Федеративный пользователь постоянно предлагается ввести учетные данные во время входа в Office 365, Azure или Windows Intune

Переводы статьи Переводы статьи
Код статьи: 2461628 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важно Данная статья содержит сведения, которые помогут установить более низкие параметры безопасности либо отключить компоненты безопасности на компьютере. Можно внести эти изменения, чтобы обойти определенные проблемы. Перед внесением изменений рекомендуется взвесить последствия этого метода обхода проблемы в конкретной среде. При реализации этого метода обхода необходимо выполнить все необходимые дополнительные меры для защиты компьютера.
Развернуть все | Свернуть все

В этой статье

ПРОБЛЕМА

Федеративный пользователь неоднократно запрашиваться учетные данные при попытке проверки подлинности для конечной точки службы служб федерации Active Directory (AD FS) во время входа в службе облака Microsoft Office 365, Microsoft Azure или Windows Intune. При отмене пользователем, пользователь получает следующее сообщение об ошибке:
Отказано в доступе

ПРИЧИНА

Симптом указывает на проблему с встроенной проверки подлинности Windows с AD FS. Эта проблема может возникнуть при одном или нескольких из следующих условий:
  • Было использовано неправильное имя пользователя или пароль.
  • Параметры проверки подлинности Internet Information Services (IIS) заданы неправильно в AD FS.
  • Имя участника службы (SPN), связанный с учетной записью службы, который используется для запуска фермы серверов федерации AD FS потерян или поврежден.

    Примечание Это происходит только в том случае, если реализованы в виде фермы серверов федерации AD FS и не реализованы в изолированной конфигурации.
  • Одно или несколько из следующих определяются расширенную защиту для проверки подлинности как источник атаки в середине:
    • Некоторые интернет-обозреватели сторонних производителей
    • Брандмауэра корпоративной сети, балансировки сетевой нагрузки или другие сетевые устройства публикация службы федерации AD FS в Интернете таким образом, что потенциально может быть переписан полезных данных IP. Возможно, это включает следующие типы данных:
      • Secure Sockets Layer (SSL) мост
      • Разгрузки SSL
      • Фильтрация пакетов с отслеживанием состояния

        Для получения дополнительных сведений обратитесь к следующей статье Microsoft Knowledge Base:
        2510193Поддерживаемые сценарии использования службы федерации Active Directory для настройки единого входа в Office 365, Azure или Windows Intune
    • Наблюдение или приложение расшифровки SSL установлена или активен на клиентском компьютере
  • Разрешение доменных имен (DNS) конечной точки службы AD FS была выполнена путем поиска записи CNAME вместо путем поиска записи A.
  • Windows Internet Explorer не настроен для передачи встроенную проверку подлинности Windows на сервере AD FS.

Прежде чем начать устранение неполадок

Проверьте, что имя пользователя и пароль не являются причиной проблемы.
  • Убедитесь, что используется корректное имя пользователя используется и в формате имени участника (UPN) пользователя. Например johnsmith@contoso.com.
  • Убедитесь, что используется правильный пароль. Чтобы повторно проверьте, что используется правильный пароль, необходимо сбросить пароль пользователя. Для получения дополнительных сведений обратитесь к следующей статье Microsoft TechNet:
    Сброс пароля пользователя
  • Убедитесь, что учетная запись не заблокирована, истек или использовать вне времени входа, заданного. Для получения дополнительных сведений обратитесь к следующей статье Microsoft TechNet:
    Управление пользователями

Причины

Чтобы проверить, что проблему вызывают проблемы с Kerberos, временно обойти проверку подлинности Kerberos с помощью проверки подлинности на основе форм в ферме серверов федерации AD FS. Чтобы сделать это, выполните следующие действия.

