
  6. Starte IIS på nytt ved hjelp av kommandoen iisreset fra en ledetekst.
Trinn 2: Teste AD FS-funksjonalitet
  1. På en klientdatamaskin som er koblet til, og til lokalene AD DS-miljø, Logg på cloud service-portalen.

    I stedet for en sømløs godkjenning opplevelse, skal et skjemabasert pålogging oppstå. Hvis påloggingen er vellykket ved hjelp av skjemabasert godkjenning, vil dette bekrefter at det finnes et problem med Kerberos i AD FS Federation Service.
  2. Tilbakestill konfigurasjonen for hver server i serverfarmen AD FS federation til de forrige godkjenningsinnstillingene før du følger trinnene i delen "Løsning". Hvis du vil tilbakestille konfigurasjonen av hver server i serverfarmen AD FS federation, følger du denne fremgangsmåten:
    1. I Windows Utforsker, Finn mappen C:\inetpub\adfs\ls\, og slett deretter filen web.config.
    2. Flytte sikkerhetskopien av web.config-filen som du opprettet i den "trinn 1: redigere filen web.config på hver server i serverfarmen AD FS federation" delen til mappen C:\inetpub\adfs\ls\.
  3. Starte IIS på nytt ved hjelp av kommandoen iisreset fra en ledetekst.
  4. Kontroller at virkemåte for AD FS-godkjenning går tilbake til det opprinnelige problemet.

LØSNING

Hvis du vil løse problemet Kerberos som begrenser AD FS-godkjenning, kan du bruke ett eller flere av følgende metoder, avhengig av situasjonen.

Løsning 1: Tilbakestille AD FS-godkjenningsinnstillingene til standardverdiene

Skjul dette bildetVis dette bildet
assets folding start collapsed
Hvis AD FS IIS-godkjenningsinnstillingene er feil, eller IIS-godkjenningsinnstillingene for AD FS Federation tjenester og Proxy-tjenester ikke samsvarer, er én løsning å tilbakestille alle IIS-godkjenningsinnstillingene til standard AD FS-innstillinger.

Standardinnstillingene for godkjenning er oppført i tabellen nedenfor.
Skjul denne tabellenVis denne tabellen
Virtuelle programmetGodkjenning nivå(er)
Standard webområde/adfsAnonym godkjenning
Standard webområde/adfs/lsAnonym godkjenning
Windows-godkjenning
På hver federation AD FS-server og proxy hver AD FS federation server, kan du bruke informasjonen i følgende Microsoft TechNet-artikkelen til å tilbakestille de virtuelle AD FS IIS-applikasjonene til standardinnstillingene for godkjenning:
Konfigurere godkjenning i IIS 7
Hvis du vil ha mer informasjon om hvordan du løser denne feilen, kan du se følgende artikler i Microsoft Knowledge Base:
907273 Feilsøking i forbindelse med HTTP 401-feil i IIS

871179 Du får en "HTTP-feil 401.1 - uautorisert: tilgang på grunn av ugyldige legitimasjonsbeskrivelser" når du prøver å få tilgang til et webområde som er en del av et applikasjonsutvalg i IIS 6.0

Skjul dette bildetVis dette bildet
assets folding end collapsed

Løsning 2: Rette serverfarmen for AD FS-føderasjonen SPN

Skjul dette bildetVis dette bildet
assets folding start collapsed
Merk Prøv denne løsningen bare når AD FS er implementert som en serverfarm federation. Ikke prøv denne løsningen i en frittstående konfigurasjon for AD FS.

Følg denne fremgangsmåten på én server i serverfarmen AD FS federation for å løse problemet hvis SPN for AD FS-tjenesten er tapt eller blir skadet på AD FS-tjenestekontoen:
  1. Åpne snapin-modulen Services management. Hvis du vil gjøre dette, klikker du Start, klikk Alle programmer, Administrativeverktøy og deretter tjenester.
  2. Dobbeltklikk AD FS (2.0) Windows-tjenesten.
  3. På den Logg på kategorien, Merk tjenestekontoen som vises i Denne kontoen.
  4. Klikk Start, klikk Alle programmer, Tilbehør, høyreklikk ledetekst, og deretter Kjør som administrator.
  5. Type SetSPN ? f ? q vert /<AD fs="" service="" name=""></AD>, og trykk deretter Enter.

    Merk I denne kommandoen er <AD fs="" service="" name=""></AD> representerer fully qualified domain name (FQDN) service names for AD FS serviceendepunktet. Det betyr ikke at Windows vertsnavnet til AD FS-serveren.
    • Hvis mer enn én post returneres for kommandoen, og resultatet er knyttet til en konto enn den som ble angitt i trinn 3, kan du fjerne denne tilknytningen. Hvis du vil gjøre dette, kjører du følgende kommando:
      SetSPN ? d vert /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Hvis mer enn én post returneres for kommandoen og SPN bruker samme navn som navnet på AD FS-server i Windows, er endepunkt navnet federation for AD FS feil. AD FS må implementeres på nytt. Det fullstendige Domenenavnet for AD FS federation serverfarmen må ikke være identisk med Windows vertsnavnet til en eksisterende server.
    • Hvis SPN ikke allerede finnes, kjører du følgende kommando:
      SetSPN ? en vert /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Merk I denne kommandoen er <username of="" service="" account=""></username> representerer navnet som ble angitt i trinn 3.
  6. Når disse trinnene er utført på alle servere i serverfarmen AD FS federation, høyreklikk AD FS (2.0) Windows-tjenesten i snapin-modulen Services management, og klikk deretter Start på nytt.
Skjul dette bildetVis dette bildet
assets folding end collapsed

