ผู้ที่ติดต่อกับภายนอกคือซ้ำ ๆ กันได้รับการพร้อมท์สำหรับข้อมูลประจำตัวในระหว่างการเข้าสู่ระบบใน Office 365, Azure หรือ Intune ของ Windows

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 2461628 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
สิ่งสำคัญ บทความนี้ประกอบด้วยข้อมูลที่แสดงวิธีการตั้งค่าความปลอดภัยที่ต่ำกว่า หรือวิธีการปิดคุณลักษณะการรักษาความปลอดภัยบนเครื่องคอมพิวเตอร์ คุณสามารถทำการเปลี่ยนแปลงเหล่านี้เมื่อต้องการแก้ไขปัญหาที่เฉพาะเจาะจง ก่อนที่คุณจะทำการเปลี่ยนแปลงเหล่านี้ เราขอแนะนำให้คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการใช้วิธีแก้ปัญหานี้ในสภาพแวดล้อมที่เจาะจงของคุณ หากคุณใช้วิธีแก้ปัญหานี้ในเบื้องต้น ใช้ขั้นตอนเพิ่มเติมใด ๆ ที่เหมาะสมเพื่อช่วยปกป้องคอมพิวเตอร์
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

ปัญหา

ผู้ที่ติดต่อกับภายนอกคือซ้ำ ๆ พร้อมท์สำหรับข้อมูลประจำตัวเมื่อผู้ใช้พยายามรับรองความถูกต้องกับปลายทางการบริการบริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่ (AD FS) ในระหว่างการเข้าสู่ระบบในบริการ cloud Microsoft เช่น Office 365, Microsoft Azure หรือ Intune ของ Windows เมื่อผู้ใช้ยกเลิก ผู้ใช้ได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ปฏิเสธการเข้าถึง

สาเหตุ

อาการที่บ่งชี้ว่า ปัญหาเกี่ยวกับการพิสูจน์ตัวจริงของ Windows แบบรวมกับ FS โฆษณา ปัญหานี้อาจเกิดขึ้นได้หากหนึ่ง หรือมากกว่ามีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • ชื่อผู้ใช้ที่ไม่ถูกต้องหรือรหัสผ่านถูกใช้
  • การตั้งค่าการรับรองความถูกต้องของ Internet Information Services (IIS) ถูกตั้งค่าอย่างไม่ถูกต้องใน FS โฆษณา
  • ในชื่อบริการหลัก (SPN) ที่มีการเชื่อมโยงกับบัญชีผู้ใช้บริการที่ใช้ในการรันเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ สูญหาย หรือเสียหาย

    หมายเหตุ ซึ่งเกิดขึ้นเฉพาะเมื่อใช้เป็นเซิร์ฟเวอร์ฟาร์มสหพันธรัฐ FS โฆษณา และไม่ได้นำมาใช้ในการกำหนดค่าแบบสแตนด์อโลน
  • อย่างน้อยหนึ่งอย่างต่อไปนี้จะถูกระบุ โดยการป้องกันแบบขยายสำหรับการรับรองความถูกต้องเป็นแหล่งมาของการโจมตีผู้ชายในตัวตรงกลาง:
    • บางเบราว์เซอร์อินเทอร์เน็ตของบุคคลที่สาม
    • ไฟร์วอลล์เครือข่ายขององค์กร เครือข่ายโหลดบาลานเซอร์ หรืออุปกรณ์อื่น ๆ เชื่อมต่อเครือข่ายจะประกาศโฆษณา FS สหพันธรัฐบริการอินเทอร์เน็ตในลักษณะที่ข้อมูลในส่วนของข้อมูลของ IP อาจอาจถูกเขียนขึ้น ซึ่งอาจรวมถึงข้อมูลชนิดต่อไปนี้:
      • การรักษาความปลอดภัย Secure Sockets Layer (SSL) ระหว่างกาล
      • ถ่าย SSL
      • แพคเก็ต stateful การกรอง

