En federerad användare ombeds upprepade gånger autentiseringsuppgifter när han eller hon ansluter till AD FS 2.0 tjänsteslutpunkten under Office 365-inloggning

Artikel-id: 2461628 - Visa produkter som artikeln gäller.
MaskinöversattKlicka här för att visa information om maskinöversatt KB
I artikeln beskrivs Microsoft Office 365 och Microsoft Office 365 Förhandsgranska Microsoft Office 365 föruppgradering. Information om förhandsgranskning av Office 365 i denna artikel, inbegripet eventuella länkar som är och kan ändras utan föregående meddelande.

Inte vet vilken version av Office 365 du använder? Gå till följande Microsoft-webbplats:
Via Office 365 efter uppgraderingen service?
(http://office.microsoft.com/redir/HA103982331.aspx)
Viktigt! Den här artikeln innehåller information om hur du sänker säkerhetsnivån eller stänger av säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att lösa ett specifikt problem. Innan du gör ändringarna rekommenderar vi att du utvärderar vilka risker de medför i din miljö. Om du genomför den här lösningen kan du vidta lämpliga ytterligare åtgärder för att skydda datorn.
Visa alla | Dölj alla

På den här sidan

PROBLEMET

En federerad användare ombeds upprepade gånger för hans eller hennes autentiseringsuppgifter när användaren försöker autentisera Active Directory Federation Services (AD FS) 2.0 tjänsteslutpunkten under logga in till Microsoft Office 365. När användaren avbryter visas följande felmeddelande:
Åtkomst nekad
Tillbaka till början | Ge feedback

ORSAK

Symptomet indikerar ett problem med Windows-integrerad autentisering av AD FS 2.0-tjänst som används för att federera på plats identiteter i Active Directory DS (AD DS) till Office 365 identiteter. Det här problemet kan uppstå om en eller flera av följande villkor är uppfyllda:
  • Det finns ett problem med de autentiseringsuppgifter som används.
  • Autentiseringsinställningar för Internet Information Services (IIS) anges felaktigt i AD FS 2.0. Eller matchar inte IIS-autentiseringsinställningarna för AD FS 2.0 Federation och Proxy-tjänster.
  • Tjänstens huvudnamn (SPN) som är kopplad till kontot som används för att köra den AD FS 2.0 federationsservergruppen går förlorad eller skadas.

    Obs! Detta inträffar endast när AD FS 2.0 är implementerad som en federationsservergruppen och inte implementerats i en fristående konfiguration.
  • En eller flera av följande identifieras som en källa för en man-in-the-middle-attacker av utökat skydd för autentisering:
    • Vissa webbläsare från tredje part
    • Företagsnätverk brandvägg, belastningsutjämning för nätverk eller annan nätverksenhet publicerar AD FS 2.0 federationstjänsten till Internet på ett sådant sätt att IP-nyttolasten kan eventuellt skrivas. Detta inkluderar eventuellt följande typer av data:
      • SSL (Secure Sockets Layer) bryggning (SSL)
      • SSL-avlastning
      • Administrerad paketfiltrering

        Mer information finns i följande artikel i Microsoft Knowledge Base:
        2510193
        (http://support.microsoft.com/kb/2510193/ )
        Konsekvenserna av att använda AD FS 2.0 för att genomföra en sign-on i Office 365
    • Övervakning eller SSL dekryptering programmet är installerat eller är aktiv på klientdatorn
  • Domain Name System (DNS) upplösning av AD FS 2.0 tjänsteslutpunkten utfördes via CNAME-postsökning i stället för via en sökning för en post.
  • Windows Internet Explorer inte konfigurerats för att skicka Windows-integrerad autentisering till AD FS 2.0-servern.

