En federerad användare upprepade gånger uppmanas att ange autentiseringsuppgifter under logga in på Office 365, Windows Azure eller Windows Intune

Artikelöversättning Artikelöversättning
Artikel-id: 2461628 - Visa produkter som artikeln gäller.
Viktigt! Den här artikeln innehåller information om hur du sänker säkerhetsnivån eller stänger av säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att lösa ett specifikt problem. Innan du gör ändringarna rekommenderar vi att du utvärderar vilka risker de medför i din miljö. Om du genomför den här lösningen bör du vidta lämpliga ytterligare åtgärder för att skydda datorn.
Visa alla | Dölj alla

På den här sidan

PROBLEMET

En federerad användare upprepade gånger uppmanas att ange autentiseringsuppgifter när användaren försöker autentisera Active Directory Federation Services (AD FS) tjänsteslutpunkten under logga in på en Microsoft-tjänst för molnet Office 365, Windows Azure eller Windows Intune. När användaren avbryter visas följande felmeddelande:
Åtkomst nekad

ORSAK

Symptomet indikerar ett problem med Windows-integrerad autentisering med AD FS. Det här problemet kan uppstå om en eller flera av följande villkor är uppfyllda:
  • Ett felaktigt användarnamn eller lösenord användes.
  • Autentiseringsinställningar för Internet Information Services (IIS) anges felaktigt i AD FS.
  • Tjänstens huvudnamn (SPN) som associeras med kontot som används för att köra AD FS federationsservergruppen går förlorad eller skadas.

    Obs! Detta inträffar endast när AD FS är implementerad som en federationsservergruppen och implementerats inte i en fristående konfiguration.
  • En eller flera av följande identifieras som en källa till en man-in-the-middle-attacker av utökat skydd för autentisering:
    • Vissa webbläsare från tredje part
    • Företagsnätverk brandvägg, belastningsutjämning för nätverk eller annan nätverksenhet publicera på Internet på ett sådant sätt att eventuellt IP-nyttolasten kan skrivas för AD FS-federationstjänsten. Detta inkluderar eventuellt följande typer av data:
      • SSL (Secure Sockets Layer) (SSL)-bryggning
      • SSL-avlastning
      • Administrerad paketfiltrering

        Mer information finns i följande artikel i Microsoft Knowledge Base:
        2510193Scenarier som stöds för att konfigurera enkel inloggning i Office 365, Windows Azure eller Windows Intune med AD FS
    • Övervakning eller SSL dekryptering programmet är installerat eller är aktivt på klientdatorn
  • Domain Name System (DNS) resolution av AD FS tjänsteslutpunkten utfördes via CNAME-postsökning i stället för via en sökning för en post.
  • Windows Internet Explorer konfigurerats inte för att skicka Windows-integrerad autentisering till AD FS-servern.

Innan du börjar felsöka

Kontrollera att användarnamnet och lösenordet inte är orsaken till problemet.
  • Kontrollera att korrekt användarnamn används och är i formatet för användarens huvudnamn (UPN). Till exempel johnsmith@contoso.com.
  • Kontrollera att rätt lösenord används. Du kan behöva återställa användarlösenord om du vill kontrollera att rätt lösenord används. Mer information finns på följande Microsoft TechNet-artikel:
    Återställa en användarlösenord
  • Kontrollera att kontot inte är utelåst, gått ut eller används utanför utsedda inloggningstider. Mer information finns på följande Microsoft TechNet-artikel:
    Hantera användare

Ta reda på orsaken

Kontrollera att Kerberos-problem som orsakar problemet genom att tillfälligt förbigå Kerberos-autentisering genom att aktivera formulärbaserad autentisering på AD FS federationsservergruppen. Gör så här:

Steg 1: Redigera filen web.config på varje server i servergruppen för AD FS-federation
  1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och sedan göra en säkerhetskopia av filen web.config.
  2. Klicka på Start, Alla program, Tillbehör, högerklicka på Anteckningaroch klicka sedan på Kör som administratör.
  3. På den filen -menyn, klicka på Öppna. I den filnamn skriver duC:\inetpub\adfs\ls\web.config, och klicka sedan på Öppna.
  4. Gör följande i filen web.config:
    1. Leta upp den rad som innehåller <authentication mode=""> </authentication>, och ändra den till <authentication mode="Forms"> </authentication>.
    2. Leta upp avsnittet som börjar med <localAuthenticationTypes> </localAuthenticationTypes>, och ändra sedan avsnittet så att den <add name="Forms"></add> post anges först, enligt följande:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. På den filen -menyn klickar du på Spara.
  6. Starta om IIS med hjälp av kommandot iisreset i en kommandotolk.
Steg 2: Testa AD FS-funktioner
  1. På en klientdator som är ansluten och autentiseras på en lokal AD DS-miljö, logga in på molnet service portal.