        สำหรับข้อมูลเพิ่มเติม ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
        2510193สถานการณ์ได้รับการสนับสนุนสำหรับการใช้ AD FS การติดตั้งหนึ่งครั้งใน Office 365, Azure หรือ Intune ของ Windows
    • การตรวจสอบหรือแอพลิเคชันการถอดรหัสลับ SSL ติดตั้ง หรือทำงานอยู่บนคอมพิวเตอร์ไคลเอนต์
  • ความละเอียด Name System (DNS) ของโดเมนของปลายทางบริการโฆษณา FS ที่ดำเนินการผ่านทางการค้นหาระเบียน CNAME แทนที่ผ่านการค้นหาในเรกคอร์ด A
  • Windows Internet Explorer ไม่ได้กำหนดค่าเพื่อให้ผ่านการพิสูจน์ตัวจริงของ Windows แบบรวมไปยังเซิร์ฟเวอร์ FS โฆษณา

ก่อนที่คุณเริ่มแก้ไขปัญหา

ตรวจสอบว่า ชื่อผู้ใช้และรหัสผ่านนั้นไม่ใช่สาเหตุของปัญหาหรือไม่
  • ตรวจสอบให้แน่ใจว่า จะใช้ชื่อผู้ใช้ที่ถูกต้อง และอยู่ในรูปแบบชื่อหลัก (UPN) ของผู้ใช้ Johnsmith@contoso.com ตัวอย่าง
  • ตรวจสอบให้แน่ใจว่า มีใช้รหัสผ่านที่ถูกต้อง เพื่อตรวจสอบว่า มีใช้รหัสผ่านที่ถูกต้อง คุณอาจจะต้องตั้งรหัสผ่านของผู้ใช้ สำหรับข้อมูลเพิ่มเติม ดูบทความ Microsoft TechNet ดังต่อไปนี้:
    รีเซ็ตรหัสผ่านผู้ใช้
  • ตรวจสอบให้แน่ใจว่า บัญชีไม่ได้ล็อคการใช้งาน หมดอายุ หรือใช้นอกชั่วโมงการเข้าสู่ระบบที่กำหนดไว้ สำหรับข้อมูลเพิ่มเติม ดูบทความ Microsoft TechNet ดังต่อไปนี้:
    การจัดการผู้ใช้

ตรวจสอบสาเหตุ

เพื่อตรวจสอบว่า ปัญหาเกี่ยวกับ Kerberos เป็นสาเหตุของปัญหา ชั่วคราวเลี่ยงผ่านการรับรองความถูกต้อง Kerberos การเปิดใช้งานการรับรองความถูกต้องโดยใช้ฟอร์มบนเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้

ขั้นตอนที่ 1: แก้ไขแฟ้ม web.config บนแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ
  1. ใน Windows Explorer ค้นหาโฟลเดอร์ C:\inetpub\adfs\ls\ และจากนั้น ทำสำเนาสำรองของแฟ้ม web.config
  2. คลิกเริ่มคลิกโปรแกรมทั้งหมดคลิกเบ็ดเตล็ดคลิกขวาNotepadแล้ว คลิ กเรียกใช้ในฐานะผู้ดูแล
  3. ในการแฟ้ม เมนู คลิกเปิด ในการชื่อแฟ้ม กล่อง พิมพ์C:\inetpub\adfs\ls\web.configแล้ว คลิกเปิด
  4. ในแฟ้ม web.config ให้ทำตามขั้นตอนเหล่านี้:
    1. ค้นหาบรรทัดที่ประกอบด้วย<authentication mode=""></authentication>และจากนั้น เปลี่ยนเป็น<authentication mode="Forms"></authentication>
    2. ค้นหาส่วนที่ขึ้นต้นด้วย<localAuthenticationTypes></localAuthenticationTypes>แล้ว เปลี่ยนส่วนเพื่อให้การ<add name="Forms"></add>อยู่ในรายการก่อน เป็นดังนี้:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. ในการแฟ้ม เมนู คลิกบันทึก
  6. ที่พร้อมท์คำสั่ง เริ่ม IIS ใหม่ โดยใช้คำสั่งiisreset
ขั้นที่ 2: FS ทดสอบโฆษณารับสมัครงาน
  1. บนคอมพิวเตอร์ไคลเอ็นต์ที่มีการเชื่อมต่อ และการรับรองความถูกต้องกับสถานที่ใน สภาพแวดล้อมการโฆษณา DS ลงชื่อเข้าใช้เว็บไซต์บริการเมฆ