Шаг 1: Изменение файла web.config на каждом сервере в ферме серверов федерации AD FS
  1. В проводнике Windows перейдите в папку C:\inetpub\adfs\ls\, а затем создайте резервную копию файла web.config.
  2. Нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши «Блокнот»и выберите команду Запуск от имени администратора.
  3. На файл меню, нажмите кнопку Открыть. В имя файла введитеC:\inetpub\adfs\ls\web.config, а затем нажмите кнопку Открыть.
  4. В файле web.config выполните следующие действия.
    1. Найдите строку, содержащую <authentication mode=""> </authentication>, а затем измените его, чтобы <authentication mode="Forms"> </authentication>.
    2. Найдите раздел, начинающийся с <localAuthenticationTypes> </localAuthenticationTypes>и затем измените этот раздел, чтобы <add name="Forms"></add> запись присутствует, во-первых, как показано ниже:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. На файл меню, нажмите кнопку Сохранить.
  6. В командной строке с повышенными привилегиями перезапустите службы IIS с помощью команды iisreset .
Шаг 2: Функциональные возможности тестирования AD FS
  1. На клиентском компьютере, подключение и проверку подлинности для помещения в среде AD DS, вход на портал службы облаков.

    Вместо работы эффективной проверки подлинности на основе форм вход должны возникать из. Если вход выполнен успешно с использованием проверки подлинности на основе форм, это подтверждает, что существует проблема с Kerberos в службе федерации AD FS.
  2. Обратное преобразование конфигурации каждого из серверов в ферме серверов федерации AD FS для прежних настроек проверки подлинности выполните действия, описанные в разделе «Решение». Чтобы восстановить настройки каждого сервера в ферме серверов федерации AD FS, выполните следующие действия.
    1. В проводнике Windows перейдите в папку C:\inetpub\adfs\ls\ и затем удалите файл web.config.
    2. Переместите резервную копию файла web.config, который был создан в «шаг 1: изменение файла web.config на каждом сервере в ферме серверов федерации AD FS "раздел в папку C:\inetpub\adfs\ls\.
  3. В командной строке с повышенными привилегиями перезапустите службы IIS с помощью команды iisreset .
  4. Проверьте, что поведение проверки подлинности службы федерации Active Directory возвращается к исходной проблемы.

РЕШЕНИЕ

Для решения проблемы Kerberos, которая ограничивает проверки подлинности в Службах федерации Active Directory, используйте одно или несколько из перечисленных ниже способов в зависимости от ситуации.

Решение 1: Параметры проверки подлинности AD FS сброса значения по умолчанию

Свернуть это изображениеРазвернуть это изображение
assets folding start collapsed
Если параметры проверки подлинности AD FS IIS неверны или параметры проверки подлинности IIS для служб федерации AD FS и службы прокси-сервера не совпадают, одним из решений является сбросить все параметры проверки подлинности IIS по умолчанию службы федерации Active Directory.

В следующей таблице перечислены параметры проверки подлинности по умолчанию.
Свернуть эту таблицуРазвернуть эту таблицу
Виртуальное приложениеУровни проверки подлинности
Веб-узел по умолчанию/adfsАнонимная проверка подлинности
По умолчанию веб-узел/adfs/lsАнонимная проверка подлинности
Проверка подлинности Windows
На каждый сервер федерации AD FS и каждый прокси-сервер федерации AD FS Сброс виртуальных приложений AD FS IIS для проверки подлинности по умолчанию используйте информацию в следующей статье Microsoft TechNet:
Настройка проверки подлинности в IIS 7
Дополнительные сведения о том, как устранить эту ошибку, обратитесь к следующим статьям Microsoft Knowledge Base:
907273 Устранение ошибок HTTP 401 в IIS

871179 Появление "HTTP Ошибка 401.1 — доступ запрещен: доступ запрещен из-за неправильных учетных данных" сообщения об ошибке при попытке получить доступ к веб-сайту, который является частью пула приложений IIS 6.0

Свернуть это изображениеРазвернуть это изображение
assets folding end collapsed

Решение 2: Решения фермы серверов федерации AD FS SPN

Свернуть это изображениеРазвернуть это изображение
assets folding start collapsed
ПримечаниеПопробуйте это решение только при реализации службы федерации Active Directory в ферме серверов федерации. Не используйте это решение в изолированной конфигурации AD FS.