    I stället för en sömlös autentisering upplevelse bör en formulärbaserad inloggning att upplevas. Om inloggningen lyckas med formulärbaserad autentisering bekräftas det att det finns ett problem med Kerberos i AD FS-federationstjänsten.
  2. Återställa konfigurationen för varje server i AD FS federationsservergruppen till föregående autentiseringsinställningar innan du följer anvisningarna i avsnittet "Lösning". Gör så här om du vill återställa konfigurationen för alla servrar i federationsservergruppen AD FS:
    1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och ta bort filen web.config.
    2. Flytta säkerhetskopiorna av web.config-filen som du skapade i den "steg 1: redigera filen web.config på varje server i servergruppen för AD FS-federation" avsnitt till mappen C:\inetpub\adfs\ls\.
  3. Starta om IIS med hjälp av kommandot iisreset i en kommandotolk.
  4. Kontrollera att beteendet för AD FS-autentisering återställs till det ursprungliga problemet.

LÖSNING

Lös problemet Kerberos som begränsar AD FS-autentisering med en eller flera av följande metoder som lämpar sig för situationen.

Lösning 1: Återställ AD FS autentiseringsinställningarna till standardvärdena

Dölj bildenVisa bilden
assets folding start collapsed
Om autentiseringsinställningarna för IIS i AD FS är felaktiga eller IIS-autentiseringsinställningarna för AD FS-Federation Services och proxytjänster inte matchar, är en lösning att återställa alla inställningar i IIS-autentisering till standardinställningarna AD FS.

I följande tabell visas standardinställningarna för autentisering.
Dölj tabellenVisa tabellen
Virtuella programAutentisering nivå(er)
Standard webbplats/adfsAnonym autentisering
Standard webbplats/adfs/lsAnonym autentisering
Windows-autentisering
På varje AD FS-federationsservrar och federationsserverproxy varje AD FS, Använd informationen i följande Microsoft TechNet-artikeln för att återställa AD FS IIS virtuella program till standardinställningarna för autentisering:
Konfigurera autentisering i IIS 7
Mer information om hur du löser det här problemet finns i följande artiklar i Microsoft Knowledge Base:
907273 Felsökning av HTTP 401-fel i IIS

871179 Du får ett "HTTP-fel 401.1 - obehörig: åtkomst nekas p.g.a. ogiltiga autentiseringsuppgifter" felmeddelande när du försöker komma åt en webbplats som är en del av en programpool i IIS 6.0

Dölj bildenVisa bilden
assets folding end collapsed

Lösning 2: Korrigera federationsservergruppen SPN för AD FS

Dölj bildenVisa bilden
assets folding start collapsed
Obs!Prova denna lösning endast när AD FS är implementerad som en federationsservergruppen. Försök inte denna lösning i en fristående AD FS-konfiguration.

Om du vill lösa problemet om SPN-namnet för den AD FS-tjänsten går förlorad eller skadas på tjänstkontot för AD FS, gör följande på en server i servergruppen för AD FS-federation:
  1. Öppna snapin-modulen Services management. Genom att klicka på Start, klicka på Alla program, Administrationsverktygoch klicka sedan på tjänster.
  2. Dubbelklicka på tjänsten för AD FS (2,0).
  3. På den Logga in fliken, Observera kontot som visas i Det här kontot.
  4. Klicka på Start, Alla program, Tillbehör, högerklicka på Kommandotolkenoch klicka sedan på Kör som administratör.
  5. Typ SetSPN ?f ?q värd /<AD fs="" service="" name=""></AD>, och tryck sedan på RETUR.

    Obs!I det här kommandot <AD fs="" service="" name=""></AD> representerar tjänstnamnet för tjänsteslutpunkten AD FS fullständiga namnet (FQDN). Det representerar inte Windows värdnamnet för AD FS-servern.
    • Om mer än en post returneras för kommandot, och resultatet är associerad med ett konto än den som du antecknade i steg 3, bort associationen. Det gör du genom att köra följande kommando:
      SetSPN ?d värd /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Om mer än en post returneras för kommandot och SPN-namnet använder samma namn som namnet på den AD FS-servern i Windows, är federation slutpunktsnamn för AD FS felaktig. AD FS måste genomföras igen. AD FS federationsservergruppen FQDN-namnet får inte vara identiskt med Windows-värdnamnet för en befintlig server.
    • Om SPN-namnet inte redan finns, kör du följande kommando:
      SetSPN ?a värd /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Obs!I det här kommandot <username of="" service="" account=""></username> representerar namnet på användaren som du antecknade i steg 3.
  6. När dessa steg genomförs på alla servrar i federationsservergruppen AD FS högerklickar du på Tjänsten för AD FS (2.0) i snapin-modulen Services management och klicka sedan på Starta om.
Dölj bildenVisa bilden
assets folding end collapsed

