Federasyon kullanıcıdan Microsoft 365, Azure veya Intune oturum açma sırasında sürekli olarak kimlik bilgileri istenir
Önemli
Bu makale, güvenlik ayarlarını düşürmeye veya bilgisayardaki güvenlik özelliklerini kapatmaya yardımcı olduğunu gösteren bilgiler içerir. Belirli bir soruna geçici bir çözüm bulmak için bu değişiklikleri yapabilirsiniz. Bu değişiklikleri yapmadan önce, bu geçici çözümü kendi ortamınızda uygulamayla ilişkili riskleri değerlendirmenizi öneririz. Bu geçici çözümü uygularsanız, bilgisayarın korunmasına yardımcı olmak için uygun ek adımları uygulayın.
Sorun
Microsoft 365, Microsoft Azure veya Microsoft Intune gibi bir Microsoft bulut hizmetinde oturum açma sırasında kullanıcı Active Directory Federasyon Hizmetleri (AD FS) (AD FS) hizmet uç noktasında kimlik doğrulaması yapmaya çalıştığında, federasyon kullanıcıdan sürekli olarak kimlik bilgileri istenir. Kullanıcı iptal ettiğinde, kullanıcı Erişim Reddedildi hata iletisini alır.
Neden
Belirti, AD FS ile Windows Tümleşik kimlik doğrulamasıyla ilgili bir sorunu gösterir. Aşağıdaki koşullardan biri veya daha fazlası doğruysa bu sorun oluşabilir:
Yanlış bir kullanıcı adı veya parola kullanıldı.
Internet Information Services (IIS) kimlik doğrulama ayarları AD FS'de yanlış ayarlanmıştır.
AD FS federasyon sunucusu grubu çalıştırmak için kullanılan hizmet hesabıyla ilişkili hizmet asıl adı (SPN) kaybolur veya bozulur.
Not
Bu durum yalnızca AD FS bir federasyon sunucusu grubu olarak uygulandığında ve tek başına yapılandırmada uygulanmadığında oluşur.
Aşağıdakilerden biri veya daha fazlası, Kimlik Doğrulaması için Genişletilmiş Koruma tarafından ortadaki adam saldırısının kaynağı olarak tanımlanır:
- Bazı üçüncü taraf İnternet tarayıcıları
- Kurumsal ağ güvenlik duvarı, ağ yük dengeleyici veya başka bir ağ cihazı, AD FS Federasyon Hizmeti'ni IP yükü verilerinin yeniden yazılabilmesi için İnternet'te yayımlıyor. Bu muhtemelen aşağıdaki veri türlerini içerir:
Güvenli Yuva Katmanı (SSL) köprü oluşturma
SSL boşaltma
Durum bilgisi olan paket filtreleme
Ek bilgi için, aşağıdaki Microsoft Bilgi Bankası makalesine bakın:
2510193 Microsoft 365, Azure veya Intune'da çoklu oturum açmayı ayarlamak için AD FS kullanımına yönelik desteklenen senaryolar
- İstemci bilgisayarda bir izleme veya SSL şifre çözme uygulaması yüklü veya etkin
AD FS hizmet uç noktasının Etki Alanı Adı Sistemi (DNS) çözümlemesi, A kaydı araması yerine CNAME kayıt araması aracılığıyla gerçekleştirildi.
Windows Internet Explorer, Windows Tümleşik kimlik doğrulamasını AD FS sunucusuna geçirecek şekilde yapılandırılmamış.
Sorun gidermeye başlamadan önce
Sorunun nedeninin kullanıcı adı ve parola olup olmadığını denetleyin.
Doğru kullanıcı adının kullanıldığından ve kullanıcı asıl adı (UPN) biçiminde olduğundan emin olun. Örneğin, johnsmith@contoso.com.
Doğru parolanın kullanıldığından emin olun. Doğru parolanın kullanıldığını bir kez daha denetlemek için kullanıcı parolasını sıfırlamanız gerekebilir. Daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın:
Hesabın kilitlenmediğinden, süresi dolmadığından veya belirlenen oturum açma saatleri dışında kullanılmadığından emin olun. Daha fazla bilgi için aşağıdaki Microsoft TechNet makalesine bakın: Kullanıcıları Yönetme
Nedenini doğrulama
Soruna Kerberos sorunlarının neden olup olmadığını denetlemek için AD FS federasyon sunucusu grubunda form tabanlı kimlik doğrulamasını etkinleştirerek Kerberos kimlik doğrulamasını geçici olarak atlayabilirsiniz. Bunu yapmak için şu adımları uygulayın:
1. Adım: AD FS federasyon sunucusu grubundaki her sunucuda web.config dosyasını düzenleme
Windows Gezgini'nde C:\inetpub\adfs\ls\ klasörünü bulun ve web.config dosyasının yedek kopyasını oluşturun.
