Федеративный пользователь неоднократно запрашивает учетные данные во время входа в Microsoft 365, Azure или Intune

  • Статья
  • Применяется к:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Важно!

В этой статье содержатся сведения о том, как снизить параметры безопасности или отключить функции безопасности на компьютере. Эти изменения можно внести, чтобы обойти определенную проблему. Перед внесением этих изменений рекомендуется оценить риски, связанные с реализацией этого обходного решения в конкретной среде. Если вы реализуете это обходное решение, выполните все необходимые дополнительные действия для защиты компьютера.

Проблема

Федеративный пользователь неоднократно запрашивает учетные данные, когда пользователь пытается пройти проверку подлинности в конечной точке службы службы федерации Active Directory (AD FS) (AD FS) во время входа в облачную службу Майкрософт, например Microsoft 365, Microsoft Azure или Microsoft Intune. При отмене пользователь получает сообщение об ошибке Отказано в доступе .

Причина

Симптом указывает на проблему со встроенной проверкой подлинности Windows с AD FS. Эта проблема может возникнуть при выполнении одного или нескольких из следующих условий:

  • Использовалось неправильное имя пользователя или пароль.

  • Параметры проверки подлинности служб IIS настроены неправильно в AD FS.

  • Имя субъекта-службы (SPN), связанное с учетной записью службы, используемой для запуска фермы серверов федерации AD FS, потеряно или повреждено.

    Примечание.

    Это происходит только в том случае, если AD FS реализована как ферма серверов федерации, а не реализована в изолированной конфигурации.

  • Одно или несколько из следующих компонентов определяются расширенной защитой для проверки подлинности в качестве источника атаки типа "злоумышленник в середине":

    • Некоторые сторонние интернет-браузеры
    • Брандмауэр корпоративной сети, подсистема балансировки сетевой нагрузки или другое сетевое устройство публикует службу федерации AD FS в Интернете таким образом, что данные полезных данных IP-адресов могут быть перезаписаны. Сюда могут быть включены следующие типы данных:

      • Мостовая привязка SSL

      • Разгрузка SSL

      • Фильтрация пакетов с отслеживанием состояния

        Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

        2510193 Поддерживаемые сценарии для настройки единого входа с помощью AD FS в Microsoft 365, Azure или Intune

    • Приложение для мониторинга или расшифровки SSL установлено или активно на клиентском компьютере

  • Разрешение системы доменных имен (DNS) конечной точки службы AD FS выполнялось с помощью поиска записи CNAME, а не с помощью подстановки записи A.

  • Windows Internet Обозреватель не настроен для передачи встроенной проверки подлинности Windows на сервер AD FS.

Прежде чем приступить к устранению неполадок

Убедитесь, что имя пользователя и пароль не являются причиной проблемы.

  • Убедитесь, что используется правильное имя пользователя в формате имени участника-пользователя (UPN). Например, johnsmith@contoso.com.

  • Убедитесь, что используется правильный пароль. Чтобы дважды проверка, что используется правильный пароль, может потребоваться сбросить пароль пользователя. Дополнительные сведения см. в следующей статье Microsoft TechNet:

    Сброс пароля пользователя

  • Убедитесь, что учетная запись не заблокирована, не истекла или не используется в назначенные часы входа. Дополнительные сведения см. в следующей статье Microsoft TechNet: Управление пользователями

Проверка причины

Чтобы проверка, что проблемы Kerberos вызывают проблему, временно обойдите проверку подлинности Kerberos, включив проверку подлинности на основе форм в ферме серверов федерации AD FS. Для этого выполните следующие действия:

Шаг 1. Изменение файла web.config на каждом сервере в ферме серверов федерации AD FS

  1. В Windows Обозреватель найдите папку C:\inetpub\adfs\ls\, а затем создайте резервную копию файла web.config.

  2. Нажмите кнопку Пуск, выберите Пункт Все программы, Стандартные, щелкните правой кнопкой мыши Блокнот, а затем выберите запуск от имени администратора.

  3. В меню Файл выберите команду Открыть. В поле Имя файла введите C:\inetpub\adfs\ls\web.config и нажмите кнопку Открыть.

  4. В файле web.config выполните следующие действия.