    แทนที่เป็นประสบการณ์ใช้งานการรับรองความถูกต้องอย่างราบ ยึดตามแบบฟอร์มในการเข้าระบบควรถูกพบ ถ้าคุณเข้าสู่ระบบได้สำเร็จ โดยใช้โดยใช้แบบฟอร์มการรับรองความถูกต้อง ยืนยันว่า มีปัญหากับ Kerberos ในบริการโฆษณา FS สหพันธรัฐ
  2. ย้อนกลับสู่การตั้งค่าคอนฟิกของแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์มสหพันธรัฐ FS โฆษณาเมื่อต้องการตั้งค่าการรับรองความถูกต้องก่อนหน้านี้ก่อนที่คุณทำตามขั้นตอนในส่วน "การแก้ไข" เมื่อต้องการย้อนกลับสู่การตั้งค่าคอนฟิกของแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ ให้ทำตามขั้นตอนเหล่านี้:
    1. ใน Windows Explorer ค้นหาโฟลเดอร์ C:\inetpub\adfs\ls\ และลบแฟ้ม web.config
    2. ย้ายสำเนาสำรองของแฟ้ม web.config ที่คุณสร้างไว้ในแบบ "ขั้นตอนที่ 1: แก้ไขแฟ้ม web.config บนแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ" ส่วนไปยังโฟลเดอร์ C:\inetpub\adfs\ls\
  3. ที่พร้อมท์คำสั่ง เริ่ม IIS ใหม่ โดยใช้คำสั่งiisreset
  4. ตรวจสอบว่า ลักษณะการทำงานการรับรองความถูกต้อง FS โฆษณาเปลี่ยนเป็นการตัดสินค้าจากคลังเดิม

โซลูชัน

เมื่อต้องการแก้ไขปัญหา Kerberos ที่จำกัดการรับรองความถูกต้องของ FS โฆษณา ใช้หนึ่งในวิธีต่อไปนี้ ตามความเหมาะสมกับสถานการณ์ที่

ความละเอียดที่ 1: ตั้งค่าการรับรองความถูกต้อง FS โฆษณาใหม่ไปยังค่าเริ่มต้น

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
ถ้าการตั้งค่าการรับรองความถูกต้อง IIS FS โฆษณาไม่ถูกต้อง หรือไม่ตรงกับการตั้งค่าการรับรองความถูกต้อง IIS สำหรับบริการสหพันธรัฐ FS โฆษณาและพร็อกซีบริการ วิธีการแก้ไขปัญหาคือเมื่อต้องการ กำหนดการตั้งค่าการรับรองความถูกต้อง IIS ทั้งหมดตามค่าเริ่มต้น FS โฆษณา

การตั้งค่าการรับรองความถูกต้องค่าเริ่มต้นจะแสดงรายการในตารางต่อไปนี้
ยุบตารางนี้ขยายตารางนี้
แอพลิเคชันเสมือนไปยังระดับการรับรองความถูกต้อง
ค่าเริ่มต้นเว็บ ไซต์/adfsการรับรองความถูกต้องแบบไม่ระบุชื่อ
ค่าเริ่มต้นเว็บ ไซต์/adfs/lsการรับรองความถูกต้องแบบไม่ระบุชื่อ
การพิสูจน์ตัวจริงของ Windows
บนแต่ละเซิร์ฟเวอร์สหพันธรัฐ FS โฆษณา และ บนพร็อกซีเซิร์ฟเวอร์ของแต่ละสหพันธรัฐ FS โฆษณา ใช้ข้อมูลในบทความ Microsoft TechNet ดังต่อไปนี้เพื่อรีเซ็ตการตั้งค่าการรับรองความถูกต้องเริ่มต้นโปรแกรมประยุกต์เสมือน IIS FS โฆษณา:
กำหนดค่าการรับรองความถูกต้องใน IIS 7
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการแก้ไขข้อผิดพลาดนี้ ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
907273 การแก้ไขปัญหาข้อผิดพลาด HTTP 401 ใน IIS

871179 คุณได้รับข้อความแสดงข้อผิดพลาด "HTTP Error 401.1 - Unauthorized: Access is denied due to invalid credentials" เมื่อคุณพยายามเข้าถึงเว็บไซต์ที่เป็นส่วนหนึ่งของพูลโปรแกรมประยุกต์ IIS 6.0

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

ความละเอียดที่ 2: แก้ไขโฆษณา FS สหพันธรัฐเซิร์ฟเวอร์ฟาร์ม SPN

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
หมายเหตุลองแก้ไขปัญหานี้เฉพาะเมื่อใช้เป็นเซิร์ฟเวอร์ฟาร์มสหพันธรัฐ FS โฆษณา ลองแก้ปัญหานี้ในการกำหนดค่าแบบสแตนด์อโลน FS โฆษณา