Lösning 3: Lösa utökat skydd för autentisering betänkligheter

Dölj bildenVisa bilden
assets folding start collapsed
Att lösa problemet om utökat skydd för autentisering innebär att autentisering, använder du någon av följande metoder:
  • Metod 1: Använd Windows Internet Explorer 8 (eller en senare version av programmet) för att logga in.
  • Metod 2: publicera AD FS-tjänster på Internet på ett sådant sätt att SSL-bryggning, SSL-avlastning eller administrerad paketfiltrering inte skriva om IP-nyttolasten. Bästa praxis-rekommendation för detta ändamål är att använda en AD FS-Proxy Server.
  • Metod 3: Stäng eller inaktivera övervakning eller dekryptera SSL-program.
Om du inte kan använda någon av följande metoder för att undvika det här problemet, inaktiveras utökat skydd för autentisering för passiva och aktiva klienter.

Lösning: Inaktivera utökat skydd för autentisering

VarningVi rekommenderar inte att du använder den här proceduren som en långsiktig lösning. Inaktiverar utökat skydd för autentisering gör mindre restriktiv säkerhet tjänstprofilen AD FS genom att inte upptäcka vissa man-in-the-middle-attacker mot slutpunkter för integrerad Windows-autentisering.

Obs! När den här lösningen används för tredjepartsprogram funktioner, bör du även avinstallera snabbkorrigeringar på klientens operativsystem för utökat skydd för autentisering. Mer information om snabbkorrigeringar finns i följande artikel i Microsoft Knowledge Base:
968389 Utökat skydd för autentisering
För passiva klienter
Gör följande om du vill inaktivera utökat skydd för autentisering för passiva klienter för IIS följande virtuella program på alla servrar i federationsservergruppen AD FS:
  • Standard webbplats/adfs
  • Standard webbplats/adfs/ls
Gör så här:
  1. Öppna IIS-hanteraren och navigera till den nivå som du vill hantera. Information om hur du öppnar IIS-hanteraren finns i Öppna IIS-hanteraren (IIS 7).
  2. Dubbelklicka på autentiseringi funktioner.
  3. Markera Windows-autentiseringpå sidan autentisering.
  4. Klicka på Avancerade inställningari fönstret åtgärder .
  5. När dialogrutan Avancerade inställningar visas väljer du utfrån denutökat skydd listrutan.
För aktiva klienter
Gör följande om du vill inaktivera utökat skydd för autentisering för aktiva klienter på den primära servern för AD FS:
  1. Öppna Windows PowerShell.
  2. Kör följande kommando för att ladda Windows PowerShell för snapin-modulen AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kör följande kommando för att inaktivera utökat skydd för autentisering:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?None?

Aktivera utökat skydd för autentisering

För passiva klienter
Gör följande för att aktivera utökat skydd för autentisering för passiva klienter igen för IIS följande virtuella program på alla servrar i federationsservergruppen AD FS:
  • Standard webbplats/adfs
  • Standard webbplats/adfs/ls
Gör så här:
  1. Öppna IIS-hanteraren och navigera till den nivå som du vill hantera. Information om hur du öppnar IIS-hanteraren finns i Öppna IIS-hanteraren (IIS 7).
  2. Dubbelklicka på autentiseringi funktioner.
  3. Markera Windows-autentiseringpå sidan autentisering.
  4. Klicka på Avancerade inställningari fönstret åtgärder .
  5. När dialogrutan Avancerade inställningar väljer du Accepteramenyn Utökat skydd .
För aktiva klienter
Gör följande för att aktivera utökat skydd för autentisering för aktiva klienter igen på den primära servern för AD FS:
  1. Öppna Windows PowerShell.
  2. Kör följande kommando för att ladda Windows PowerShell för snapin-modulen AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kör följande kommando för att aktivera utökat skydd för autentisering:
    Set-ADFSProperties ?ExtendedProtectionTokenCheck ?Allow?
Dölj bildenVisa bilden
assets folding end collapsed

Lösning 4: Ersätta CNAME-poster med en poster för AD FS

Dölj bildenVisa bilden
assets folding start collapsed
Använda DNS-hanteringsverktyg för att ersätta varje post för DNS-Alias (CNAME) som har används för federationstjänsten med en DNS-adress (A). Dessutom kontrollerar eller beakta företagets DNS-inställningarna när en split-brain DNS-konfigurationen implementeras. Mer information om hur du hanterar DNS-poster finns på följande Microsoft TechNet-webbplats:
Hantera DNS-poster
Dölj bildenVisa bilden
assets folding end collapsed