Для решения проблемы, если имя участника-службы для службы AD FS потерю или повреждение учетной записи службы AD FS, выполните следующие действия на одном сервере в ферме серверов федерации AD FS.
  1. Откройте оснастку управления службы. Для этого нажмите кнопку Пуск, выберите пункт Все программы, выделите пункт Администрированиеи выберите службы.
  2. Дважды щелкните значок службы AD FS (2.0) Windows.
  3. На Вход в систему вкладке, обратите внимание, учетная запись службы, которая отображается в поле Учетная запись.
  4. Нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши командную строкуи выберите команду Запуск от имени администратора.
  5. Введите Узла-q-f SetSPN /<AD fs="" service="" name=""></AD>, а затем нажмите клавишу ВВОД.

    ПримечаниеВ этой команде <AD fs="" service="" name=""></AD> представляет имя службы полное доменное имя (FQDN) конечной точки службы AD FS. Он не представляет имя узла Windows сервера AD FS.
    • Если возвращается более одной операции для команды и результат связан с учетной записи пользователя не было указано в шаге 3, удалите эту связь. Чтобы сделать это, выполните следующую команду:
      SetSPN хост-d /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Если возвращается более одной операции для команды и имя участника службы использует то же имя, как имя компьютера сервера службы федерации Active Directory в Windows, используется неправильное имя федерации конечной точки для службы федерации Active Directory. Службы федерации Active Directory должен быть реализован повторно. Не должна совпадать с именем узла Windows существующего сервера полное доменное имя фермы серверов федерации AD FS.
    • Если имя SPN не существует, выполните следующую команду:
      SetSPN-узел /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      ПримечаниеВ этой команде <username of="" service="" account=""></username> представляет имя пользователя, которое было указано в шаге 3.
  6. После эти шаги выполняются на всех серверах в ферме серверов федерации AD FS, щелкните правой кнопкой мыши Службу Windows AD FS (2.0) в оснастке службы управления и выберите пункт перезапустить.
Свернуть это изображениеРазвернуть это изображение
assets folding end collapsed

Решение 3: Касается разрешения расширенную защиту для проверки подлинности

Свернуть это изображениеРазвернуть это изображение
assets folding start collapsed
Чтобы решить проблему, если расширенная защита для проверки подлинности препятствует успешной проверки подлинности, используйте один из следующих способов:
  • Метод 1: использование Windows Internet Explorer 8 (или более поздней версии программы) для входа.
  • Способ 2: публикация служб AD FS в Интернете таким образом, мост SSL, разгрузки SSL или фильтрации пакетов с состояниями не переписывать полезных данных IP. Рекомендации для этой цели рекомендуется использовать прокси-сервер AD FS.
  • Способ 3: закрытие или отключение мониторинга или расшифровки SSL приложений.
Если любой из этих методов нельзя использовать для временного решения этой проблемы, можно отключить расширенную защиту для проверки подлинности для пассивных и активных клиентов.

Решение: Отключите расширенную защиту для проверки подлинности

ПредупреждениеНе рекомендуется использовать эту процедуру в качестве долгосрочного решения. Отключение расширенной защиты проверки подлинности ослабляет профиля безопасности службы AD FS не обнаруживает некоторые атаки в середине в конечных точках встроенную проверку подлинности Windows.