เมื่อต้องการแก้ไขปัญหาถ้า SPN หมายสำหรับบริการโฆษณา FS สูญหาย หรือเสียหายบนบัญชีผู้ใช้บริการโฆษณา FS ให้ทำตามขั้นตอนเหล่านี้บนเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐแต่ละ:
  1. เปิดบริการจัดการสแนปอิน เมื่อต้องการทำเช่นนี้ คลิกเริ่มคลิกโปรแกรมทั้งหมดคลิกเครื่องมือในการดูแลและจากนั้น คลิกการบริการ
  2. คลิกสองครั้งที่บริการ Windows (2.0) FS โฆษณา
  3. ในการเข้าสู่ระบบ แท็บ หมายเหตุบัญชีผู้ใช้บริการที่แสดงในบัญชีนี้
  4. คลิกเริ่มคลิกโปรแกรมทั้งหมดคลิกเบ็ดเตล็ดคลิกขวาที่หน้าจอพร้อมรับคำสั่งแล้ว คลิ กเรียกใช้ในฐานะผู้ดูแล
  5. ชนิด โฮสต์ – q – f SetSPN /<AD fs="" service="" name=""></AD>แล้ว กด Enter

    หมายเหตุในคำสั่งนี้ <AD fs="" service="" name=""></AD> แสดงชื่อโดเมน(แบบเต็ม FQDN) ของชื่อบริการของปลายทางบริการโฆษณา FS จะไม่แสดงชื่อโฮสต์ของ Windows ของเซิร์ฟเวอร์ FS โฆษณา
    • ถ้ามากกว่าหนึ่งรายการจะถูกส่งกลับสำหรับคำสั่ง และผลลัพธ์ได้จะเชื่อมโยงกับบัญชีผู้ใช้อื่นที่ไม่ใช่ที่ถูกบันทึกไว้ในขั้นตอนที่ 3 ลบการเชื่อมโยงนั้น เมื่อต้องการทำเช่นนี้ เรียกใช้คำสั่งต่อไปนี้:
      โฮสต์ – d SetSPN /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • ถ้ามากกว่าหนึ่งรายการจะถูกส่งกลับสำหรับคำสั่ง SPN ใช้ชื่อเดียวกับชื่อคอมพิวเตอร์ของเซิร์ฟเวอร์ FS โฆษณาใน Windows ชื่อสำหรับการโฆษณา FS ปลายทางสหพันธรัฐไม่ถูกต้อง FS โฆษณาที่มีการนำมาใช้ได้อีกครั้ง FQDN ของเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐต้องไม่เหมือนกับชื่อโฮสต์ Windows ของเซิร์ฟเวอร์ที่มีอยู่
    • ถ้า SPN ไม่มีอยู่ เรียกใช้คำสั่งต่อไปนี้:
      SetSPN – โฮสต์ /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      หมายเหตุในคำสั่งนี้ <username of="" service="" account=""></username> แสดงชื่อผู้ใช้ที่ถูกบันทึกไว้ในขั้นตอนที่ 3
  6. หลังจากดำเนินการตามขั้นตอนเหล่านี้บนเซิร์ฟเวอร์ทั้งหมดในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ คลิกขวาAD FS (2.0) Windows Serviceในการบริการสแน็ปอินการจัดการ และจากนั้น คลิกเริ่มใหม่
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

ความละเอียดที่ 3: เกี่ยวข้องกับการแก้ไขแบบขยายป้องกันสำหรับการรับรองความถูกต้อง

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
เมื่อต้องการแก้ไขปัญหาหากมีขยายการป้องกันสำหรับการรับรองความถูกต้องที่ทำให้ไม่สามารถรับรองความถูกต้องเสร็จเรียบร้อยแล้ว ใช้อย่างใดอย่างหนึ่งต่อไปนี้วิธีการที่แนะนำ:
  • วิธีที่ 1: ใช้ Windows Internet Explorer 8 (หรือรุ่นที่ใหม่กว่าของโปรแกรม) เพื่อเข้าสู่ระบบ
  • วิธีที่ 2: การเผยแพร่โฆษณา FS บริการอินเทอร์เน็ตในลักษณะที่เชื่อมโยง SSL, SSL ถ่าย หรือกรองแพคเก็ต stateful ไม่ทวน IP ส่วนของข้อมูลของข้อมูล คำแนะนำเกี่ยวกับการปฏิบัติที่ดีที่สุดสำหรับวัตถุประสงค์นี้คือการ ใช้การโฆษณา FS พร็อกซีเซิร์ฟเวอร์
  • วิธีที่ 3: ปิด หรือปิดใช้งานการตรวจสอบ หรือถอดรหัส SSL แอพลิเคชัน
ถ้าคุณไม่สามารถใช้วิธีใด ก็เพื่อหลีกเลี่ยงปัญหานี้ ขยายการป้องกันสำหรับการรับรองความถูกต้องสามารถถูกปิดใช้งานสำหรับไคลเอนต์ที่ใช้งานอยู่ และแฝง