Başlat'a tıklayın, Tüm Programlar'a tıklayın, Donatılar'a tıklayın, Not Defteri'ne sağ tıklayın ve ardından Yönetici olarak çalıştır'a tıklayın.
Dosya menüsünde, Aç'a tıklayın. Dosya Adı kutusuna C:\inetpub\adfs\ls\web.config yazın ve Aç'a tıklayın.
web.config dosyasında şu adımları izleyin:
Kimlik doğrulama modunu> içeren< satırı bulun ve ardından authentication mode="Forms"/> olarak değiştirin<.
localAuthenticationTypes> ile < başlayan bölümü bulun ve ardından add name="Forms"> girişinin < ilk olarak aşağıdaki gibi listelenmesi için bölümünü değiştirin:
<localAuthenticationTypes> <add name="Forms" page="FormsSignIn.aspx" /> <add name="Integrated" page="auth/integrated/" /> <add name="TlsClient" page="auth/sslclient/" /> <add name="Basic" page="auth/basic/" />
Dosya menüsünde Kaydet'e tıklayın.
Yükseltilmiş bir komut isteminde iisresetcommand komutunu kullanarak IIS'yi yeniden başlatın.
2. Adım: AD FS işlevselliğini test edin
Şirket içi AD DS ortamına bağlı ve kimliği doğrulanmış bir istemci bilgisayarda bulut hizmeti portalında oturum açın.
Sorunsuz bir kimlik doğrulama deneyimi yerine form tabanlı oturum açma deneyimi yaşanmalıdır. Form tabanlı kimlik doğrulaması kullanılarak oturum açma başarılı olursa, bu, AD FS Federasyon Hizmeti'nde Kerberos ile ilgili bir sorunun olduğunu onaylar.
"Çözüm" bölümündeki adımları izlemeden önce AD FS federasyon sunucusu grubundaki her sunucunun yapılandırmasını önceki kimlik doğrulama ayarlarına geri döndürebilirsiniz. AD FS federasyon sunucusu grubundaki her sunucunun yapılandırmasını geri almak için şu adımları izleyin:
- Windows Gezgini'nde C:\inetpub\adfs\ls\ klasörünü bulun ve web.config dosyasını silin.
- "1. Adım: AD FS federasyon sunucusu grubundaki her sunucuda web.config dosyasını düzenleme" bölümünde oluşturduğunuz web.config dosyasının yedeğini C:\inetpub\adfs\ls\ klasörüne taşıyın.
Yükseltilmiş bir komut isteminde iisresetcommand komutunu kullanarak IIS'yi yeniden başlatın.
AD FS kimlik doğrulama davranışının özgün soruna geri döndüğünü denetleyin.
Çözüm
AD FS kimlik doğrulamasını sınırlayan Kerberos sorununu çözmek için, duruma uygun olarak aşağıdaki yöntemlerden birini veya daha fazlasını kullanın.
Çözüm 1: AD FS kimlik doğrulama ayarlarını varsayılan değerlere sıfırlama
AD FS IIS kimlik doğrulama ayarları yanlışsa veya AD FS Federasyon Hizmetleri ve Ara Sunucu Hizmetleri için IIS kimlik doğrulama ayarları eşleşmiyorsa, çözümlerden biri tüm IIS kimlik doğrulama ayarlarını varsayılan AD FS ayarlarına sıfırlamaktır.
Varsayılan kimlik doğrulama ayarları aşağıdaki tabloda listelenmiştir.