    1. Найдите строку, содержащую <режим> проверки подлинности, а затем измените ее на <режим проверки подлинности="Forms"/>.

    2. Найдите раздел, который начинается с <localAuthenticationTypes>, а затем измените раздел, чтобы < сначала была указана запись add name="Forms">, как показано ниже.

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. В меню Файл выберите пункт Сохранить.

  6. В командной строке с повышенными привилегиями перезапустите IIS с помощью команды iisresetcommand.

Шаг 2. Проверка функциональности AD FS

  1. На клиентском компьютере, подключенном и прошедшем проверку подлинности в локальной среде AD DS, войдите на портал облачной службы.

    Вместо простой проверки подлинности необходимо использовать вход на основе форм. Если вход выполнен успешно с помощью проверки подлинности на основе форм, это подтверждает наличие проблемы с Kerberos в службе федерации AD FS.

  2. Верните конфигурацию каждого сервера в ферме серверов федерации AD FS до предыдущих параметров проверки подлинности, прежде чем выполнять действия, описанные в разделе "Разрешение". Чтобы отменить изменения конфигурацию каждого сервера в ферме серверов федерации AD FS, выполните следующие действия.

    1. В Windows Обозреватель найдите папку C:\inetpub\adfs\ls\, а затем удалите файл web.config.
    2. Переместите резервную копию файла web.config, созданного в разделе "Шаг 1. Изменение файла web.config на каждом сервере фермы серверов федерации AD FS", в папку C:\inetpub\adfs\ls\.

  3. В командной строке с повышенными привилегиями перезапустите IIS с помощью команды iisresetcommand.

  4. Убедитесь, что поведение проверки подлинности AD FS возвращается к исходной проблеме.

Решение

Чтобы устранить проблему Kerberos, которая ограничивает проверку подлинности AD FS, используйте один или несколько из следующих методов в соответствии с ситуацией.

Решение 1. Сброс параметров проверки подлинности AD FS до значений по умолчанию

Если параметры проверки подлинности СЛУЖБ IIS AD FS неверны или параметры проверки подлинности IIS для служб федерации AD FS и прокси-служб не совпадают, одним из решений является сброс всех параметров проверки подлинности IIS до параметров AD FS по умолчанию.

Параметры проверки подлинности по умолчанию перечислены в следующей таблице.

Виртуальное приложение Уровни проверки подлинности
Веб-сайт/adfs по умолчанию Анонимная проверка подлинности
Веб-сайт по умолчанию/adfs/ls Анонимная проверка подлинности проверка подлинности Windows

На каждом сервере федерации AD FS и на каждом прокси-сервере федерации AD FS используйте сведения, приведенные в следующей статье Microsoft TechNet, чтобы сбросить виртуальные приложения СЛУЖБ IIS AD FS к параметрам проверки подлинности по умолчанию:

Настройка проверки подлинности в IIS 7

Решение 2. Исправление имени субъекта-службы фермы серверов федерации AD FS

Примечание.

Попробуйте это решение, только если AD FS реализована как ферма серверов федерации. Не пытайтесь использовать это разрешение в автономной конфигурации AD FS.

Чтобы устранить проблему, связанную с потерей или повреждением имени субъекта-службы для службы AD FS в учетной записи службы AD FS, выполните следующие действия на одном сервере в ферме серверов федерации AD FS.

  1. Откройте оснастку "Управление службами". Для этого нажмите кнопку Пуск, все программы, Администрирование и Службы.

  2. Дважды щелкните AD FS (2.0) Служба Windows.

  3. На вкладке Вход обратите внимание на учетную запись службы, которая отображается в этой учетной записи.

  4. Нажмите кнопку Пуск, последовательно щелкните пункты Все программы, Стандартные, щелкните правой кнопкой мыши значок Командная строка и в контекстном меню выберите пункт Запуск от имени администратора.

  5. Введите следующую команду и нажмите клавишу ВВОД.

    SetSPN –f –q host/<AD FS service name>

    Примечание.

    В этой команде <имя> службы AD FS представляет полное доменное имя конечной точки службы AD FS. Он не представляет имя узла Windows сервера AD FS.

    • Если для команды возвращается несколько записей, а результат связан с учетной записью пользователя, отличной от той, которая была отмечена на шаге 3, удалите эту связь. Для этого выполните следующую команду.

