Združeného opakovane výzva na zadanie poverení počas prihlasovania na Office 365, Azure alebo Windows Intune

Preklady článku Preklady článku
ID článku: 2461628 - Zobraziť produkty, ktorých sa tento článok týka.
Dôležité: Tento článok obsahuje informácie, ktoré vám ukážu, ako oslabiť zabezpečenie alebo vypnúť funkcie zabezpečenia v počítači. Tieto zmeny môžete vykonať na obídenie špecifického problému. Pred vykonaním týchto zmien vám odporúčame vyhodnotiť riziká spojené s nasadením tohto alternatívneho riešenia v konkrétnom prostredí. Ak implementujete toto alternatívne riešenie, vykonajte všetky vhodné dodatočné kroky na ochranu počítača.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

PROBLÉM

Externého používateľa je opakovane výzva na zadanie poverení, keď používateľ pokúsi o overenie na koncový bod služby Active Directory Federation Services (ADFS) (AD FS) počas prihlasovania na cloud služby Microsoft Office 365, Microsoft Azure alebo Windows Intune. Ak používateľ zruší, používateľovi sa nasledujúce chybové hlásenie:
Prístup bol odmietnutý

PRÍČINA

Príznak označuje problém s Windows Integrované overovanie s AD FS. Tento problém sa môže vyskytnúť ak jeden alebo viac z nasledujúcich podmienok sú pravdivé:
  • Nesprávne meno používateľa alebo heslo bolo použité.
  • Internet Information Services (IIS) overenie nastavenia sú nesprávne nastavené v AD FS.
  • Hlavný názov služby (SPN) priradenej služby konta, ktoré sa používa na spustenie AD FS federácia serverová farma je stratené alebo poškodené.

    Poznámka: Toto nastane iba vtedy, keď AD FS je implementovaný ako federácia serverovej farmy a nie je implementovaný v samostatnej konfigurácii.
  • Jeden alebo viac z nasledujúcich sú identifikované ako zdroj man-in--middle útok rozšíriť ochranu pre overovanie:
    • Niektoré internetové prehliadače tretích strán
    • Firewallu podnikovej siete, vyrovnávanie zaťaženia siete alebo iných sieťových zariadení je vydavateľstvo AD FS federácia služby Internet takým spôsobom, že IP užitočného zaťaženia údajov môže potenciálne prepísať. Prípadne patria nasledovné druhy údajov:
      • Secure Sockets Layer (SSL) premostenie
      • SSL vykládku
      • Stateful packet filtrovanie

        Pre viac informácie, pozri nasledujúci článok Microsoft Knowledge Base:
        2510193Podporované scenáre pomocou AD FS zriadiť jediné prihlásenie do úradu 365, Azure alebo Windows Intune
    • Monitorovanie SSL dešifrovanie aplikácia je nainštalovaná alebo je aktívna na klientskom počítači
  • Domain Name System (DNS) rozlíšenie AD FS koncový bod služby bola vykonaná prostredníctvom CNAME záznam vyhľadávanie namiesto prostredníctvom vyhľadávania A záznamov.
  • Windows Internet Explorer nie je nakonfigurovaný na Windows Integrované overovanie odovzdať server AD FS.

Pred začiatkom riešenia problémov

Skontrolujte, že meno používateľa a heslo nie sú príčinou tohto problému.
  • Uistite sa, že správne meno používateľa používa a používateľ hlavný názov (UPN) formát. Napríklad johnsmith@contoso.com.
  • Uistite sa, že je používaný správne heslo. Skontrolovať, že je používaný správne heslo, budete musieť obnoviť heslo používateľa. Pre viac informácií, pozri nasledujúci článok Microsoft TechNet:
    Obnovenie hesla používateľa
  • Uistite sa, že konto nie je uzamknuté, vypršala alebo používané mimo určeného časového rozvrhu prihlásenia. Pre viac informácií, pozri nasledujúci článok Microsoft TechNet:
    Správa používateľov

Overenie príčina

Skontrolovať, že Kerberos problémy nám spôsobuje problém, dočasne obísť overovanie Kerberos umožňujúce overovanie na základe formulárov na AD FS federácia serverovej farme. Ak to chcete urobiť, postupujte podľa nasledujúcich krokov:

Krok 1: Upraviť súbor web.config na každý server v serverovej farme AD FS federácia
  1. V programe Prieskumník vyhľadajte priečinok C:\inetpub\adfs\ls\ a potom vytvorte záložnú kópiu súboru web.config.
  2. Kliknite na tlačidlo Štart, kliknite na položku Všetky programy, kliknite na položku príslušenstvo, pravým tlačidlom myši kliknite na Poznámkový bloka potom kliknite na položku Spustiť ako správca.
  3. Na súbor ponuky, kliknite na tlačidlo Otvoriť. V názov súboru zadajteC:\inetpub\adfs\ls\web.config, a potom kliknite na tlačidlo Otvoriť.
  4. V súbore web.config, postupujte nasledovne:
    1. Nájdite riadok obsahujúci <authentication mode=""> </authentication>, a potom zmeniť na <authentication mode="Forms"> </authentication>.
    2. Vyhľadajte sekciu, ktorá začína s <localAuthenticationTypes> </localAuthenticationTypes>, a potom zmeňte sekcie tak, aby <add name="Forms"></add> vstupu je uvedený v prvom, takto:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Na súbor ponuky, kliknite na tlačidlo Uložiť.
  6. V príkazovom riadku sa zvýšenými, reštartujte službu IIS pomocou príkazu iisreset .
Krok 2: Test AD FS funkčnosť
  1. Na klientskom počítači, ktorý má pripojený a overené v priestoroch AD DS prostredie, prihláste sa na portál Služba cloud.

    Miesto bezproblémové overovanie skúsenosti, formy-založené prihlásenie by mal byť skúsený. Ak je prihlásenie úspešné pomocou overenia na základe formulárov, to potvrdzuje, že existuje problém s protokolom Kerberos v AD FS federácia služby.
  2. Obnoví konfiguráciu každý server v serverovej farme AD FS federácia predchádzajúcich nastavení overovania pred vykonaním krokov v časti "Riešenie". Ak chcete obnoviť konfiguráciu každý server v serverovej farme AD FS federácia, postupujte nasledovne:
    1. V programe Prieskumník vyhľadajte priečinok C:\inetpub\adfs\ls\ a potom odstráňte súbor web.config.
    2. Presunúť zálohovanie web.config súbor, ktorý ste vytvorili v "krok 1: upraviť súbor web.config na každý server v serverovej farme AD FS federácia" sekciu do priečinka C:\inetpub\adfs\ls\.
  3. V príkazovom riadku sa zvýšenými, reštartujte službu IIS pomocou príkazu iisreset .
  4. Skontrolujte, že AD FS overovania správanie sa vráti k pôvodnej otázke.

RIEŠENIE

Obmedzuje AD FS overovania Kerberos problém vyriešite pomocou jedného alebo viacerých z nasledujúcich metód, ako vhodné pre danú situáciu.

Rozlíšenie 1: Vynulovať AD FS overovania nastavenia na predvolené hodnoty

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Ak nastavenie overovania na AD FS IIS sú nesprávne, alebo nastavenie overovania IIS na AD FS federácia služby a Proxy služby nezodpovedajú, jedným z riešení je reset všetkých nastavení overovania IIS predvolené AD FS nastavenia.

Predvolené nastavenie overovania sú uvedené v nasledujúcej tabuľke.
Zbaliť túto tabuľkuRozbaliť túto tabuľku
Virtuálne aplikácieÚroveň overovania
Predvolené webové stránky/ADFAnonymný prístup
Predvolené webové stránky/ADF/lsAnonymný prístup
Overovanie systému Windows
Na každý server AD FS federácia a každý AD FS federácia servera proxy, použite informácie v nasledujúcom článku Microsoft TechNet obnovenie virtuálnych aplikácií AD FS IIS predvolené nastavenie overovania:
Konfigurovanie overovania v službe IIS 7
Ďalšie informácie o tom, ako vyriešiť túto chybu, nájdete v nasledujúcich článkoch databázy Microsoft Knowledge Base:
907273 Riešenie problémov s chybami HTTP 401 v službe IIS

871179 Dostanete "chyba HTTP 401.1 - neoprávnenému: prístup bol odmietnutý z dôvodu neplatných poverenia" chybové hlásenie pri pokuse o prístup na webovú lokalitu, ktorá je súčasťou fond aplikácií IIS 6.0

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

Rozlíšenie 2: Opraviť AD FS federácia serverovej farme SPN

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Poznámka: Skúste toto uznesenie iba vtedy, keď AD FS je implementovaný ako federácia serverovej farmy. Nesnažte tohto uznesenia v AD FS samostatná konfigurácia.