Sanal uygulama | Kimlik doğrulama düzeyleri |
---|---|
Varsayılan Web Sitesi/adfs | Anonim kimlik doğrulaması |
Varsayılan Web Sitesi/adfs/ls | Anonim kimlik doğrulaması, Windows kimlik doğrulaması |
Her AD FS federasyon sunucusunda ve her AD FS federasyon sunucusu proxy'sinde, AD FS IIS sanal uygulamalarını varsayılan kimlik doğrulama ayarlarına sıfırlamak için aşağıdaki Microsoft TechNet makalesindeki bilgileri kullanın:
IIS 7'de Kimlik Doğrulamasını Yapılandırma
Çözüm 2: AD FS federasyon sunucusu grubu SPN'sini düzeltme
Not
Bu çözümü yalnızca AD FS bir federasyon sunucusu grubu olarak uygulandığında deneyin. Ad FS tek başına yapılandırmasında bu çözümü denemeyin.
AD FS hizmetinin SPN'sinin AD FS hizmet hesabında kaybolması veya bozulması sorununu çözmek için, AD FS federasyon sunucusu grubundaki bir sunucuda şu adımları izleyin:
Hizmetler yönetimi ek bileşenini açın. Bunu yapmak için Başlat'a, Tüm Programlar'a, Yönetim Araçları'na ve ardından Hizmetler'e tıklayın.
AD FS (2.0) Windows Hizmeti'ne çift tıklayın.
Oturum Aç sekmesinde, Bu Hesap'ta görüntülenen hizmet hesabını not edin.
Başlat'a tıklayın, Tüm Programlar'a tıklayın, Donatılar'a tıklayın, Komut İstemi'ne sağ tıklayın ve ardından Yönetici olarak çalıştır'a tıklayın.
Aşağıdaki komutu yazın ve Enter tuşuna basın.
SetSPN –f –q host/<AD FS service name>
Not
Bu komutta AD FS hizmet adı>, <AD FS hizmet uç noktasının tam etki alanı adı (FQDN) hizmet adını temsil eder. AD FS sunucusunun Windows ana bilgisayar adını temsil etmez.
Komut için birden fazla giriş döndürülürse ve sonuç, 3. adımda not edilenden başka bir kullanıcı hesabıyla ilişkilendirilirse, bu ilişkilendirmeyi kaldırın. Bunu yapmak için aşağıdaki komutu çalıştırın:
SetSPN –d host/<AD FS service name><bad_username>
Komut için birden fazla giriş döndürülürse ve SPN, Windows'daki AD FS sunucusunun bilgisayar adıyla aynı adı kullanırsa, AD FS için federasyon uç noktası adı yanlıştır. AD FS'nin yeniden uygulanması gerekir. AD FS federasyon sunucusu grubunun FQDN'sinin mevcut sunucunun Windows ana bilgisayar adıyla aynı olmaması gerekir.
SPN zaten yoksa aşağıdaki komutu çalıştırın:
SetSPN –a host/<AD FS service name><username of service account>
Not
Bu komutta, <hizmet hesabının> kullanıcı adı 3. adımda belirtilen kullanıcı adını temsil eder.
Bu adımlar AD FS federasyon sunucusu grubundaki tüm sunucularda gerçekleştirildikten sonra, Hizmetler yönetimi ek bileşeninde AD FS (2.0) Windows Hizmeti'ne sağ tıklayın ve ardından Yeniden Başlat'a tıklayın.
Çözüm 3: Kimlik Doğrulaması sorunları için Genişletilmiş Korumayı çözme
Kimlik Doğrulaması için Genişletilmiş Koruma başarılı kimlik doğrulamasını engelliyorsa sorunu çözmek için aşağıdaki önerilen yöntemlerden birini kullanın:
- Yöntem 1: Oturum açmak için Windows Internet Explorer 8'i (veya programın sonraki bir sürümünü) kullanın.
- Yöntem 2: AD FS hizmetlerini, SSL köprü oluşturma, SSL boşaltma veya durum bilgisi olan paket filtrelemenin IP yükü verilerini yeniden yazmaması için İnternet'te yayımlayın. Bu amaç için en iyi yöntem, AD FS Proxy Sunucusu kullanmaktır.
- Yöntem 3: İzleme veya SSL şifresini çözme uygulamalarını kapatın veya devre dışı bırakın.
Bu yöntemlerden hiçbirini kullanamıyorsanız, bu sorunu geçici olarak çözmek için, pasif ve etkin istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma devre dışı bırakılabilir.
Geçici çözüm: Kimlik Doğrulaması için Genişletilmiş Korumayı Devre Dışı Bırakma
Uyarı
Bu yordamı uzun vadeli bir çözüm olarak kullanmanızı önermeyiz. Kimlik Doğrulaması için Genişletilmiş Koruma'nın devre dışı bırakılması, Tümleşik Windows Kimlik Doğrulaması uç noktalarındaki belirli ortadaki adam saldırılarını algılamayarak AD FS hizmet güvenlik profilini zayıflatır.