      SetSPN –d host/<AD FS service name><bad_username>

    • Если для команды возвращается несколько записей, а имя субъекта-службы использует то же имя, что и имя компьютера сервера AD FS в Windows, то имя конечной точки федерации для AD FS будет неверным. AD FS необходимо реализовать снова. Полное доменное имя фермы серверов федерации AD FS не должно совпадать с именем узла Windows существующего сервера.

    • Если имя субъекта-службы еще не существует, выполните следующую команду:

      SetSPN –a host/<AD FS service name><username of service account>

      Примечание.

      В этой команде <имя пользователя учетной записи> службы представляет имя пользователя, указанное на шаге 3.

  6. После выполнения этих действий на всех серверах в ферме серверов федерации AD FS щелкните правой кнопкой мыши службу Windows AD FS (2.0) в оснастке "Управление службами" и выберите команду Перезапустить.

Решение 3. Устранение проблем с расширенной защитой для проверки подлинности

Чтобы устранить проблему, если расширенная защита для проверки подлинности препятствует успешной проверке подлинности, используйте один из следующих рекомендуемых методов:

  • Способ 1. Для входа используйте Windows Internet Обозреватель 8 (или более позднюю версию программы).
  • Способ 2. Публикация служб AD FS в Интернете таким образом, чтобы мосты SSL, разгрузка SSL или фильтрация пакетов с отслеживанием состояния не перезаписывали данные полезных данных IP-адресов. Рекомендуется использовать прокси-сервер AD FS.
  • Способ 3. Закройте или отключите мониторинг или расшифровку приложений SSL.

Если вы не можете использовать ни один из этих методов, чтобы обойти эту проблему, расширенную защиту для проверки подлинности можно отключить для пассивных и активных клиентов.

Обходной путь: отключение расширенной защиты для проверки подлинности

Предупреждение

Мы не рекомендуем использовать эту процедуру в качестве долгосрочного решения. Отключение расширенной защиты для проверки подлинности ослабляет профиль безопасности службы AD FS, не обнаруживая определенные атаки "злоумышленник в середине" на встроенные конечные точки проверки подлинности Windows.

Примечание.

Если это решение применяется для функций сторонних приложений, необходимо также удалить исправления в клиентской операционной системе для расширенной защиты для проверки подлинности.

Для пассивных клиентов

Чтобы отключить расширенную защиту для проверки подлинности для пассивных клиентов, выполните следующую процедуру для следующих виртуальных приложений IIS на всех серверах в ферме серверов федерации AD FS:

  • Веб-сайт/adfs по умолчанию
  • Веб-сайт по умолчанию/adfs/ls

Для этого выполните следующие действия:

  1. Откройте диспетчер IIS и перейдите к уровню, которым вы хотите управлять. Сведения об открытии диспетчера IIS см. в разделе Открытие диспетчера IIS (IIS 7).
  2. В представлении компонентов дважды щелкните Проверка подлинности.
  3. На странице Проверка подлинности выберите Проверка подлинности Windows.
  4. В области Действия щелкните Дополнительные параметры.
  5. Когда откроется диалоговое окно Дополнительные параметры , выберите Выкл . в раскрывающемся меню Расширенная защита .

Для активных клиентов

Чтобы отключить расширенную защиту для проверки подлинности для активных клиентов, выполните следующую процедуру на основном сервере AD FS:

  1. Откройте Windows PowerShell.

  2. Выполните следующую команду, чтобы загрузить оснастку Windows PowerShell для AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Выполните следующую команду, чтобы отключить расширенную защиту для проверки подлинности:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Повторное включение расширенной защиты для проверки подлинности

Для пассивных клиентов

Чтобы повторно включить расширенную защиту для проверки подлинности для пассивных клиентов, выполните следующую процедуру для следующих виртуальных приложений IIS на всех серверах в ферме серверов федерации AD FS:

  • Веб-сайт/adfs по умолчанию
  • Веб-сайт по умолчанию/adfs/ls

Для этого выполните следующие действия:

  1. Откройте диспетчер IIS и перейдите к уровню, которым вы хотите управлять. Сведения об открытии диспетчера IIS см. в разделе Открытие диспетчера IIS (IIS 7).
  2. В представлении компонентов дважды щелкните Проверка подлинности.
  3. На странице Проверка подлинности выберите Проверка подлинности Windows.
  4. В области Действия щелкните Дополнительные параметры.
  5. Когда откроется диалоговое окно Дополнительные параметры , выберите Принять в раскрывающемся меню Расширенная защита .