Ak stratí alebo poškodí na konto služby AD FS SPN pre službu AD FS vyriešiť, tieto kroky na jednom serveri v serverovej farme AD FS federácia:
  1. Otvoriť služby riadenie modulu. Chcete urobiť, kliknite na tlačidlo Štart, kliknite na položku Všetky programy, kliknite na položku Nástroje na správua potom kliknite na položku služby.
  2. Dvakrát kliknite na AD FS (2.0) Windows službu.
  3. Na Log na kartu, na vedomie, konto služby zobrazené v Tejto úvahy.
  4. Kliknite na tlačidlo Štart, kliknite na položku Všetky programy, kliknite na položku príslušenstvo, kliknite pravým tlačidlom myši na Príkazový riadoka potom kliknite na položku Spustiť ako správca.
  5. Typ SetSPN – f – q hostiteľa /<AD fs="" service="" name=""></AD>, a potom stlačte kláves Enter.

    Poznámka: V tomto príkaze <AD fs="" service="" name=""></AD> predstavuje plne kvalifikovanou doménové meno (FQDN) názov koncový bod AD FS služby. Nereprezentuje názov hostiteľa Windows server AD FS.
    • Ak viac ako jedna položka vrátená príkazu, a výsledkom je spojená s používateľským kontom, než ten, ktorý bol zaznamenaný v kroku 3, odstránenie tohto združenia. K tomu, spustite nasledujúci príkaz:
      SetSPN – d hostiteľa /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Ak vráti viac ako jeden vstup príkazu, a SPN používa rovnaký názov ako názov počítača v systéme Windows server AD FS federácia názov koncový bod AD FS je nesprávne. AD FS treba vykonať znova. Názov FQDN AD FS federácia serverovej farmy nesmie byť totožný názov hostiteľa Windows existujúci server.
    • Ak SPN už neexistuje, spustite nasledujúci príkaz:
      SetSPN-hosť /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Poznámka: V tomto príkaze <username of="" service="" account=""></username> predstavuje meno používateľa, ktoré bolo uvedené v kroku 3.
  6. Po týchto krokoch sa vykonáva na všetky servery v serverovej farme AD FS federácia, kliknite pravým tlačidlom myši Služba Windows AD FS (2.0) riadenie modulu služby a potom kliknite na tlačidlo reštartovať.
Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

Riešenie 3: Vyriešiť rozšírenú ochranu pre autentizáciu týka

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Ak chcete vyriešiť problém Ak rozšíriť ochranu pre overovanie zabraňuje úspešné overenie, použite jeden z nasledujúcich Odporúčané metódy:
  • Metóda 1: použitie Windows Internet Explorer 8 (alebo novšiu verziu programu) prihlásiť.
  • Metóda 2: publikovanie služieb AD FS na Internet tak, že premostenie SSL, SSL vykládku alebo stavovej paket filtrovanie nechcete prepísať IP užitočného zaťaženia údajov. Odporúčanie osvedčených postupov na tento účel je použitie AD FS Proxy Server.
  • Metóda 3: zblízka alebo zakázať sledovanie alebo dešifrovanie SSL žiadosti.
Ak nemôžete použiť niektorú z týchto metód, tento problém obísť, je možné vypnúť rozšírenú ochranu pre autentizáciu pre pasívne a aktívne klientov.

Riešenie: Vypnúť rozšírenú ochranu pre overovanie

Upozornenie: Neodporúčame, že použijete tento postup ako dlhodobé riešenie. Vypnúť rozšírenú ochranu pre autentizáciu oslabuje profil zabezpečenia služby AD FS nie detekciou určitých man-in--middle útoky na koncové body Integrované overovanie systému Windows.