วิธีแก้ปัญหา: ปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง

คำเตือนเราไม่แนะนำให้ คุณใช้ขั้นตอนนี้เป็นการแก้ไขปัญหาระยะยาว การปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง weakens โปรไฟล์ความปลอดภัย FS โฆษณาบริการ โดยไม่ตรวจหาการโจมตีบางคนในตัวตรงกลางบนปลายทางของการพิสูจน์ตัวจริงของ Windows แบบรวม

หมายเหตุ เมื่อมีใช้วิธีนี้สำหรับฟังก์ชันการทำงานของโปรแกรมประยุกต์ของบริษัทอื่น คุณควรยังถอนการติดตั้งโปรแกรมแก้ไขด่วนบนระบบปฏิบัติการไคลเอ็นต์สำหรับการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมแก้ไขด่วนนี้ ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
968389 การป้องกันแบบขยายสำหรับการรับรองความถูกต้อง
สำหรับไคลเอนต์แฝง
เมื่อต้องการปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ passive ดำเนินการขั้นตอนต่อไปนี้สำหรับประยุกต์เสมือน IIS ดังต่อไปนี้บนเซิร์ฟเวอร์ทั้งหมดในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ:
  • ค่าเริ่มต้นเว็บ ไซต์/adfs
  • ค่าเริ่มต้นเว็บ ไซต์/adfs/ls
ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้
  1. เปิดตัวจัดการ IIS และไปยังระดับที่คุณต้องการจัดการ สำหรับข้อมูลเกี่ยวกับการเปิดตัวจัดการ IIS ดู เปิดตัวจัดการ IIS (IIS 7).
  2. ในมุมมองของลักษณะการทำงาน คลิกสองครั้งที่รับรองความถูกต้อง
  3. บนหน้าการรับรองความถูกต้อง เลือกการพิสูจน์ตัวจริงของ Windows
  4. ในบานหน้าต่างการดำเนินการคลิกการตั้งค่าขั้นสูง
  5. เมื่อกล่องโต้ตอบการตั้งค่าขั้นสูงปรากฏขึ้น เลือกปิดจากการป้องกันเพิ่มเติม เมนูแบบหล่นลง
สำหรับไคลเอนต์ที่ใช้งานอยู่
เมื่อต้องการปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ที่ใช้งานอยู่ ดำเนินการขั้นตอนต่อไปนี้บนเซิร์ฟเวอร์ FS โฆษณาหลัก:
  1. เปิด Windows PowerShell
  2. เรียกใช้คำสั่งต่อไปนี้จะโหลด Windows PowerShell สำหรับสแนปอิน AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. เรียกใช้คำสั่งต่อไปนี้เพื่อปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

การเปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง

สำหรับไคลเอนต์แฝง
เมื่อต้องการเปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ passive ดำเนินการขั้นตอนต่อไปนี้สำหรับประยุกต์เสมือน IIS ดังต่อไปนี้บนเซิร์ฟเวอร์ทั้งหมดในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ:
  • ค่าเริ่มต้นเว็บ ไซต์/adfs
  • ค่าเริ่มต้นเว็บ ไซต์/adfs/ls
ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้
  1. เปิดตัวจัดการ IIS และไปยังระดับที่คุณต้องการจัดการ สำหรับข้อมูลเกี่ยวกับการเปิดตัวจัดการ IIS ดู เปิดตัวจัดการ IIS (IIS 7).
  2. ในมุมมองของลักษณะการทำงาน คลิกสองครั้งที่รับรองความถูกต้อง
  3. บนหน้าการรับรองความถูกต้อง เลือกการพิสูจน์ตัวจริงของ Windows
  4. ในบานหน้าต่างการดำเนินการคลิกการตั้งค่าขั้นสูง
  5. เมื่อกล่องโต้ตอบการตั้งค่าขั้นสูงปรากฏขึ้น เลือกยอมรับจากเมนูแบบหล่นลงการป้องกันเพิ่มเติม
สำหรับไคลเอนต์ที่ใช้งานอยู่
เมื่อต้องการเปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ที่ใช้งานอยู่ ดำเนินการขั้นตอนต่อไปนี้บนเซิร์ฟเวอร์ FS โฆษณาหลัก:
  1. เปิด Windows PowerShell
  2. เรียกใช้คำสั่งต่อไปนี้จะโหลด Windows PowerShell สำหรับสแนปอิน AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. เรียกใช้คำสั่งต่อไปนี้เพื่อเปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

ความละเอียดที่ 4: การแทนระเบียน CNAME กับระเบียน A สำหรับ FS โฆษณา

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
ใช้เครื่องมือการจัดการ DNS เมื่อต้องการแทนระเบียนแต่ละระเบียน DNS นามแฝง (CNAME) ที่ใช้สำหรับบริการสหพันธรัฐ ด้วยที่อยู่ DNS ระเบียน (A) นอกจากนี้ยัง ตรวจสอบ หรือพิจารณาการตั้งค่า DNS ของบริษัทเมื่อดำเนินการตั้งค่าคอนฟิก DNS split-brain สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดการระเบียน DNS ไปเว็บไซต์ของ Microsoft TechNet ดังต่อไปนี้:
การจัดการระเบียน DNS
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

ความละเอียดที่ 5: ตั้งค่า Internet Explorer เป็นไคลเอนต์ FS โฆษณาสำหรับสู่ระบบแบบครั้งเดียว (SSO)

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding start collapsed
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตั้งค่า Internet Explorer สำหรับการเข้าถึง AD FS ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
2535227 พร้อมต์ผู้ใช้ที่ติดต่อกับภายนอกเพื่อใส่ข้อมูลประจำตัวของพวกเขาเมื่อพวกเขาเข้าถึงทรัพยากร Office 365 ตัวอย่างไม่คาดคิด
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets folding end collapsed

ข้อมูลเพิ่มเติม

เพื่อช่วยป้องกันเครือข่าย FS โฆษณาใช้การป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง ป้องกันแบบขยายสำหรับการรับรองความถูกต้องสามารถช่วยป้องกันการโจมตีผู้ชายในตัวตรงกลางที่ผู้จู่โจมคเกอร์ดักข้อมูลประจำตัวของไคลเอนต์ และส่งต่อไปยังเซิร์ฟเวอร์ให้ ป้องกันการโจมตีดังกล่าวจะทำได้ โดยใช้การทำงานการผูกข้อมูลช่องสัญญาณ (CBT) CBT สามารถจำเป็น อนุญาต หรือไม่ต้องการเซิร์ฟเวอร์ที่ใช้เมื่อสร้างการติดต่อสื่อสารกับลูกค้า

การตั้งค่าExtendedProtectionTokenCheckโฆษณา FS ระบุระดับการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องที่สนับสนุน โดยเซิร์ฟเวอร์สหพันธรัฐ เหล่านี้คือค่าพร้อมใช้งานสำหรับการตั้งค่านี้:
  • จำเป็นต้องใช้: เซิร์ฟเวอร์ไม่เสริมทั้งหมด บังคับใช้การป้องกันเพิ่มเติม
  • อนุญาต: นี่คือการตั้งค่าเริ่มต้น เซิร์ฟเวอร์ไม่เสริมบางส่วน บังคับใช้การป้องกันเพิ่มเติมสำหรับระบบที่เกี่ยวข้องที่มีการเปลี่ยนแปลงเพื่อสนับสนุนคุณลักษณะนี้
  • ไม่มี: เซิร์ฟเวอร์มีความเสี่ยง ไม่ได้บังคับใช้การป้องกันเพิ่มเติม
ตารางต่อไปนี้อธิบายวิธีการทำงานของการรับรองความถูกต้องสำหรับระบบปฏิบัติการสามและเบราว์เซอร์ ขึ้นอยู่กับตัวเลือกการป้องกันแบบขยายต่าง ๆ ที่พร้อมใช้งานบน FS โฆษณากับ IIS