Для активных клиентов

Чтобы повторно включить расширенную защиту для проверки подлинности для активных клиентов, выполните следующую процедуру на основном сервере AD FS:

  1. Откройте Windows PowerShell.

  2. Выполните следующую команду, чтобы загрузить оснастку Windows PowerShell для AD FS:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Выполните следующую команду, чтобы включить расширенную защиту для проверки подлинности:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Решение 4. Замените записи CNAME записями A для AD FS

Используйте средства управления DNS, чтобы заменить каждую запись DNS Alias (CNAME), используемую для службы федерации, записью DNS-адреса (A). Кроме того, при реализации конфигурации DNS с разделением мозга проверка или рассмотрите возможность настройки корпоративной DNS. Дополнительные сведения об управлении записями DNS см. в разделе Управление записями DNS.

Решение 5. Настройка интернет-Обозреватель в качестве клиента AD FS для единого входа

Дополнительные сведения о настройке интернет-Обозреватель для доступа к AD FS см. в статье Федеративный пользователь получает неожиданный запрос на ввод учетных данных рабочей или учебной учетной записи.

Дополнительная информация

Для защиты сети AD FS использует расширенную защиту для проверки подлинности. Расширенная защита для проверки подлинности помогает предотвратить атаки "злоумышленник в середине", в которых злоумышленник перехватывает учетные данные клиента и пересылает их на сервер. Защита от таких атак становится возможной с помощью channel Binding Works (CBT). CBT может быть обязательным, разрешенным или не обязательным для сервера при установлении связи с клиентами.

Параметр ExtendedProtectionTokenCheck AD FS указывает уровень расширенной защиты для проверки подлинности, поддерживаемой сервером федерации. Для этого параметра доступны следующие значения:

  • Требовать: сервер полностью закален. Применяется расширенная защита.
  • Разрешить: это параметр по умолчанию. Сервер частично закален. Расширенная защита применяется для задействованных систем, которые были изменены для поддержки этой функции.
  • Нет: сервер уязвим. Расширенная защита не применяется.

В следующих таблицах описано, как работает проверка подлинности для трех операционных систем и браузеров в зависимости от различных параметров расширенной защиты, доступных в AD FS с помощью IIS.

Примечание.

Клиентские операционные системы Windows должны иметь определенные обновления, установленные для эффективного использования функций расширенной защиты. По умолчанию функции включены в AD FS.

По умолчанию Windows 7 включает соответствующие двоичные файлы для использования расширенной защиты.

Windows 7 (или соответствующим образом обновленные версии Windows Vista или Windows XP)

Setting Обязательность Разрешить (по умолчанию) Нет
Клиент Windows Communication Foundation (WCF) (все конечные точки) Работает Работает Работает
Интернет-Обозреватель 8 и более поздних версий Работает Работает Работает
Firefox 3.6 Не Не Работает
Safari 4.0.4 Не Не Работает

Windows Vista без соответствующих обновлений

Setting Обязательность Разрешить (по умолчанию) Нет
Клиент WCF (все конечные точки) Не Работает Работает
Интернет-Обозреватель 8 и более поздних версий Работает Работает Работает
Firefox 3.6 Не Работает Работает
Safari 4.0.4 Не Работает Работает

Windows XP без соответствующих обновлений

Setting Обязательность Разрешить (по умолчанию) Нет
Интернет-Обозреватель 8 и более поздних версий Работает Работает Работает
Firefox 3.6 Не Работает Работает
Safari 4.0.4 Не Работает Работает

Дополнительные сведения о расширенной защите для проверки подлинности см. в следующем ресурсе Майкрософт:

Настройка дополнительных параметров для AD FS 2.0

Дополнительные сведения о командлете Set-ADFSProperties см. на следующем веб-сайте Майкрософт:

Set-ADFSProperties

Требуется дополнительная помощь? Перейдите на веб-сайт Сообщества Майкрософт или на веб-сайт форумов Microsoft Entra.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.