Un utilizator federalizate este solicitat în mod repetat pentru acreditările de sign-in la Office 365, Windows Azure sau Windows Intune

Traduceri articole Traduceri articole
ID articol: 2461628 - View products that this article applies to.
Important Acest articol con?ine informa?ii care vă arată cum să reduce?i nivelul setărilor de securitate sau cum să dezactiva?i caracteristicile de securitate pe un computer. Pute?i face aceste modificări pentru a evita o anumită problemă. Înainte de a face aceste modificări, vă recomandăm să evalua?i riscurile asociate cu implementarea acestei solu?ii de evitare a problemei în raport cu mediul dvs. de lucru. Dacă veți implementa această soluție de evitare a problemei, luați măsuri adiționale care să vă ajute să vă proteja?i computerul.
Măriți totul | Reduceți totul

În această pagină

PROBLEMA

Un utilizator externă este solicitat în mod repetat pentru acreditările atunci când utilizatorul încearcă să se vor autentifica la serviciile de Federația Active Directory (AD FS) punctului final de serviciu în timpul semn-in la un serviciu de nor Microsoft Office 365, Windows Azure sau Windows Intune. Când utilizatorul anulează, utilizatorul primește următorul mesaj de eroare:
Acces refuzat

CAUZA

Simptom indică o problemă cu autentificare Windows integrată cu AD FS. Această problemă poate apărea dacă una sau mai multe dintre condițiile următoare sunt adevărate:
  • A fost utilizat un nume de utilizator incorect sau parola.
  • Setările de autentificare Internet Information Services (IIS) sunt parametrizate incorect în AD FS.
  • nume principal serviciu (SPN) asociat cu contul de serviciu care este utilizat pentru a rula la ferma de fermă de servere AD FS Federația este pierdut sau deteriorat.

    Notă Acest lucru apare doar atunci când AD FS este implementat ca o fermă de fermă de servere Federația și nu a implementat într-o configurație stand-alone.
  • Una sau mai multe din următoarele sunt identificate prin protecție extinsă pentru autentificarea ca o sursă de un om în mijlocul atac:
    • Unele browsere de Internet al treilea-petrecere
    • Rețea corporative firewall, rețea echilibrare sau alt dispozitiv de rețea este publicarea AD FS federație serviciul internet astfel că datele de sarcină utilă IP potențial poate fi rescris. Aceasta include, eventual, următoarele tipuri de date:
      • Secure Sockets Layer (SSL) reducerea
      • SSL Descărcare
      • Stateful packet filtering

        Pentru mai multe informații, consultați următorul articol din bază de cunoștințe Microsoft:
        2510193Scenarii acceptate pentru ajutorul AD FS să configurați sign-on unic în Office 365, Windows Azure sau Windows Intune
    • O monitorizare sau aplicarea de decriptare SSL este instalat sau este activ pe computer client
  • Domain Name System (DNS) Rezoluția a punctului final de serviciu AD FS s-a efectuat prin intermediul căutare înregistrare CNAME în loc de printr-o Căutare după A înregistra.
  • Windows Internet Explorer nu este configurat pentru a trece autentificare Windows integrată la serverul AD FS.

Înainte de a începe depanarea

Verificați că nume de sign-in de utilizator și parola nu sunt cauza a problemei.
  • Asigurați-vă că nume de sign-in de utilizator corect este folosit și este în formatul de nume principal (UPN) utilizator. De exemplu, johnsmith@contoso.com.
  • Asigurați-vă că parola corectă este utilizat. Pentru a verificați că parola corectă este utilizat, trebuie să resetați parola de utilizator. Pentru mai multe informații, consultați următorul articol din Microsoft TechNet:
    Resetare parola unui User
  • Asigurați-vă că contul nu este încuiat afară, expirat sau utilizate în afara În afara orelor de vârf de logon desemnate. Pentru mai multe informații, consultați următorul articol din Microsoft TechNet:
    Gestionarea utilizatorilor

Verifica cauza

Pentru a verifica că Kerberos probleme sunt cauzează problema, temporar bypass autentificarea Kerberos activând Autentificarea bazată pe formulare pe ferma de fermă de servere AD FS Federației. Pentru aceasta, urmați acești pași:

Pasul 1: Edita fi?ierul web.config pe fiecare server din Uniunea de fermă de servere AD FS Federația
  1. În Windows Explorer, găsiți folderul C:\inetpub\adfs\ls\, și apoi face o copiere de rezervă a fi?ierul web.config.
  2. Faceți clic pe Start, faceți clic pe Toate programele, face?i clic pe accesorii, faceți clic dreapta pe Notepad, și apoi faceți clic pe Executare ca administrator.
  3. Pe fișier meniu, faceți clic pe Deschidere. În dosar nume cutie, tipC:\inetpub\adfs\ls\web.config, apoi faceți clic pe Deschidere.
  4. În fi?ierul web.config, urmați acești pași:
    1. Localizați linia Către care conține <authentication mode=""> </authentication>, și apoi schimba-l la <authentication mode="Forms"> </authentication>.
    2. Localizați secțiunea care începe cu <localAuthenticationTypes> </localAuthenticationTypes>, și apoi modificați secțiunea astfel încât <add name="Forms"></add> intrare este listat în primul rând, după cum urmează:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Pe fișier meniu, faceți clic pe salvați.
  6. La un prompt de comandă privilegiat, reporniți IIS utilizând comanda iisreset .
Pasul 2: Test AD FS funcționalitate
  1. Pe un computer client care are conectate și autentificat pentru a local AD DS mediu, conectare la portalul de serviciu cloud.

    În loc de o experiență fără sudură de autentificare, o pe bază de formulare semn-înăuntru ar trebui să fie experimentat. Dacă sign in utilizând autentificarea bazată pe formulare, aceasta confirmă faptul că există o problemă cu Kerberos în serviciul de Federația AD FS.
  2. Restabili?i configura?ia fiecare server din Uniunea de fermă de servere AD FS Federația la setările anterioare de autentificare înainte să urmați pașii din secțiunea "Rezolvare". Pentru a reveni la configurația de fiecare server din Uniunea de fermă de servere AD FS Federația, urmați acești pași:
    1. În Windows Explorer, localizați folderul C:\inetpub\adfs\ls\, și apoi ?terge?i fi?ierul web.config.
    2. Muta copia de rezervă a fi?ierul web.config creat în "Pasul 1: edita fi?ierul web.config pe fiecare server din Uniunea de fermă de servere AD FS Federația" secțiunea în folderul C:\inetpub\adfs\ls\.
  3. La un prompt de comandă privilegiat, reporniți IIS utilizând comanda iisreset .
  4. Verificați că comportamentul de autentificare AD FS revine la problema original.

SOLUȚIE

Pentru a rezolva problema Kerberos că limitele de autentificare AD FS, utilizați unul sau mai multe dintre următoarele metode, în funcție de situația.

Rezolutie 1: Resetare AD FS autentificare setările la valorile implicite

Reduceți imagineaMăriți imaginea
assets folding start collapsed
Dacă setările de autentificare AD FS IIS sunt incorecte, sau setările de autentificare pentru IIS pentru consolidare servicii de Federația AD FS și consolidare servicii de Proxy nu se potrivesc, o soluție este pentru a reseta toate setările de autentificare IIS la setările implicite AD FS.

Set?rile de autentificare implicit sunt listate în următorul tabel.
Reduceți tabelulMăriți tabelul
Virtual cerere(Nivelurile) de autentificare
site web implicit/perimatAnonim de autentificare
Implicit site-ul Web/perimat/lsAnonim de autentificare
Autentificare Windows
Pe fiecare server de Federația AD FS și pe fiecare AD FS Federația server proxy, utilizați informațiile din următorul articol Microsoft TechNet pentru a reseta AD FS IIS aplicațiile virtuale la setările implicite de autentificare:
Configurarea autentificării în IIS 7
Pentru mai multe informații despre modul de a rezolva această eroare, consultați următoarele articole bază de cunoștințe Microsoft:
907273 (http://support.microsoft.com/kb/907273/)

871179 Veți primi o "eroare HTTP 401.1 - neautorizate: accesul este refuzat din cauza acreditări nevalide" mesaj de eroare atunci când încercați să accesați un site Web care este parte a unui rezervor de aplica?ii IIS 6.0

Reduceți imagineaMăriți imaginea
assets folding end collapsed

Rezoluția 2: Corectarea AD FS Federația ferma de fermă de servere SPN

Reduceți imagineaMăriți imaginea
assets folding start collapsed
NotăÎncercați această rezoluție numai atunci când AD FS este implementat ca o fermă de fermă de servere Federației. Încercați această rezoluție într-o configurație stand-alone AD FS.