Poznámka: Keď toto riešenie sa uplatňuje pre funkčnosť aplikácie tretích strán, by ste mali tiež odinštalovať rýchlych operačnom systéme klienta pre rozšírenú ochranu pre autentizáciu. Ďalšie informácie o rýchlych, pozri nasledujúci článok Microsoft Knowledge Base:
968389 Rozšírenú ochranu pre overovanie
Pre pasívne klientov
Ak chcete vypnúť rozšírenú ochranu pre autentizáciu pre pasívne klientov, vykonajte nasledovné kroky pre tieto virtuálne aplikácie IIS na všetkých serveroch vo farme server AD FS federácia:
  • Predvolené webové stránky/ADF
  • Predvolené webové stránky/ADF/ls
Ak to chcete urobiť, postupujte podľa nasledujúcich krokov:
  1. Otvoriť modul IIS Manager a prejdite do úrovne, ktorú chcete spravovať. Informácie o otváraní IIS Manager nájdete v Otvoriť modul IIS Manager (IIS 7).
  2. Funkcie zobrazenie, dvakrát kliknite na položku overenie.
  3. Na stránke overenia, vyberte možnosť Overovanie systému Windows.
  4. Na table akcie kliknite na položku Rozšírené nastavenie.
  5. Keď sa zobrazí dialógové okno Rozšírené nastavenie , vyberte Vypnutézrozšírenú ochranu kvapka-down menu.
Pre aktívnych klientov
Ak chcete vypnúť rozšírenú ochranu pre autentizáciu pre aktívnych klientov, použite nasledujúci postup na primárny server AD FS:
  1. Otvoriť Windows PowerShell.
  2. Spustite nasledujúci príkaz na načítanie systému Windows PowerShell pre AD FS modulu:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Spustite nasledujúci príkaz vypnúť rozšírenú ochranu pre overovanie:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Zapnúť rozšírenú ochranu pre overovanie

Pre pasívne klientov
Opätovné zapnutie rozšírenú ochranu pre autentizáciu pre pasívne klientov, vykonajte nasledovné kroky pre tieto virtuálne aplikácie IIS na všetkých serveroch vo farme server AD FS federácia:
  • Predvolené webové stránky/ADF
  • Predvolené webové stránky/ADF/ls
Ak to chcete urobiť, postupujte podľa nasledujúcich krokov:
  1. Otvoriť modul IIS Manager a prejdite do úrovne, ktorú chcete spravovať. Informácie o otváraní IIS Manager nájdete v Otvoriť modul IIS Manager (IIS 7).
  2. Funkcie zobrazenie, dvakrát kliknite na položku overenie.
  3. Na stránke overenia, vyberte možnosť Overovanie systému Windows.
  4. Na table akcie kliknite na položku Rozšírené nastavenie.
  5. Keď sa zobrazí dialógové okno Rozšírené nastavenie , vyberte polo?ku Prijmiz Rozšírenú ochranu kvapka-down menu.
Pre aktívnych klientov
Opätovné zapnutie rozšírenú ochranu pre autentizáciu pre aktívnych klientov, použite nasledujúci postup na primárny server AD FS:
  1. Otvoriť Windows PowerShell.
  2. Spustite nasledujúci príkaz na načítanie systému Windows PowerShell pre AD FS modulu:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Spustite nasledujúci príkaz umožní rozšíriť ochranu pre overovanie:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

Rozlíšenie 4: Vymeňte záznamy CNAME Records pre AD FS

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Používať DNS management nástroje nahradiť každý Alias DNS (CNAME) záznam, ktorý sa používa pre službu federácie s DNS adresa () záznamu. Tiež kontrolovať alebo zvážiť firemné DNS nastavenia pri split-brain Konfigurácia DNS je implementovaný. Ďalšie informácie o tom, ako spravovať záznamy DNS, nájdete na nasledujúcej webovej lokalite Microsoft TechNet:
Správa záznamov DNS
Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

Rozlíšenie 5: Nastavenie programu Internet Explorer ako AD FS klienta pre jediné prihlásenie (SSO)

Zbaliť tento obrázokRozbaliť tento obrázok
assets folding start collapsed
Ďalšie informácie o tom, ako nastaviť program Internet Explorer pre AD FS prístup, pozri nasledujúci článok Microsoft Knowledge Base:
2535227 Združené výzva nečakane zadať svoje poverenia, keď budú pristupovať na Office 365 prostriedok
Zbaliť tento obrázokRozbaliť tento obrázok
assets folding end collapsed

ĎALŠIE INFORMÁCIE

Ak chcete chrániť sieť, AD FS používa rozšírenú ochranu pre overovanie. Rozšírenú ochranu pre overovanie môže pomôcť zabrániť man-in--middle útoky v ktorej útočník zachytí poverenia klienta a odovzdá ich server. Ochrana proti takýmto útokom je možné pomocou kanálu viazanie prác (CBT). CBT môžu byť požadované, povolené alebo nie vyžadovaného serverom pri komunikácií s klientom.