Løsning 3: Løse Extended Protection for Authentication bekymringer

Skjul dette bildetVis dette bildet
assets folding start collapsed
Anbefalte metoder å løse problemet hvis Extended Protection for Authentication forhindrer vellykket godkjenning, bruker du ett av følgende:
  • Metode 1: Bruk Windows Internet Explorer 8 (eller en nyere versjon av programmet) til å logge på.
  • Metode 2: publisere AD FS-tjenester på Internett på en slik måte at SSL-bro, avlaste SSL eller stateful packet filtrering ikke skrive data for IP-nyttelasten. Den beste praksis-anbefalingen for dette formålet er å bruke en Proxy-Server for AD FS.
  • Metode 3: Lukk eller deaktiver overvåking eller dekryptering av SSL-programmer.
Hvis du ikke kan bruke noen av disse metodene til å omgå dette problemet, vil Extended Protection for Authentication kan være deaktivert for passive og aktive klienter.

Løsning: Deaktiver Utvidet beskyttelse for autentisering

AdvarselVi anbefaler ikke at du bruker denne prosedyren som en langsiktig løsning. Hvis du deaktiverer Utvidet beskyttelse for autentisering svekker sikkerhetsprofilen AD FS-tjenesten ved å ikke registrere bestemte mann-i-midten angrep på endepunktene integrert Windows-godkjenning.

Merk Når du bruker denne løsningen for tredjepartsprogrammet funksjonaliteten, bør du også avinstallere hurtigreparasjoner på klient-operativsystem for Utvidet beskyttelse for autentisering. Hvis du vil ha mer informasjon om hurtigreparasjoner, kan du se følgende artikkel i Microsoft Knowledge Base:
968389 Utvidet beskyttelse for autentisering
For passiv klienter
Hvis du vil deaktivere Utvidet beskyttelse for autentisering for passiv-klienter, kan du utføre følgende fremgangsmåte for følgende IIS virtual programmer på alle servere i serverfarmen AD FS føderasjonen:
  • Standard webområde/adfs
  • Standard webområde/adfs/ls
Følg disse trinnene:
  1. Åpne IIS-behandling og navigerer til nivået du vil administrere. Se for informasjon om hvordan du åpner du IIS-behandling Åpne IIS-behandling (IIS 7).
  2. Dobbeltklikk godkjenningi funksjoner.
  3. I godkjenning-siden velger du Windows-godkjenning.
  4. Klikk Avanserte innstillingeri Handlinger -ruten.
  5. Når dialogboksen Avanserte innstillinger vises, merker du avfra denUtvidet beskyttelse rullegardinmeny.
For aktive klienter
Hvis du vil deaktivere Utvidet beskyttelse for autentisering for aktive klienter, kan du utføre følgende fremgangsmåte på den primære AD FS-serveren:
  1. Åpne Windows PowerShell.
  2. Kjør følgende kommando for å laste inn Windows PowerShell for AD FS-snapin-modulen:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kjør følgende kommando for å deaktivere Extended Protection for Authentication:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Aktivere Utvidet beskyttelse for autentisering

For passiv klienter
For å aktivere Extended Protection for Authentication for passiv klienter på nytt, gjør du følgende for følgende IIS virtual programmer på alle servere i serverfarmen AD FS føderasjonen:
  • Standard webområde/adfs
  • Standard webområde/adfs/ls
Følg disse trinnene:
  1. Åpne IIS-behandling og navigerer til nivået du vil administrere. Se for informasjon om hvordan du åpner du IIS-behandling Åpne IIS-behandling (IIS 7).
  2. Dobbeltklikk godkjenningi funksjoner.
  3. I godkjenning-siden velger du Windows-godkjenning.
  4. Klikk Avanserte innstillingeri Handlinger -ruten.
  5. Når dialogboksen Avanserte innstillinger vises, velger du Godtafra rullegardinmenyen Utvidet beskyttelse .
For aktive klienter
For å aktivere Extended Protection for Authentication for aktive klienter, kan du utføre følgende fremgangsmåte på den primære AD FS-serveren:
  1. Åpne Windows PowerShell.
  2. Kjør følgende kommando for å laste inn Windows PowerShell for AD FS-snapin-modulen:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kjør følgende kommando for å aktivere Extended Protection for Authentication:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Skjul dette bildetVis dette bildet
assets folding end collapsed