หมายเหตุ ระบบปฏิบัติการ Windows ไคลเอนต์ต้องมีการปรับปรุงเฉพาะที่ติดตั้งเมื่อต้องการใช้คุณลักษณะการป้องกันแบบขยายได้อย่างมีประสิทธิภาพ โดยค่าเริ่มต้น คุณลักษณะจะเปิดใช้งานใน FS โฆษณา โปรแกรมปรับปรุงเหล่านี้ได้จากบทความฐานความรู้ของ Microsoft ต่อไปนี้:
968389 การป้องกันแบบขยายสำหรับการรับรองความถูกต้อง
โดยค่าเริ่มต้น Windows 7 มีไบนารีที่เหมาะสมที่จะใช้การป้องกันเพิ่มเติม

Windows 7 (หรือรุ่นที่ปรับปรุงอย่างเหมาะสม ของ Windows Vista หรือ Windows XP)
ยุบตารางนี้ขยายตารางนี้
การตั้งค่าจำเป็นต้องมีอนุญาต (ค่าเริ่มต้น)ไม่มี
การสื่อสารของ Windows
ไคลเอ็นต์พื้นฐาน (WCF) (ปลายทางทั้งหมด)
การทำงานการทำงานการทำงาน
Internet Explorer 8การทำงานการทำงานการทำงาน
Firefox 3.6ล้มเหลวล้มเหลวการทำงาน
Safari 4.0.4ล้มเหลวล้มเหลวการทำงาน
Windows Vista โดยไม่มีการปรับปรุงที่เหมาะสม
ยุบตารางนี้ขยายตารางนี้
การตั้งค่าจำเป็นต้องมีอนุญาต (ค่าเริ่มต้น)ไม่มี
ไคลเอ็นต์ WCF (ปลายทางทั้งหมด)ล้มเหลวการทำงานการทำงาน
Internet Explorer 8การทำงานการทำงานการทำงาน
Firefox 3.6ล้มเหลวการทำงาน การทำงาน
Safari 4.0.4ล้มเหลวการทำงาน การทำงาน
Windows XP โดยไม่มีการปรับปรุงที่เหมาะสม
ยุบตารางนี้ขยายตารางนี้
การตั้งค่าจำเป็นต้องมีอนุญาต (ค่าเริ่มต้น)ไม่มี
Internet Explorer 8การทำงานการทำงานการทำงาน
Firefox 3.6ล้มเหลวการทำงาน การทำงาน
Safari 4.0.4ล้มเหลวการทำงาน การทำงาน
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง ดูทรัพยากรดังต่อไปนี้ของ Microsoft:
968389 การป้องกันแบบขยายสำหรับการรับรองความถูกต้อง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ cmdletชุด ADFSPropertiesไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:
ชุด ADFSProperties

วิดีโอ: ข้อมูลประจำตัวการวนรอบพร้อมท์เมื่อลงชื่อเข้าใช้กับ Office 365 โดยใช้รหัสประจำตัวบัญชีผู้ที่ติดต่อกับภายนอก

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets video1
uuid =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.ms/wqsfve
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets video2

วิดีโอ: ผู้ใช้ที่ติดต่อกับภายนอกคือ ซ้ำ ๆ พร้อมท์สำหรับข้อมูลประจำตัวและไม่สามารถลงชื่อเข้าใช้ใน Office 365

ยุบรูปภาพนี้ขยายรูปภาพนี้
assets video1
uuid =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.ms/lifluf
ยุบรูปภาพนี้ขยายรูปภาพนี้
assets video2

ยังคงต้องการความช่วยเหลือหรือไม่ ไป ชุมชนของ office 365 เว็บไซต์หรือ ฟอรั่ม azure ไดเรกทอรีที่ใช้งานอยู่ เว็บไซต์

ผลิตภัณฑ์ของบริษัทอื่นที่กล่าวถึงในบทความนี้ เป็นผลิตภัณฑ์ที่ผลิตโดยบริษัทอื่นๆ ที่ไม่เกี่ยวข้องกับ Microsoft Microsoft ไม่มีการรับประกัน ทั้งโดยนัย หรืออย่างอื่น ใด เกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

คุณสมบัติ

หมายเลขบทความ (Article ID): 2461628 - รีวิวครั้งสุดท้าย: 21 มิถุนายน 2557 - Revision: 23.0
ใช้กับ
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Keywords: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2461628

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com