ExtendedProtectionTokenCheck AD FS nastavenie určuje úroveň rozšírenú ochranu pre overovanie, ktorý je podporovaný serverom federácie. Tieto sú k dispozícii hodnoty pre toto nastavenie:
  • Vyžaduje: server je plne kalené. Rozšírená ochrana je vykonaný.
  • Povoliť: Toto je predvolené nastavenie. Na serveri je čiastočne odolné. Rozšírená ochrana je vynútené pre zapojených systémov, ktoré sa zmenia na túto funkciu nepodporujú.
  • None: server je zraniteľný. Rozšírená ochrana nie je vykonaný.
Nasledujúce tabuľky popisujú ako overenie funguje na troch operačných systémov a prehliadačov, v závislosti od rôznych rozšírenú ochranu možnosti, ktoré sú k dispozícii na AD FS s IIS.

Poznámka: Operačné systémy Windows klient musí mať konkrétne aktualizácie, ktoré sú nainštalované efektívne využiť rozšírenú ochranu funkcií. V predvolenom nastavení sú povolené funkcie v AD FS. Tieto aktualizácie sú dostupné z nasledujúci článok databázy Microsoft Knowledge Base:
968389 Rozšírenú ochranu pre overovanie
V predvolenom nastavení Windows 7 obsahuje zodpovedajúce binárne súbory použiť rozšírenú ochranu.

Windows 7 (alebo vhodne aktualizovanej verzie systému Windows Vista alebo Windows XP)
Zbaliť túto tabuľkuRozbaliť túto tabuľku
NastavenieVyžadujúPovoliť (predvolené)Severovýchodoázijský štandardný čas
Windows Oznámenie
Foundation (WCF) klienta (všetky koncové body)
DielaDielaDiela
Internet Explorer 8DielaDielaDiela
Firefox 3.6ZlyháZlyháDiela
Safari 4.0.4ZlyháZlyháDiela
Systém Windows Vista bez potreby aktualizácie
Zbaliť túto tabuľkuRozbaliť túto tabuľku
NastavenieVyžadujúPovoliť (predvolené)Severovýchodoázijský štandardný čas
WCF klienta (všetky koncové body)ZlyháDielaDiela
Internet Explorer 8DielaDielaDiela
Firefox 3.6ZlyháDiela Diela
Safari 4.0.4ZlyháDiela Diela
Windows XP bez potreby aktualizácie
Zbaliť túto tabuľkuRozbaliť túto tabuľku
NastavenieVyžadujúPovoliť (predvolené)Severovýchodoázijský štandardný čas
Internet Explorer 8DielaDielaDiela
Firefox 3.6ZlyháDiela Diela
Safari 4.0.4ZlyháDiela Diela
Ďalšie informácie o rozšírenú ochranu pre autentizáciu, pozri nasledujúce zdroje spoločnosti Microsoft:
968389 Rozšírenú ochranu pre overovanie
Konfigurácia rozšírených možností pre AD FS 2.0
Viac informácií o cmdlet Set-ADFSProperties , nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:
Set-ADFSProperties

Video: Cyklické poverenia vyzve pri prihlásenie v službe Office 365 pomocou totožnosti združeného účet

Zbaliť tento obrázokRozbaliť tento obrázok
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Zbaliť tento obrázokRozbaliť tento obrázok
assets video2

Video: Federalizovaných používateľov sú opakovane výzva na poverenia a nemôže prihlásiť do Office 365

Zbaliť tento obrázokRozbaliť tento obrázok
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Zbaliť tento obrázokRozbaliť tento obrázok
assets video2

Potrebujete ešte pomoc? Prejdite na Komunita používateľov balíka Office 365 webové stránky alebo Azure služby Active Directory Fórum .

Produkty tretích strán spomínané v tomto článku vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Microsoft robí žiadne záruka, implikovaných alebo inak, o výkonnosť alebo spoľahlivosť týchto výrobkov

Vlastnosti

ID článku: 2461628 - Posledná kontrola: 21. júna 2014 - Revízia: 20.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Kľúčové slová: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2461628

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com