Innan du diagnostisera problem med Kerberos

Kontrollera att användarnamnet och lösenordet inte är orsaken till problemet innan du felsöker ytterligare.
  • Kontrollera att korrekt användarnamn används. Användarens huvudnamn (UPN) för användarkontot är för federerade användaråtkomst endast lämpligt format.
  • Kontrollera att rätt lösenord används. Du kan behöva återställa användarens lösenord om du vill kontrollera att rätt lösenord används. Mer information finns i följande Microsoft TechNet-artikel:
    http://technet.microsoft.com/en-us/library/cc754395.aspx
    (http://technet.microsoft.com/en-us/library/cc754395.aspx)
  • Kontrollera att kontot inte är låst, gått ut eller används utanför utsedda inloggningstider. Mer information finns i följande Microsoft TechNet-artikel:
    http://technet.microsoft.com/en-us/library/cc754661.aspx
    (http://technet.microsoft.com/en-us/library/cc754661.aspx)
Tillbaka till början | Ge feedback

Kontrollera orsaken

Kontrollera att Kerberos-problem som orsakar problemet genom att tillfälligt förbigå Kerberos-autentisering genom att aktivera formulärbaserad autentisering på den AD FS 2.0 federationsservergruppen. Gör så här:

Steg 1: Redigera filen web.config på varje server i AD FS 2.0 federationstjänsten servergruppen
  1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och sedan göra en säkerhetskopia av filen web.config.
  2. Klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Anteckningar, och klicka sedan på Kör som administratör.
  3. På den Fil -menyn klickar du på Öppna. I den Filnamn i rutan typ C:\inetpub\adfs\ls\web.config, och klicka sedan på Öppna.
  4. Gör följande i filen web.config:
    1. Leta upp den rad som innehåller <authentication mode=""></authentication>, och ändra den till <authentication mode="Forms"></authentication>.
    2. Leta upp avsnittet som börjar med <localAuthenticationTypes></localAuthenticationTypes>, och sedan ändra avsnittet så att den <add name="Forms"></add> posten anges först, enligt följande:
      <localAuthenticationTypes>
      </localAuthenticationTypes><add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add>
  5. På den Fil -menyn klickar du på Spara.
  6. Starta om IIS med hjälp av kommandot iisreset i en kommandotolk.
Efter den här proceduren utförs på varje server i AD FS 2.0 federationsservergruppen, testa AD FS 2.0-funktioner.

Steg 2: Testa AD FS 2.0-funktionalitet
  1. På en klientdator som är ansluten och autentiseras på-lokaler för AD DS-miljö, logga in på Office 365 portal (https://Portal.microsoftonline.com
    (https://portal.microsoftonline.com)
    ), ange federerade användarkontot och klicka sedan på denLogga in på YourDomainName länk.

    I stället för en sömlös autentisering upplevelse bör en formulärbaserad inloggning vara erfarenhet. Om inloggningen lyckas med formulärbaserad autentisering bekräftas det att ett problem med Kerberos finns i AD FS 2.0 federationstjänsten.
  2. Återställa konfigurationen för varje server i AD FS 2.0 federationsservergruppen till föregående autentiseringsinställningar innan du följer instruktionerna i avsnittet "Lösning". Gör så här om du vill återställa konfigurationen för varje server i AD FS 2.0 federation-servergrupp:
    1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och ta bort filen web.config.
    2. Flytta säkerhetskopiorna av web.config-filen som du skapade i den "steg 1: redigera filen web.config på varje server i AD FS 2.0 federationstjänsten servergruppen" avsnitt till mappen C:\inetpub\adfs\ls\.
  3. Starta om IIS med hjälp av kommandot iisreset i en kommandotolk.
  4. Kontrollera att AD FS 2.0 autentisering funktionen återgår till slingor autentisering.
Tillbaka till början | Ge feedback

LÖSNING

Lös problemet för Kerberos att gränser AD FS 2.0-autentisering med en eller flera av följande metoder som passar situationen.

Lösning 1: Återställ AD FS 2.0 autentiseringsinställningar till standardvärden

Om autentiseringsinställningarna för IIS för AD FS 2.0 är felaktiga eller inte matchar autentiseringsinställningarna för IIS för AD FS 2.0 Federation och Proxy-tjänster, är en lösning att återställa alla inställningar för IIS-autentisering till alla AD FS 2.0 standardinställningar.