Примечание При применении этого метода обхода для функциональных возможностей приложения сторонних производителей для расширенной защиты для проверки подлинности необходимо также удалить исправления в клиентской операционной системе. Дополнительные сведения об исправлениях обратитесь к следующей статье Microsoft Knowledge Base:
968389 Расширенная защита проверки подлинности
Для клиентов, пассивный
Чтобы отключить расширенную защиту для проверки подлинности для клиентов, пассивный, выполните следующую процедуру для следующих виртуальных приложений IIS на всех серверах в ферме серверов федерации AD FS:
  • Веб-узел по умолчанию/adfs
  • По умолчанию веб-узел/adfs/ls
Чтобы сделать это, выполните следующие действия.
  1. Откройте диспетчер IIS и перейдите на уровень, которым нужно управлять. Сведения об открытии диспетчера служб IIS см. Откройте диспетчер служб IIS (IIS 7).
  2. Просмотр возможностей дважды щелкните Проверка подлинности.
  3. На странице Проверка подлинности выберите Проверку подлинности Windows.
  4. В области действий нажмите кнопку Дополнительные параметры.
  5. Когда появится диалоговое окно Дополнительные параметры , выберите команду ОтключитьизРасширенная защита раскрывающееся меню.
Для активных клиентов
Чтобы отключить расширенную защиту для проверки подлинности для активных клиентов, выполните следующие действия на основном сервере AD FS:
  1. Открыть Windows PowerShell.
  2. Выполните следующую команду для загрузки Windows PowerShell для оснастки AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Выполните следующую команду, чтобы отключить расширенную защиту для проверки подлинности:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Включить расширенную защиту для проверки подлинности

Для клиентов, пассивный
Чтобы включить расширенную защиту для проверки подлинности для пассивных клиентов, выполните следующие действия для следующих виртуальных приложений IIS на всех серверах в ферме серверов федерации AD FS:
  • Веб-узел по умолчанию/adfs
  • По умолчанию веб-узел/adfs/ls
Чтобы сделать это, выполните следующие действия.
  1. Откройте диспетчер IIS и перейдите на уровень, которым нужно управлять. Сведения об открытии диспетчера служб IIS см. Откройте диспетчер служб IIS (IIS 7).
  2. Просмотр возможностей дважды щелкните Проверка подлинности.
  3. На странице Проверка подлинности выберите Проверку подлинности Windows.
  4. В области действий нажмите кнопку Дополнительные параметры.
  5. Когда появится диалоговое окно Дополнительные параметры , выберите из раскрывающегося меню Расширенной защиты принять.
Для активных клиентов
Чтобы включить расширенную защиту для проверки подлинности для активных клиентов, выполните следующие действия на основном сервере AD FS:
  1. Открыть Windows PowerShell.
  2. Выполните следующую команду для загрузки Windows PowerShell для оснастки AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Выполните следующую команду, чтобы включить расширенную защиту для проверки подлинности:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
Свернуть это изображениеРазвернуть это изображение
assets folding end collapsed

Решение 4: Замена записи CNAME с записями для работы AD FS

Свернуть это изображениеРазвернуть это изображение
assets folding start collapsed
Используйте средства управления DNS для замены каждой записи DNS-псевдонима (CNAME), которая использована для службы федерации с адресом DNS (запись). Кроме того проверьте или рассмотрим параметры DNS организации при реализации split-brain конфигурации DNS. Дополнительные сведения об управлении DNS-записи, перейдите на следующий веб-узел Microsoft TechNet:
Управление записями DNS
Свернуть это изображениеРазвернуть это изображение
assets folding end collapsed

Решение 5: Настройка Internet Explorer как клиент службы федерации Active Directory для единого входа (SSO)

Свернуть это изображениеРазвернуть это изображение
assets folding start collapsed
Дополнительные сведения о настройке Internet Explorer для доступа к AD FS обратитесь к следующей статье Microsoft Knowledge Base:
2535227 Федеративный пользователь неожиданно запрос на ввод учетных данных при доступе к ресурсу Office 365
Свернуть это изображениеРазвернуть это изображение
assets folding end collapsed

ДОПОЛНИТЕЛЬНЫЕ СВЕДЕНИЯ

Для защиты сети, службы федерации Active Directory использует расширенную защиту для проверки подлинности. Расширенная защита для проверки подлинности может помочь предотвратить атаки в середине, когда злоумышленник перехватывает учетные данные клиента и отправляет их на сервер. Защиты от таких атак стало возможным с помощью Works привязки канала (CBT). CBT может обязательный, разрешено или не требуется на сервере, после установления связи с клиентами.