Løsning 4: Erstatt CNAME-postene med oppføringer for AD FS

Skjul dette bildetVis dette bildet
assets folding start collapsed
Bruk DNS management verktøy til å erstatte hver post i DNS-Alias (CNAME) som brukes for med federation service med en DNS-adresse (A) post. Også, sjekk, eller Vurder å Firmainnstillinger DNS-når en split-brain DNS-konfigurasjon er implementert. Hvis du vil ha mer informasjon om hvordan du administrerer DNS-poster, kan du gå til følgende Microsoft TechNet-webområde:
Administrasjon av DNS-oppføringer
Skjul dette bildetVis dette bildet
assets folding end collapsed

Løsning 5: Konfigurere Internet Explorer som en AD FS-klient for enkel pålogging (SSO)

Skjul dette bildetVis dette bildet
assets folding start collapsed
Hvis du vil ha mer informasjon om hvordan du konfigurerer Internet Explorer for AD FS-tilgang, kan du se følgende artikkel i Microsoft Knowledge Base:
2535227 En samlet bruker er uventet bedt om å skrive inn sine legitimasjoner når de åpner en Office 365-ressurs
Skjul dette bildetVis dette bildet
assets folding end collapsed

HVIS DU VIL HA MER INFORMASJON

For å beskytte et nettverk, bruker AD FS Extended Protection for Authentication. Utvidet beskyttelse for autentisering kan forhindre mann-i-midten-angrep der angriperen fanger opp en klientens legitimasjon og videresender dem til en server. Beskyttelse mot slike angrep kan gjøres ved hjelp av kanalen Binding Works (CBT). CBT kan være obligatoriske, tillatt eller ikke kreves av serveren når kommunikasjon er etablert med klienter.

ExtendedProtectionTokenCheck AD FS-innstillingen angir nivået for Utvidet beskyttelse for autentisering som støttes av serveren federation. Dette er de tilgjengelige verdiene for denne innstillingen:
  • Krever: serveren er fullt skjerpet. Utvidet beskyttelse er gjennomført.
  • Tillat: Dette er standardinnstillingen. Serveren er delvis skjerpet. Utvidet beskyttelse er gjennomført for involvert systemer som er endret for å støtte denne funksjonen.
  • Ingen: serveren er sårbar. Utvidet beskyttelse er ikke gjennomført.
De følgende tabellene beskriver hvordan godkjenning fungerer for tre operativsystemer og weblesere, avhengig av de forskjellige alternativene for Utvidet beskyttelse som er tilgjengelige på AD FS med IIS.

Merk Windows-klientoperativsystemer må ha bestemte oppdateringer som er installert for å kunne bruke funksjonene for Utvidet beskyttelse effektivt. Funksjonene er som standard aktivert i AD FS. Disse oppdateringene er tilgjengelige fra følgende artikkel i Microsoft Knowledge Base:
968389 Utvidet beskyttelse for autentisering
Som standard er inneholder Windows 7 de riktige binærfilene for å bruke Utvidet beskyttelse.

Windows 7 (eller riktig oppdaterte versjoner av Windows Vista eller Windows XP)
Skjul denne tabellenVis denne tabellen
InnstillingenKreverTillat (standard)Ingen
Windows kommunikasjon
Foundation (WCF)-klient (alle sluttpunkt)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MislykkesMislykkesWorks
Safari 4.0.4MislykkesMislykkesWorks
Windows Vista uten aktuelle oppdateringer
Skjul denne tabellenVis denne tabellen
InnstillingenKreverTillat (standard)Ingen
WCF-klient (alle sluttpunkt)MislykkesWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MislykkesWorks Works
Safari 4.0.4MislykkesWorks Works
Windows XP uten aktuelle oppdateringer
Skjul denne tabellenVis denne tabellen
InnstillingenKreverTillat (standard)Ingen
Internet Explorer 8WorksWorksWorks
Firefox 3.6MislykkesWorks Works
Safari 4.0.4MislykkesWorks Works
Hvis du vil ha mer informasjon om Utvidet beskyttelse for autentisering, kan du se følgende Microsoft-ressurser:
968389 Utvidet beskyttelse for autentisering
Konfigurere avanserte alternativer for AD FS 2.0
Hvis du vil ha mer informasjon om cmdleten Set-ADFSProperties , kan du gå til følgende Microsoft-webområde:
Sett ADFSProperties

Video: Løkker legitimasjon spør når kontoen logge på Office 365 ved hjelp av en identitet i organisasjonsnettverk

Skjul dette bildetVis dette bildet
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Skjul dette bildetVis dette bildet
assets video2

Video: Fødererte brukere er flere ganger spørres om legitimasjon og kan ikke logge på Office 365

Skjul dette bildetVis dette bildet
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Skjul dette bildetVis dette bildet
assets video2

Trenger du fortsatt hjelp? Gå til den Office 365-fellesskapet webområdet eller Azure Active Directory-forum .

Tredjepartsprodukter som nevnes i denne artikkelen produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, stilltiende eller på annen måte, om ytelsen eller påliteligheten til disse produktene

Egenskaper

Artikkel-ID: 2461628 - Forrige gjennomgang: 21. juni 2014 - Gjennomgang: 19.0
Informasjonen i denne artikkelen gjelder:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Nøkkelord: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtno
Maskinoversatt
VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.
Den engelske versjonen av denne artikkelen er den følgende: 2461628

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com