Pentru a rezolva problema dacă SPN pentru serviciul AD FS este pierdută sau deteriorată pe contul de serviciu AD FS, urmați acești pași pe un server din Uniunea de fermă de servere AD FS Federației:
  1. Deschideți consolidare servicii management completare snap-in. Pentru aceasta, faceți clic pe Start, faceți clic pe Toate programele, face?i clic pe Administrative Toolsși apoi faceți clic pe consolidare servicii.
  2. Faceți dublu clic pe AD FS (2.0) Ferestre serviciu.
  3. Pe conecta tab, nota la contul de serviciu care este afișat în Cont.
  4. Faceți clic pe Start, faceți clic pe Toate programele, face?i clic pe accesorii, faceți clic dreapta pe Prompt comandăși apoi faceți clic pe Executare ca administrator.
  5. Tip SetSPN –f –q gazdă /<AD fs="" service="" name=""></AD>, apoi apăsați Enter.

    NotăÎn această comandă, <AD fs="" service="" name=""></AD> reprezintă domeniu complet (FQDN) serviciu nume de AD FS punctului final de serviciu. Acesta nu reprezintă nume de sign-in de gazdă ferestre de serverul AD FS.
    • În cazul în care mai mult de o intrare este returnat pentru comanda, iar rezultatul este asociat cu un cont de utilizator decât cel care a fost notat în Pasul 3, elimina această asociație. Pentru aceasta, executați următoarea comandă:
      SetSPN –d gazdă /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Dacă mai mult de o intrare este returnat pentru comanda și SPN utilizează același nume ca nume de sign-in computerului din serverul AD FS în Windows, denumirea de punct final Federația pentru AD FS este incorect. AD FS trebuie să fie puse în aplicare din nou. nume de sign-in FQDN al ferma de fermă de servere AD FS Federația nu trebuie să fie identic cu nume de sign-in de gazdă ferestre de un server existent.
    • Dacă SPN nu există deja, executați următoarea comandă:
      SetSPN –a gazdă /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      NotăÎn această comandă, <username of="" service="" account=""></username> reprezintă nume de sign-in de utilizator care a fost notat în Pasul 3.
  6. Urma acești pași sunt efectuate pe toate serverele din Uniunea de fermă de servere AD FS Federația, AD FS (2.0) Windows Service în consolidare servicii management completare snap-in, și apoi atunci pocnitură pauză.
Reduceți imagineaMăriți imaginea
assets folding end collapsed

Rezolu?ia 3: Rezolva extins protecția pentru probleme de autentificare

Reduceți imagineaMăriți imaginea
assets folding start collapsed
Pentru a rezolva problema dacă extinsă de protecție pentru autentificare previne succes de autentificare, utilizați una dintre următoarele metode a recomandat:
  • Metoda 1: utilizarea Windows Internet Explorer 8 (sau o versiune ulterioară a programului) pentru a vă conecta.
  • Metoda 2: publica consolidare servicii AD FS la internet într-un mod că reducerea SSL, SSL descărcare sau stateful packet filtering nu rescrie date de sarcină utilă IP. Recomandarea de bune practici în acest scop este de a utiliza un Server de Proxy AD FS.
  • Metoda 3: aproape sau dezactiva monitorizarea sau decriptarea SSL aplicații.
Dacă nu puteți utiliza oricare dintre aceste metode, pentru a soluționa această problemă, a extins protecția pentru autentificare poate fi dezactivat pentru clientii active ?i pasive.

Soluție: Dezactiva protecția extinsă pentru autentificare

AvertizareNu recomandăm să utilizați această procedură ca o soluție pe termen lung. Dezactivarea extins de protecție pentru autentificare slăbește AD FS Serviciul securitate profil de detectare nu anumite atacuri de om în mijlocul pe autentificare Windows integrată obiective.