Параметр ExtendedProtectionTokenCheck AD FS уровень расширенной защиты для проверки подлинности, поддерживаемый сервером федерации. Ниже приведены допустимые значения для этого параметра:
  • Требуется: сервер полностью жесткой. Расширенная защита применяется.
  • Разрешить: значение по умолчанию. Сервер является частично жесткой. Расширенная защита применяется для участвующих систем, которые изменены для поддержки этой возможности.
  • Нет: сервер является уязвимым. Расширенная защита не налагаются.
В следующих таблицах описываются, как работает проверка подлинности для трех операционных систем и обозревателей, в зависимости от различных параметров расширенной защиты, доступных в службах IIS службы федерации Active Directory.

Примечание Клиентские операционные системы Windows должен иметь определенные обновления, установленные для эффективного использования функции расширенной защиты. По умолчанию функции включены в AD FS. Эти обновления можно загрузить из следующей статьи базы знаний Майкрософт:
968389 Расширенная защита проверки подлинности
По умолчанию Windows 7 включает соответствующие двоичные файлы для использования расширенной защиты.

Windows 7 (или соответствующие обновленные версии операционной системы Windows Vista или Windows XP)
Свернуть эту таблицуРазвернуть эту таблицу
ПараметрТребуетсяРазрешить (по умолчанию)Отсутствует
Связи Windows
Клиент Foundation (WCF) (все конечные точки)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6Не выполняетсяНе выполняетсяWorks
Safari 4.0.4Не выполняетсяНе выполняетсяWorks
Windows Vista без обновления
Свернуть эту таблицуРазвернуть эту таблицу
ПараметрТребуетсяРазрешить (по умолчанию)Отсутствует
Клиент WCF (все конечные точки)Не выполняетсяWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6Не выполняетсяWorks Works
Safari 4.0.4Не выполняетсяWorks Works
Windows XP без обновления
Свернуть эту таблицуРазвернуть эту таблицу
ПараметрТребуетсяРазрешить (по умолчанию)Отсутствует
Internet Explorer 8WorksWorksWorks
Firefox 3.6Не выполняетсяWorks Works
Safari 4.0.4Не выполняетсяWorks Works
Дополнительные сведения о расширенной защиты для проверки подлинности некоторых ресурсах корпорации Майкрософт см.
968389 Расширенная защита проверки подлинности
Дополнительные сведения о командлет Set-ADFSProperties посетите следующий веб-узел корпорации Майкрософт:
Набор ADFSProperties

Видео: Цикл учетных данных предлагает при входе в Office 365 с помощью удостоверения федеративных учетных записей

Свернуть это изображениеРазвернуть это изображение
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://AKA.MS/wqsfve
Свернуть это изображениеРазвернуть это изображение
assets video2

Видео: Федеративные пользователи могут неоднократно запрашиваться учетные данные и не вход в Office 365

Свернуть это изображениеРазвернуть это изображение
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://AKA.MS/lifluf
Свернуть это изображениеРазвернуть это изображение
assets video2

По-прежнему нужна помощь? Последовательно выберите пункты Сообщество Office 365 веб-узел или Форумы Azure Active Directory веб-сайт.

Продукты независимых производителей, обсуждаемые в этой статье, производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых гарантий относительно производительности или надежности этих продуктов

Свойства

Код статьи: 2461628 - Последний отзыв: 21 июня 2014 г. - Revision: 22.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Ключевые слова: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 2461628

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com