På varje AD FS-federationsserver 2.0 och på varje AD FS 2.0 federationsserverproxyn Använd informationen i följande Microsoft TechNet-artikeln för att återställa AD FS 2.0 IIS virtuella program till standardinställningarna för autentisering:
http://technet.microsoft.com/en-us/library/cc733010 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/cc733010(WS.10).aspx)
I följande tabell visas standardinställningarna för autentisering.
Dölj tabellenVisa tabellen
Virtuella programNivå(er) autentiseringKlienters användning
Standard webbplats/adfsAnonym autentiseringAD FS 2.0 aktiva begärare (rich client applications)
Standard webbplats/adfs/lsAnonym autentisering
Windows-autentisering		AD FS 2.0 passiva begärare (webbläsare)
Mer information om hur du löser det här problemet klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
907273
(http://support.microsoft.com/kb/907273/ )
Felsökning av HTTP 401-fel i IIS
871179
(http://support.microsoft.com/kb/871179/ )
Du får ett "HTTP-fel 401.1 - obehörig: åtkomst nekas p.g.a. ogiltiga autentiseringsuppgifter" felmeddelande när du försöker komma åt en webbplats som ingår i en programpool i IIS 6.0

Lösning 2: Korrigera AD FS 2.0 federationstjänsten servergruppen SPN

Obs!Prova denna lösning endast när AD FS 2.0 är implementerad som en federation service-servergruppen. Försök inte denna lösning i en AD FS 2.0 fristående konfiguration.

Att lösa problemet om SPN för AD FS 2.0 service går förlorad eller skadas på tjänstkontot för AD FS 2.0, så här på en server i servergruppen AD FS 2.0 federation:
  1. Öppna snapin-modulen Services management. Gör detta genom att klicka på Start, klicka på Alla program, klicka på Administrationsverktyg, och klicka sedan på Tjänster.
  2. Dubbelklicka på AD FS 2.0 Windows Service.
  3. På den Logga in fliken, Observera kontot som visas i Det här kontot.
  4. Klicka på Start, klicka på Alla program, klicka på Tillbehör, högerklicka på Kommandotolken, och klicka sedan på Kör som administratör.
  5. Typ SetSPN ?f ?q värd /<AD fs="" service="" name=""></AD>, och tryck på RETUR.

    Obs!I det här kommandot <AD fs="" service="" name=""></AD> representerar tjänstnamnet för fullständigt kvalificerade namnet (FQDN) för AD FS 2.0 tjänsteslutpunkten. Representerar inte Windows värdnamnet för AD FS 2.0-servern.
    • Om mer än en post returneras för kommandot, och resultatet är associerad med ett användarkonto än den som du antecknade i steg 3, tar du bort den associationen. Det gör du genom att köra följande kommando:
      SetSPN ?d värd /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Om mer än en post returneras för kommandot och SPN-namnet används namn samma som namnet på AD FS 2.0-server i Windows, federation slutpunktsnamn för AD FS 2.0 är felaktig. AD FS 2.0 måste genomföras igen. FQDN för den AD FS 2.0 federationsservergruppen får inte vara identiskt med Windows-värdnamnet för en befintlig server.
    • Om SPN-namnet inte redan finns, kör du följande kommando:
      SetSPN ?a värd /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Obs!I det här kommandot <username of="" service="" account=""></username> representerar namnet på användaren som du antecknade i steg 3.
  6. När dessa steg genomförs på alla servrar i servergruppen AD FS 2.0 federation, högerklicka på AD FS 2.0 Windows Service i snapin-modulen Hantering och klicka sedan på Starta om.

Lösning 3: Lösa utökat skydd för autentisering gäller

Så här löser du problemet om utökat skydd för autentisering upptäcker en möjlig människor i den mellersta attack, Använd någon av följande metoder:
  • Metod 1: Använd Windows Internet Explorer 8 (eller en senare version av programmet) för att komma åt Office 365 federerad identitet-tjänster.
  • Metod 2: Publicera AD FS 2.0-tjänster till Internet på ett sådant sätt att SSL-bryggning, SSL-avlastning eller administrerad paketfiltrering inte skriva om IP-nyttolasten. Best practice-rekommendation för detta ändamål är att använda en AD FS 2.0-proxyserver.
  • Metod 3: Stäng eller inaktivera övervakning eller dekryptera SSL-program.
Om du inte använda någon av följande metoder för att undvika problemet, kan utökat skydd för autentisering inaktiveras. Genom att utföra följande procedur för IIS följande virtuella program på alla servrar i servergruppen AD FS 2.0 federation.
Dölj tabellenVisa tabellen
Virtuella programKlienters användning
Standard webbplats/adfsAD FS 2.0 aktiva begärare (rich client applications)
Standard webbplats/adfs/lsAD FS 2.0 passiva begärare (webbläsare)
VarningVi rekommenderar inte att du använder den här proceduren som en långsiktig lösning. Inaktiverar utökat skydd för autentisering gör mindre restriktiv säkerhetsprofil för AD FS 2.0 service genom att inte upptäcka vissa man-in-the-middle-attacker på slutpunkter för integrerad Windows-autentisering.

Så här inaktiverar du utökat skydd för autentisering:
  1. Öppna avancerade inställningar för Windows-autentisering med hjälp av följande Microsoft TechNet-artikel:
    http://technet.microsoft.com/en-us/library/cc754628 (WS.10) .aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Ange Utökat skydd till Inaktivera, och klicka sedan på OK.
När lösningen används för tredjepartsprogram funktioner, bör du även avinstallera snabbkorrigeringar på klientens operativsystem för utökat skydd för autentisering. Mer information om snabbkorrigeringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
968389
(http://support.microsoft.com/kb/968389/ )
Utökat skydd för autentisering
Att aktivera utökat skydd för autentisering, gör följande för de virtuella IIS-program som ovan på alla servrar i AD FS 2.0 federationsservergruppen. Gör så här:
  1. Öppna avancerade inställningar för Windows-autentisering med hjälp av följande Microsoft TechNet-artikel:
    http://technet.microsoft.com/en-us/library/cc754628 (WS.10) .aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Ange Utökat skydd till Acceptera, och klicka sedan på OK.
  3. Installera om krävs snabbkorrigeringar på klientens operativsystem för utökat skydd för autentisering. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    968389
    (http://support.microsoft.com/kb/968389/ )
    Utökat skydd för autentisering

Lösning 4: Korrigera CNAME DNS-annons

Använda verktyg för hantering av DNS för att ersätta varje post i DNS-Alias (CNAME) med en post för DNS-adress (A). Dessutom kontrollerar eller beakta företagets DNS-inställningarna när en split-brain DNS-konfigurationen implementeras. Mer information om hur du hanterar DNS-poster finns på följande Microsoft TechNet-webbplats:
http://technet.microsoft.com/en-us/library/bb727018.aspx
(http://technet.microsoft.com/en-us/library/bb727018.aspx )

Lösning 5: Konfigurera Internet Explorer som en AD FS 2.0-klienten för enkel inloggning (SSO)

Mer information om hur du konfigurerar Internet Explorer för AD FS 2.0 åt, finns i följande artikel i Microsoft Knowledge Base:
2535227
(http://support.microsoft.com/kb/2535227/ )
En federerad användare uppmanas oväntat att ange sina autentiseringsuppgifter när de öppnar ett Office 365-resurs
Tillbaka till början | Ge feedback

MER INFORMATION

Om du vill skydda ett nätverk AD använder FS 2.0 utökat skydd för autentisering. Utökat skydd för autentisering kan förhindra att man-in-the-middle-attacker där en angripare fångar upp en klients autentiseringsuppgifter och vidarebefordrar dem till en server. Skydd mot sådana angrepp är möjligt med hjälp av kanal bindande Works (CBT). CBT kan krävs, tillåts eller krävs inte av servern när upprättas kommunikation med klienter.

Den ExtendedProtectionTokenCheck AD FS-inställningen anger vilken nivå av utökat skydd för autentisering som stöds av federationsservern. Dessa finns värden tillgängliga för den här inställningen:
  • Kräver: Servern är helt strikt. Utökat skydd aktiveras.
  • Tillåt: Det här är standardinställningen. Servern är delvis strikt. Utökat skydd aktiveras för berörda system som stöder den här funktionen ändras.
  • Ingen: Servern är sårbar. Utökat skydd är inte tvingande.

I följande tabeller beskrivs hur autentisering fungerar för tre operativsystem och webbläsare, beroende på vilka olika alternativ för utökat skydd som finns på AD FS 2.0 med IIS.

Obs! Windows-klientoperativsystem måste ha specifika uppdateringar som är installerade för att kunna utnyttja funktionerna för utökat skydd. Som standard aktiveras funktionerna i AD FS 2.0. Dessa uppdateringar kan hämtas från följande artikel i Microsoft Knowledge Base:
968389
(http://support.microsoft.com/kb/968389/ )
Utökat skydd för autentisering
Som standard innehåller Windows 7 lämpliga binärfiler för utökat skydd.

Windows 7 (eller korrekt uppdaterade versioner av Windows Vista eller Windows XP)

Dölj tabellenVisa tabellen
InställningenKräverTillåt (standard)Ingen
Windows-kommunikation
Foundation (WCF) klient (alla slutpunkter)		WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisslyckasMisslyckasWorks
Safari 4.0.4MisslyckasMisslyckasWorks

Windows Vista utan lämpliga uppdateringar

Dölj tabellenVisa tabellen
InställningenKräverTillåt (standard)Ingen
WCF-klient (alla slutpunkter)MisslyckasWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisslyckasWorks Works
Safari 4.0.4MisslyckasWorks Works

Windows XP utan lämpliga uppdateringar

Dölj tabellenVisa tabellen
InställningenKräverTillåt (standard)Ingen
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisslyckasWorks Works
Safari 4.0.4MisslyckasWorks Works
Mer information om utökat skydd för autentisering finns i följande Microsoft-resurser:
968389
(http://support.microsoft.com/kb/968389/ )
Utökat skydd för autentisering
Konfigurera avancerade alternativ för AD FS 2.0
(http://technet.microsoft.com/en-us/library/hh237448(WS.10).aspx)
Mer information om cmdlet Set-ADFSProperties finns på följande Microsoft-webbplats:
Ställ in ADFSProperties
(http://technet.microsoft.com/en-us/library/ee892317.aspx)

Video: Slingor autentiseringsuppgifter frågar när du loggar In på Office 365 med en identitet federerade konto

Dölj bildenVisa bilden
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
(http://aka.ms/wqsfve)
Dölj bildenVisa bilden

Video: Federerade användare har upprepade gånger ombeds uppge referenser och kan inte logga In till Office 365

Dölj bildenVisa bilden
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
(http://aka.ms/lifluf)
Dölj bildenVisa bilden
Tillbaka till början | Ge feedback

Behöver du hjälp? Gå till den Office 365-Community
(http://community.office365.com/)
.

Tredje parts produkter den här artikeln tillverkas av företag som är oberoende av Microsoft. Microsoft lämnar inga garantier, implicerade eller andra, om prestanda eller tillförlitlighet hos dessa produkter
Tillbaka till början | Ge feedback

Egenskaper

Artikel-id: 2461628 - Senaste granskning: den 11 mars 2013 - Revision: 9.0
Informationen i denna artikel gäller:
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • Microsoft Office 365 Enterprise preview
  • Windows Azure Active Directory
Nyckelord: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtsv
Maskinöversatt
VIKTIGT: Denna artikel är översatt av Microsofts automatiska översättningsprogram och inte av en mänsklig översättare. För att Du skall ha åtkomst till alla artiklar i Knowledge Base på Ditt föredragna språk så är en del artiklar översatta av människor och en del artiklar av översättningsprogram. Tänk på att en artikel som är översatt av ett översättningsprogram inte alltid är perfekt. Artikeln kan innehålla fel ord, grammatik eller meningsbyggnad, ungefär som en utländsk talare kan göra misstag när han eller hon pratar med Dig på Ditt språk. Microsoft ansvarar inte för eventuella felaktigheter i översättningen, fel eller skador som orsakats av någon felöversättning av innehållet eller våra kunders användande av det översatta innehållet. Microsoft uppdaterar kontinuerligt mjukvaran för översättningsprogrammet.
Den engelska versionen av artikeln är följande: 2461628
(http://support.microsoft.com/kb/2461628/en-us/ )
Tillbaka till början | Ge feedback

Ge feedback

 
Tillbaka till börjanTillbaka till början