Notă Atunci când această soluție se aplică pentru al treilea-petrecere cerere funcționalitate, ar trebui să dezinstalați, de asemenea, remedieri rapide pe sistemul de operare client pentru protecția extinsă pentru autentificare. Pentru mai multe informații despre remedierile rapide, consultați următorul articol din bază de cunoștințe Microsoft:
968389 Protecție extinsă pentru autentificare
Pentru clientii pasiv
Pentru a dezactiva protecția extinsă pentru autentificare pentru clientii pasiv, efectuați procedura următoare pentru următoarele aplicații virtuale IIS pe toate serverele din Uniunea de fermă de servere AD FS Federația:
  • site web implicit/perimat
  • Implicit site-ul Web/perimat/ls
Pentru aceasta, urmați acești pași:
  1. Deschideți IIS Manager și navigați la nivelul pe care doriți să gestionați. Pentru informații despre deschiderea IIS Manager, consultați Manager deschis IIS (IIS 7).
  2. În Features, faceți dublu clic pe autentificare.
  3. Pe pagină de autentificare, selectați Autentificare Windows.
  4. În panoul acțiuni , faceți clic pe Setări avansate.
  5. Atunci când apare casetă de dialog Setări complexe , selectează Offlaextins protecția meniu vertical.
Pentru clientii active
Pentru a dezactiva protecția extinsă pentru autentificare pentru clientii active, efectuați procedura următoare pe serverul AD FS primare:
  1. Deschide Windows PowerShell.
  2. Executați următoarea comandă pentru a încărca Windows PowerShell pentru AD FS de completare snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Executați următoarea comandă pentru a dezactiva protecția extinsă pentru autentificare:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Re-activează protecție extinsă pentru autentificare

Pentru clientii pasiv
Pentru a reactiva extins de protecție pentru autentificare pentru clientii pasiv, efectuați procedura următoare pentru următoarele aplicații virtuale IIS pe toate serverele din Uniunea de fermă de servere AD FS Federația:
  • site web implicit/perimat
  • Implicit site-ul Web/perimat/ls
Pentru aceasta, urmați acești pași:
  1. Deschideți IIS Manager și navigați la nivelul pe care doriți să gestionați. Pentru informații despre deschiderea IIS Manager, consultați Manager deschis IIS (IIS 7).
  2. În Features, faceți dublu clic pe autentificare.
  3. Pe pagină de autentificare, selectați Autentificare Windows.
  4. În panoul acțiuni , faceți clic pe Setări avansate.
  5. Atunci când apare casetă de dialog Setări avansate , selectați Acceptdin meniul derulant Extins de protecție .
Pentru clientii active
Pentru a reactiva extins de protecție pentru autentificare pentru clientii active, efectuați procedura următoare pe serverul AD FS primare:
  1. Deschide Windows PowerShell.
  2. Executați următoarea comandă pentru a încărca Windows PowerShell pentru AD FS de completare snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Executați următoarea comandă pentru a permite protecție extinsă pentru autentificare:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
Reduceți imagineaMăriți imaginea
assets folding end collapsed

Rezolutie 4: Înlocuiți înregistrări CNAME cu un înregistrări pentru AD FS

Reduceți imagineaMăriți imaginea
assets folding start collapsed
Utilizați instrumente de management DNS pentru a înlocui fiecare înregistrare DNS Alias (CNAME), care a folosit pentru serviciul de Federația cu o adresa DNS înregistrare (A). De asemenea, verificați sau ia în considerare setările DNS corporative la o configurație DNS split-brain este pusă în aplicare. Pentru mai multe informații despre modul de gestionare înregistrări DNS, du-te la următorul site Web Microsoft TechNet:
Gestionarea înregistrărilor DNS
Reduceți imagineaMăriți imaginea
assets folding end collapsed

Rezoluție 5: Configura Internet Explorer ca un client AD FS pentru sign-on unic (SSO)

Reduceți imagineaMăriți imaginea
assets folding start collapsed
Pentru mai multe informații despre cum să configurați Internet Explorer pentru AD FS access, consultați următorul articol din bază de cunoștințe Microsoft:
2535227 Un utilizator federalizate este solicitat în mod neașteptat pentru a introduce acreditările, atunci când au acces la o resursă Office 365
Reduceți imagineaMăriți imaginea
assets folding end collapsed

MAI MULTE INFORMAȚII

Pentru a proteja o rețea, AD FS utilizează protecția extinsă pentru autentificare. Protecție extinsă pentru autentificare poate ajuta la prevenirea om în mijlocul atacuri în care atacatorul intercepteaza acreditările de un client și le redirecționează la server. Protectie impotriva atacurilor astfel este posibilă folosind canal obligatorii de lucrări (CBT). CBT pot fi necesare, permis sau nu este necesar de server atunci când comunicații sunt stabilite cu clientii.

Setarea ExtendedProtectionTokenCheck AD FS specifică nivelul de protecție extinsă pentru autentificare care este acceptată de serverul de Federația. Acestea sunt disponibile valorile pentru această setare:
  • Necesită: server este intarit complet. Protecție extinsă este executată.
  • Se permite: aceasta este setarea implicită. Serverul este parțial călit. Protecție extinsă este aplicată pentru sistemele implicate, care sunt modificate pentru a sprijini această caracteristică.
  • Nici unul: server este vulnerabil. Protecție extinsă nu este aplicată.
Tabelele de mai jos descrie modul în care funcționează autentificarea pentru trei sisteme de operare și browsere, în funcție de diferitele opțiuni extinse de protecție disponibile pe AD FS cu IIS.

Notă Sistemele de operare Windows client trebuie să aibă actualizări specifice, care sunt instalate pentru a utiliza în mod eficient extinde protecția caracteristici. Implicit, elementele sunt activate în AD FS. Aceste actualizări sunt disponibile la următorul articol din bază de cunoștințe Microsoft:
968389 Protecție extinsă pentru autentificare
implicit, Windows 7 include binare adecvate pentru utilizarea prelungită de protecție.

Windows 7 (sau versiuni actualizate în mod corespunzător de Windows Vista sau Windows XP)
Reduceți tabelulMăriți tabelul
SetareaNecesităPermite (implicit)Nici unul
Ferestre de comunicare
Foundation (WCF) Client (toate capetele)
LucrăriLucrăriLucrări
Internet Explorer 8LucrăriLucrăriLucrări
Firefox 3.6Nu reușeșteNu reușeșteLucrări
Safari 4.0.4Nu reușeșteNu reușeșteLucrări
Windows Vista fără actualizări corespunzătoare
Reduceți tabelulMăriți tabelul
SetareaNecesităPermite (implicit)Nici unul
Client WCF (toate capetele)Nu reușeșteLucrăriLucrări
Internet Explorer 8LucrăriLucrăriLucrări
Firefox 3.6Nu reușeșteLucrări Lucrări
Safari 4.0.4Nu reușeșteLucrări Lucrări
Windows XP fără actualizări corespunzătoare
Reduceți tabelulMăriți tabelul
SetareaNecesităPermite (implicit)Nici unul
Internet Explorer 8LucrăriLucrăriLucrări
Firefox 3.6Nu reușeșteLucrări Lucrări
Safari 4.0.4Nu reușeșteLucrări Lucrări
Pentru mai multe informații despre protecția extinsă pentru autentificare, consultați următoarele resurse Microsoft:
968389 Protecție extinsă pentru autentificare
Configurarea opțiuni avansate pentru AD FS 2.0
Pentru mai multe informații despre cmdletul Set-ADFSProperties , du-te la următorul site Web Microsoft:
Set-ADFSProperties

Pagina: Looping acreditare solicită atunci când conectarea la Office 365 utilizând o identitate federalizate cont

Reduceți imagineaMăriți imaginea
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Reduceți imagineaMăriți imaginea
assets video2

Pagina: Federalizate utilizatorii sunt în mod repetat vi se solicite acreditări și nu Sign In la Office 365

Reduceți imagineaMăriți imaginea
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Reduceți imagineaMăriți imaginea
assets video2

Încă mai aveți nevoie de ajutor? Du-te la Birou 365 comunitare site-ul sau Windows Azure Active Directory forum .

Produsele de la terți menționate în acest articol sunt fabricate de companii independente de Microsoft. Microsoft nu garantează nici o garanție, implicit sau în alt mod, despre performanța sau fiabilitatea acestor produse

Proprietă?i

ID articol: 2461628 - Ultima examinare: 9 martie 2014 - Revizie: 19.0
Se aplică la:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Cuvinte cheie: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2461628

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com