Not
Bu geçici çözüm üçüncü taraf uygulama işlevselliği için uygulandığında, Kimlik Doğrulaması için Genişletilmiş Koruma için istemci işletim sistemindeki düzeltmeleri de kaldırmanız gerekir.
Pasif istemciler için
Pasif istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı devre dışı bırakmak için, AD FS federasyon sunucusu grubundaki tüm sunucularda aşağıdaki IIS sanal uygulamaları için aşağıdaki yordamı uygulayın:
- Varsayılan Web Sitesi/adfs
- Varsayılan Web Sitesi/adfs/ls
Bunu yapmak için şu adımları uygulayın:
- IIS Yöneticisi'ni açın ve yönetmek istediğiniz düzeye gidin. IIS Yöneticisi'nin açılması hakkında bilgi için bkz. OPEN IIS Manager (IIS 7).
- Özellikler Görünümü'nde Kimlik Doğrulama'ya çift tıklayın.
- Kimlik Doğrulaması sayfasında Windows Kimlik Doğrulaması'nı seçin.
- Eylemler bölmesinde Gelişmiş Ayarlar'a tıklayın.
- Gelişmiş Ayarlar iletişim kutusu görüntülendiğinde Genişletilmiş Koruma açılan menüsünde Kapalı'yı seçin.
Etkin istemciler için
Etkin istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı devre dışı bırakmak için birincil AD FS sunucusunda aşağıdaki yordamı uygulayın:
Windows PowerShell açın.
AD FS ek bileşeninin Windows PowerShell yüklemek için aşağıdaki komutu çalıştırın:
Add-PsSnapIn Microsoft.Adfs.Powershell
Kimlik Doğrulaması için Genişletilmiş Koruma'nın devre dışı bırakılması için aşağıdaki komutu çalıştırın:
Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
Kimlik Doğrulaması için Genişletilmiş Koruma'yı yeniden etkinleştirme
Pasif istemciler için
Pasif istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı yeniden etkinleştirmek için, AD FS federasyon sunucusu grubundaki tüm sunucularda aşağıdaki IIS sanal uygulamaları için aşağıdaki yordamı uygulayın:
- Varsayılan Web Sitesi/adfs
- Varsayılan Web Sitesi/adfs/ls
Bunu yapmak için şu adımları uygulayın:
- IIS Yöneticisi'ni açın ve yönetmek istediğiniz düzeye gidin. IIS Yöneticisi'nin açılması hakkında bilgi için bkz. OPEN IIS Manager (IIS 7).
- Özellikler Görünümü'nde Kimlik Doğrulama'ya çift tıklayın.
- Kimlik Doğrulaması sayfasında Windows Kimlik Doğrulaması'nı seçin.
- Eylemler bölmesinde Gelişmiş Ayarlar'a tıklayın.
- Gelişmiş Ayarlar iletişim kutusu görüntülendiğinde, Genişletilmiş Koruma açılan menüsünden Kabul Et'i seçin.
Etkin istemciler için
Etkin istemciler için Kimlik Doğrulaması için Genişletilmiş Koruma'yı yeniden etkinleştirmek için birincil AD FS sunucusunda aşağıdaki yordamı uygulayın:
Windows PowerShell açın.
AD FS ek bileşeninin Windows PowerShell yüklemek için aşağıdaki komutu çalıştırın:
Add-PsSnapIn Microsoft.Adfs.Powershell
Kimlik Doğrulaması için Genişletilmiş Koruma'yı etkinleştirmek için aşağıdaki komutu çalıştırın:
Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
Çözüm 4: CNAME kayıtlarını AD FS için A kayıtlarıyla değiştirme
Federasyon hizmeti için kullanılan her DNS Diğer Adı (CNAME) kaydını bir DNS adresi (A) kaydıyla değiştirmek için DNS yönetim araçlarını kullanın. Ayrıca, bölünmüş beyinli bir DNS yapılandırması uygulandığında şirket DNS ayarlarını denetleyin veya göz önünde bulundurun. DNS kayıtlarını yönetme hakkında daha fazla bilgi için bkz. DNS Kayıtlarını Yönetme.