Lösning 5: Konfigurera Internet Explorer som en AD FS-klient för enkel inloggning (SSO)

Dölj bildenVisa bilden
assets folding start collapsed
Mer information om hur du konfigurerar Internet Explorer för åtkomst av AD FS finns i följande artikel i Microsoft Knowledge Base:
2535227 En federerad användare uppmanas oväntat att ange sina autentiseringsuppgifter när de ansluter till en resurs för Office 365
Dölj bildenVisa bilden
assets folding end collapsed

MER INFORMATION

AD FS använder utökat skydd för autentisering för att skydda ett nätverk. Utökat skydd för autentisering kan förhindra att man-in-the-middle-attacker där en angripare fångar upp en klients autentiseringsuppgifter och vidarebefordrar dem till en server. Skydd mot sådana angrepp är möjligt med hjälp av kanal bindande Works (CBT). CBT kan krävs, tillåts eller krävs inte av servern när kommunikationen upprättas med klienter.

ExtendedProtectionTokenCheck AD FS-inställningen anger vilken nivå av utökat skydd för autentisering som stöds av federationsservern. Dessa finns värden tillgängliga för den här inställningen:
  • Kräver: servern är helt strikt. Utökat skydd aktiveras.
  • Tillåt: det här är standardinställningen. Servern är delvis strikt. Utökat skydd aktiveras för berörda system som stöder den här funktionen ändras.
  • Ingen: servern är sårbar. Utökat skydd är inte tvingande.
I följande tabeller beskrivs hur autentisering fungerar för tre operativsystem och webbläsare, beroende på de olika alternativen för utökat skydd som finns i AD FS med IIS.

Obs! Windows-klientoperativsystem måste ha specifika uppdateringar som är installerade för att kunna utnyttja funktionerna för utökat skydd. Som standard aktiveras funktionerna i AD FS. Dessa uppdateringar kan hämtas från följande artikel i Microsoft Knowledge Base:
968389 Utökat skydd för autentisering
Som standard innehåller Windows 7 lämpliga binärfilerna för utökat skydd.

Windows 7 (eller korrekt uppdaterade versioner av Windows Vista eller Windows XP)
Dölj tabellenVisa tabellen
InställningenKräverTillåt (standard)Ingen
Windows-kommunikation
Foundation (WCF)-klient (alla slutpunkter)
WorksWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisslyckasMisslyckasWorks
Safari 4.0.4MisslyckasMisslyckasWorks
Windows Vista utan lämpliga uppdateringar
Dölj tabellenVisa tabellen
InställningenKräverTillåt (standard)Ingen
WCF-klient (alla slutpunkter)MisslyckasWorksWorks
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisslyckasWorks Works
Safari 4.0.4MisslyckasWorks Works
Windows XP utan lämpliga uppdateringar
Dölj tabellenVisa tabellen
InställningenKräverTillåt (standard)Ingen
Internet Explorer 8WorksWorksWorks
Firefox 3.6MisslyckasWorks Works
Safari 4.0.4MisslyckasWorks Works
Mer information om utökat skydd för autentisering finns i följande Microsoft-resurser:
968389 Utökat skydd för autentisering
Konfigurera avancerade alternativ för AD FS 2.0
Mer information om cmdlet Set-ADFSProperties finns på följande Microsoft-webbplats:
Ställ in ADFSProperties

Video: Uppmanas slingor autentiseringsuppgifter när du loggar In på Office 365 med hjälp av en identitet federerade konto

Dölj bildenVisa bilden
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.MS/wqsfve
Dölj bildenVisa bilden
assets video2

Video: Federerade användare har upprepade gånger ombeds uppge referenser och kan inte logga In på Office 365

Dölj bildenVisa bilden
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.MS/lifluf
Dölj bildenVisa bilden
assets video2

Behöver du hjälp? Gå till Office 365-Community webbplatsen eller Windows Azure Active Directory-forum .

Produkter från andra tillverkare som diskuteras i den här artikeln tillverkas av företag som är oberoende av Microsoft. Microsoft lämnar inga garantier, implicerade eller andra, om prestanda eller tillförlitlighet hos dessa produkter

Egenskaper

Artikel-id: 2461628 - Senaste granskning: den 9 mars 2014 - Revision: 18.0
Informationen i denna artikel gäller:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Nyckelord: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtsv
Maskinöversatt
VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.
Den engelska versionen av artikeln är följande: 2461628

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com