5. Çözüm: Internet Explorer'ı çoklu oturum açma (SSO) için AD FS istemcisi olarak ayarlama
AD FS erişimi için Internet Explorer'ı ayarlama hakkında daha fazla bilgi için bkz. Federasyon kullanıcıdan beklenmedik şekilde iş veya okul hesabı kimlik bilgilerini girmesi istenir.
Daha fazla bilgi
AD FS, ağın korunmasına yardımcı olmak için Kimlik Doğrulaması için Genişletilmiş Koruma'yı kullanır. Kimlik Doğrulaması için Genişletilmiş Koruma, bir saldırganın istemcinin kimlik bilgilerini ele geçirip bir sunucuya ilettiği ortadaki adam saldırılarını önlemeye yardımcı olabilir. Kanal Bağlama İşleri (CBT) kullanılarak bu tür saldırılara karşı koruma mümkün hale getirilmektedir. İstemcilerle iletişim kurulduğunda CBT sunucu tarafından gerekli, izin verilebilir veya gerekli olmayabilir.
ExtendedProtectionTokenCheck AD FS ayarı, federasyon sunucusu tarafından desteklenen kimlik doğrulaması için genişletilmiş koruma düzeyini belirtir. Bu ayar için kullanılabilir değerler şunlardır:
- Gerekli: Sunucu tamamen sağlamlaştırılmıştır. Genişletilmiş koruma uygulanır.
- İzin Ver: Bu varsayılan ayardır. Sunucu kısmen sağlamlaştırılmıştır. Bu özelliği destekleyecek şekilde değiştirilen ilgili sistemler için genişletilmiş koruma uygulanır.
- Yok: Sunucu güvenlik açığına açık. Genişletilmiş koruma zorunlu tutulmaz.
Aşağıdaki tablolarda, IIS ile AD FS'de kullanılabilen farklı Genişletilmiş Koruma seçeneklerine bağlı olarak kimlik doğrulamasının üç işletim sistemi ve tarayıcı için nasıl çalıştığı açıklanmaktadır.
Not
Windows istemci işletim sistemleri, Genişletilmiş Koruma özelliklerini etkili bir şekilde kullanmak için yüklü olan belirli güncelleştirmelere sahip olmalıdır. Varsayılan olarak, özellikler AD FS'de etkinleştirilir.
Varsayılan olarak, Windows 7 Genişletilmiş Koruma'yı kullanmak için uygun ikili dosyaları içerir.
Windows 7 (veya Windows Vista veya Windows XP'nin uygun şekilde güncelleştirilmiş sürümleri)
Ayar | Gerektirir | İzin ver (varsayılan) | Yok |
---|---|---|---|
Windows Communication Foundation (WCF) İstemcisi (Tüm uç noktalar) | Çalışır | Çalışır | Çalışır |
Internet Explorer 8 ve sonraki sürümleri | Çalışır | Çalışır | Çalışır |
Firefox 3.6 | Başarısız | Başarısız | Çalışır |
Safari 4.0.4 | Başarısız | Başarısız | Çalışır |
Uygun güncelleştirmeler olmadan Windows Vista
Ayar | Gerektirir | İzin ver (varsayılan) | Yok |
---|---|---|---|
WCF İstemcisi (Tüm uç noktalar) | Başarısız | Çalışır | Çalışır |
Internet Explorer 8 ve sonraki sürümleri | Çalışır | Çalışır | Çalışır |
Firefox 3.6 | Başarısız | Çalışır | Çalışır |
Safari 4.0.4 | Başarısız | Çalışır | Çalışır |
Uygun güncelleştirmeler olmadan Windows XP
Ayar | Gerektirir | İzin ver (varsayılan) | Yok |
---|---|---|---|
Internet Explorer 8 ve sonraki sürümleri | Çalışır | Çalışır | Çalışır |
Firefox 3.6 | Başarısız | Çalışır | Çalışır |
Safari 4.0.4 | Başarısız | Çalışır | Çalışır |
Kimlik Doğrulaması için Genişletilmiş Koruma hakkında daha fazla bilgi için aşağıdaki Microsoft kaynağına bakın:
AD FS 2.0 için Gelişmiş Seçenekleri Yapılandırma
Set-ADFSProperties cmdlet'i hakkında daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin:
Yine de yardım mı gerekiyor? Microsoft Topluluğu'na veya Microsoft Entra Forumları web sitesine gidin.
Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin