Федеративних користувачів неодноразово запит фінансові дані під Вільний час входу до служби Office 365, Azure або Windows Intune

Переклади статей Переклади статей
Номер статті: 2461628 - Показ продуктів, яких стосується ця стаття.
Важливо. Ця стаття містить інформацію про те, як зменшити настройки рівня безпеки або як вимкнути функції безпеки на комп’ютері. Ви можете зробити ці зміни для усунення певної проблеми. Перш ніж виконувати зазначені інтерактивні елементи, рекомендовано оцінити ризик, пов'язаний з їх виконанням у вашому конкретному середовищі. Якщо ви застосуєте це тимчасове рішенния, слід ужити всі відповідні додаткові заходи для захисту комп’ютера.
Розгорнути все | Згорнути все

На цій сторінці

ПРОБЛЕМА

Федеративних користувачів є неодноразово запит фінансові дані, коли користувач намагається перевірити справжність кінцеву точку служби служб служба Active Directory Федерації (AD FS) під Вільний час входу до служби Microsoft хмара служби Office 365, Microsoft Azure або Windows Intune. Коли відміняє користувача, користувач отримує таке протокол IMAP про помилку:
Доступ заборонений

Причини

Симптом вказує на проблему з Windows інтегровану автентифікацію з AD FS. Ця проблема може виникнути, якщо один або більше з таких умов, правда:
  • Хибне ім'я користувача або пароль був використаний.
  • Настройки автентифікації інформаційних служб Інтернету (IIS) налаштовано невірно в AD FS.
  • ім'я учасника служби (SPN), пов'язаний із цим обліковим записом служби, який використовується для запуску ферми серверів AD FS Федерації втрачені або пошкоджені.

    Примітка. Це відбувається тільки тоді, коли AD FS реалізована як Федерація серверної ферми і не реалізовано в автономний конфігурації.
  • Одну або кілька з таких як джерело людина в середині атаки визначаються за розширена захист для автентифікації:
    • Деякі сторонні веб-браузерів
    • Корпоративна глобальна мережа брандмауер, балансувальник навантаження мережі або інші мережного пристрою публікує Федерації служби AD FS до Інтернету таким чином, що IP Деструктивна даних потенційно може бути переписані. Це можливо включає в себе наступні види даних:
      • протокол SSL (SSL) подолання
      • SSL розвантаження
      • Повноцінної пакетної фільтрації

        Докладніше перегляньте наступні статті бази знань Майкрософт:
        2510193Підтримувані сценарії сценарій виконання AD FS для настроювання єдиного входу у службі Office 365, Azure або Windows Intune
    • Моніторинг або SSL дешифрування застосунок інстальовано або активний на клієнтському комп'ютері
  • Доменних імен (DNS) резолюції кінцевої точки служби AD FS було виконано через пошук CNAME запис А замість через послугами A записів підстановок.
  • Браузер Windows Internet Explorer не настроєно для передавання Windows інтегровану автентифікацію сервера AD FS.

Перед тим як почати виправлення неполадок

Перевірте, що ім'я користувача і пароль не є причиною цього питання.
  • Переконайтеся, що в настройках використовується і у форматі користувача (UPN) ім'я учасника. Наприклад, johnsmith@contoso.com.
  • Переконайтеся, що використовується правильний пароль. Перевірте, що використовується правильний пароль, ви, можливо, щоб скинути пароль користувача. Докладніше перегляньте наступні статті Microsoft TechNet:
    Скидання пароля користувача
  • Переконайтеся, що обліковий запис А комп'ютера не заблоковано, минув або використовується неробочі години призначеного для входу. Докладніше перегляньте наступні статті Microsoft TechNet:
    Управління користувачами

Визначити причину

Щоб перевірити, що Kerberos проблеми, які виникають питання, тимчасово обійти автентифікацію Kerberos, дозволяючи автентифікацію на основі форм ферми серверів AD FS Федерації. Для цього виконайте такі інтерактивні елементи.

Крок 1: Редагування файлу Web. config на кожному сервері AD FS Федерації серверній фермі
  1. У провіднику знайдіть каталог вхідних повідомлень C:\inetpub\adfs\ls\ і потім зробити архівувати файлів Web. config.
  2. Натисніть кнопку Пуск, виберіть пункт Усі програми, стандартні, клацніть правою кнопкою миші "Блокнот"і виберіть пункт Запуск із правами адміністратора.
  3. На на файл меню, натисніть кнопку Відкрити. У на ім'я файлу введітьC:\inetpub\adfs\ls\web.configі натисніть кнопку Відкрити.
  4. У файлі web. config виконайте такі дії:
    1. Знайдіть рядок, який містить <authentication mode=""> </authentication>а потім змініть його, щоб <authentication mode="Forms"> </authentication>.
    2. Знайдіть розділ, який починається з <localAuthenticationTypes> </localAuthenticationTypes>і змініть розділ, щоб у <add name="Forms"></add> запис А зазначено, по-перше, наступним чином:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. На на файл меню, натисніть кнопку зберегти.
  6. При підвищених командний рядок перезапускати IIS, використовуючи команду iisreset .
Крок 2: Тест AD FS функціональність
  1. На клієнтському комп'ютері, який підключений і автентифікацію у службі локальній службі AD DS середовища, увійдіть до порталу хмара.

    Замість того, щоб досвід безшовні автентифікації на основі форм входу повинна бути досвідченим. Якщо вхід за допомогою автентифікацію на основі форм, це підтверджує, що існує проблема з Kerberos Федерації службі AD FS.
  2. Повернутися конфігурації кожного сервера AD FS Федерації серверній фермі, щоб попередні настройки автентифікації, перш ніж ви виконайте інтерактивні елементи, зазначені в розділі "Рішення". Щоб відновити конфігурацію кожен сервер AD FS Федерації серверній фермі, виконайте такі дії:
    1. У провіднику Windows перейдіть до папки C:\inetpub\adfs\ls\ а потім видаліть файл Web. config.
    2. Перемістити архівувати файлів Web. config, який ви створили в в "Крок 1: редагування файлу Web. config на кожному сервері ферми серверів AD FS Федерації" розділ до папки C:\inetpub\adfs\ls\».
  3. При підвищених командний рядок перезапускати IIS, використовуючи команду iisreset .
  4. Перевірте, що поведінка автентифікації AD FS повертається до вихідного питання.

РІШЕННЯ

Безрезультатного Kerberos що обмежує AD FS автентифікації, за допомогою одного або кількох нижченаведених способів відповідно до ситуації.

Роздільна здатність 1: Скидання AD FS настройки автентифікації до значень за промовчанням

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Якщо набір методів автентифікації AD FS IIS є помилковими, або не збігаються з настройки автентифікації IIS для AD FS Федерацію послуг і послуг проксі, одним з рішень є скинути всі набір методів автентифікації IIS AD FS за промовчанням.

Автентифікація за промовчанням перелічено в нижченаведеній таблиці.
Згорнути цю таблицюРозгорнути цю таблицю
Віртуальний застосуванняПеревірка автентичності (s)
За промовчанням веб-сайт/adfsАнонімної автентифікації
За промовчанням веб-сайт/adfs/lsАнонімної автентифікації
Автентифікація Windows
На кожному сервері AD FS Федерації на кожного проксі-сервер AD FS Федерації, використати інформацію в наступній статті Microsoft TechNet скинути AD FS IIS віртуальних додатків для автентифікації за замовчуванням:
Настроювання автентифікації в IIS 7
Щоб отримати додаткові відомості про те, як допомогти виправити цю помилку, перегляньте наступні статті бази знань Майкрософт:
907273 Виправлення неполадок помилки HTTP 401 в IIS

871179 Ви отримуєте на "помилка HTTP 401.1 - несанкціоноване: відмова в доступі через неприпустимі облікові дані" протокол IMAP про помилку під Вільний час спроби отримати доступ до веб-сайту, який є частиною пул застосунків IIS 6.0

Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Роздільна здатність 2: Виправити ферми серверів AD FS Федерації SPN

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Примітка. Спробуйте цей дозвіл тільки тоді, коли AD FS реалізована як Федерація серверної ферми. Не спробувати цю резолюцію на AD FS автономний конфігурації.

Щоб вирішити цю проблему, якщо SPN для служби AD FS втраті або пошкодженню вмісту на обліковий запис А комп'ютера служби AD FS, виконайте наведені нижче інтерактивні елементи на одному сервері AD FS Федерації серверній фермі
  1. Відкрити застосунок-служба управління оснастка. Для цього натисніть кнопку Пуск, виберіть пункт Усі програми, клацніть Адмініструваннята виберіть пункт служби.
  2. Двічі клацніть служби AD FS (2.0) Windows.
  3. На на журналу на вкладку, до уваги облікового запису служби, яке відображається в Цього облікового запису.
  4. Натисніть кнопку Пуск, виберіть пункт Усі програми, стандартні, клацніть правою кнопкою миші командний рядок у режимі адміністратораі виберіть пункт Запуск із правами адміністратора.
  5. Тип SetSPN-f-q хост /<AD fs="" service="" name=""></AD>, а потім натисніть клавішу Enter.

    Примітка. У цій команді <AD fs="" service="" name=""></AD> являє собою повне доменне ім’я (FQDN) ім'я служби AD FS кінцевої точки служби. Він не відображає ім’я хоста Windows сервер AD FS.
    • Якщо більш ніж один запис А повертається для команди, і результат зв'язано з обліковим записом користувача відрізняється від того було відзначено в кроці 3, видалити цього зв'язок "один-до-одного". Щоб зробити це, запустіть таку команду:
      SetSPN-d-хост /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Якщо більш ніж один запис А повертається для команди, і SPN використовує однакове ім'я як ім'я комп'ютера сервера AD FS у Windows, ім'я кінцевої точки Федерації для AD FS хибне. AD FS повинно здійснюватися ще раз. FQDN AD FS Федерації серверної ферми не повинні бути ідентичні Windows хост ім'я наявного сервера.
    • Якщо Утиліта SPN ще не існує, виконайте таку команду:
      SetSPN-хост /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Примітка. У цій команді <username of="" service="" account=""></username> представляє ім'я користувача, яке було відзначено в кроці 3.
  6. Після того, як ці інтерактивні елементи виконуються на всіх серверах ферми серверів AD FS Федерації, клацніть правою кнопкою миші Служба AD FS (2.0) Windows служби управління оснастка і виберіть пункт перезапустити.
Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Роздільна здатність 3: Вирішити розширена захист для автентифікації проблем

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Щоб вирішити питання, якщо розширена захист для автентифікації запобігає успішної автентифікації, скористайтеся одним із таких способів:
  • Метод 1: використовувати Windows Internet Explorer 8 (або пізнішої версії програми) для входу.
  • Метод 2: опублікувати AD FS послуг Інтернету таким чином, що SSL моста, SSL розвантаження або контролем стану пакетної фільтрації не переписувати IP Деструктивна даних. Передовий досвід рекомендація для цього є сценарій виконання проксі сервер AD FS.
  • Спосіб 3: закрити або вимкнути моніторинг або розшифровування SSL додатків.
Якщо не можна використовувати будь-який з цих методів, щоб вирішити цю проблему, розширена захист для автентифікації для може бути вимкнуто пасивних і активних клієнтів.

Тимчасове рішення: Вимкнути розширена захист для автентифікації

Попередження. Не рекомендовано використовувати цю процедуру як довгострокове рішення. Вимкнення розширена захист для автентифікації послаблює AD FS профіль служби безпеки, не виявляючи певні людина в середині нападів на кінцеві точки інтегровану перевірку автентичності Windows.

Примітка. Коли ця методика застосовується для сторонніх програму функціональність, ви повинні також де-інсталювати термінові виправлення на клієнта операційної системи для розширена захист для автентифікації. Щоб отримати додаткові відомості про виправлення дивіться наступні статті бази знань Майкрософт:
968389 Розширена захист для автентифікації
Пасивний клієнтам
Щоб вимкнути розширена захист для автентифікації для пасивної клієнтів, виконайте такі інтерактивні елементи наступних віртуальний застосунків IIS на всіх серверах ферми серверів AD FS Федерації:
  • За промовчанням веб-сайт/adfs
  • За промовчанням веб-сайт/adfs/ls
Для цього виконайте такі інтерактивні елементи.
  1. Відкрийте диспетчер IIS і перейдіть до рівня, який ви хочете керувати. Відомості про відкриття диспетчер IIS див Відкрийте диспетчер IIS (IIS 7).
  2. Особливості подання елементів двічі клацніть автентифікації.
  3. На сторінці Перевірка автентичності виберіть Перевірку автентичності Windows.
  4. В області інтерактивні елементи виберіть пункт Додаткові параметри.
  5. Коли з'явиться діалогове вікно Додаткові настройки , виберіть Offвід наРозширений захист спадного меню.
Для активних клієнтів
Щоб вимкнути розширена захист для автентифікації для активних клієнтів, виконайте такі інтерактивні елементи на основний маркер сервер AD FS:
  1. Відкриті Windows PowerShell.
  2. Запустіть таку команду, щоб завантажити Windows PowerShell для AD FS оснастки:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Запустіть таку команду, щоб вимкнути розширена захист для автентифікації:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Знову ввімкнути розширена захист для автентифікації

Пасивний клієнтам
Щоб знову увімкнути розширена захист для автентифікації для пасивної клієнтів, виконайте такі інтерактивні елементи для наступних застосувань віртуальний IIS на всіх серверах ферми серверів AD FS Федерації:
  • За промовчанням веб-сайт/adfs
  • За промовчанням веб-сайт/adfs/ls
Для цього виконайте такі інтерактивні елементи.
  1. Відкрийте диспетчер IIS і перейдіть до рівня, який ви хочете керувати. Відомості про відкриття диспетчер IIS див Відкрийте диспетчер IIS (IIS 7).
  2. Особливості подання елементів двічі клацніть автентифікації.
  3. На сторінці Перевірка автентичності виберіть Перевірку автентичності Windows.
  4. В області інтерактивні елементи виберіть пункт Додаткові параметри.
  5. Коли з'явиться діалогове вікно Додаткові настройки , виберіть AcceptРозширений захист випадаючого меню.
Для активних клієнтів
Щоб знову увімкнути розширена захист для автентифікації для активних клієнтів, виконайте такі інтерактивні елементи на основний маркер сервер AD FS:
  1. Відкриті Windows PowerShell.
  2. Запустіть таку команду, щоб завантажити Windows PowerShell для AD FS оснастки:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Запустіть таку команду, щоб увімкнути розширена захист для автентифікації:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Роздільна здатність 4: Замінити запис А бізнес-партнера CNAME з записів для AD FS

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Замінити кожний запис А DNS псевдонім (CNAME), які використані для служби Федерації з адреси DNS () запис А за допомогою засобів керування DNS. Крім того, перевірити або розглянути питання про Корпоративні параметри DNS коли фізіології конфігурації DNS реалізується. Докладніше про керування DNS записів зверніться до веб-сайту Microsoft TechNet:
керування записами DNS
Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Роздільна здатність 5: Налаштувати Internet Explorer як AD FS-клієнт для єдиного входу (SSO)

Згорнути це зображенняРозгорнути це зображення
assets folding start collapsed
Щоб отримати додаткові відомості про настроювання браузера Internet Explorer для AD FS доступу див нижче статті бази знань Майкрософт
2535227 Федеративних користувачів неочікуваного запит на змінення про введіть свої облікові дані, коли вони отримати доступ до ресурсів служби Office 365
Згорнути це зображенняРозгорнути це зображення
assets folding end collapsed

Додаткові відомості

Щоб захистити мережу, AD FS використовує розширена захист для автентифікації. Розширена захист для автентифікації може допомогти запобігти людина в середині атак, в якому злодію перехоплює облікові дані клієнта і пересилає їх на сервері. Захист від таких атак стало можливим за допомогою каналу прив'язування робіт (КПТ). ТОС можна необхідні, дозволено або не сервером при необхідності встановлено зв'язок з клієнтів.

Параметр ExtendedProtectionTokenCheck AD FS визначає рівень розширена захист для автентифікації, що підтримується сервером Федерації. Вони доступні значення для цього параметра:
  • Вимагають: сервер є повністю загартовані. Розширений захист організації.
  • Дозволити: це значення параметра є усталеним. Сервер є частково загартовані. Розширений захист насильницького участь системах, які замінюються на підтримують цю функцію.
  • Жоден: сервер є вразливим. Розширений захист не виконано.
У таблицях наведено як працює автентифікації три операційних системний інтегратор і браузерів, в залежність завдання від різних розширений захист варіантів, які доступні на AD FS з IIS.

Примітка. Операційні системи Windows клієнт повинен мати певні оновлення, інстальовані ефективно використовувати функції захисту від продовжений. За промовчанням в функції включені в AD FS. Ці оновлення доступні наступні статті бази знань Майкрософт:
968389 Розширена захист для автентифікації
За промовчанням Windows 7 містить відповідні binaries використовувати розширений захист.

Windows 7 (або відповідним чином оновлені версії Windows Vista або Windows XP)
Згорнути цю таблицюРозгорнути цю таблицю
НалаштуванняВимагаютьДозволяти (типова поведінка)Немає
Windows зв'язок "один-до-одного"
податок на додану вартість (WCF) клієнта (усі кінцеві точки)
ТвориТвориТвори
Internet Explorer 8ТвориТвориТвори
Firefox 3.6Не вдаєтьсяНе вдаєтьсяТвори
Safari 4.0.4Не вдаєтьсяНе вдаєтьсяТвори
Windows Vista без відповідних оновлень
Згорнути цю таблицюРозгорнути цю таблицю
НалаштуванняВимагаютьДозволяти (типова поведінка)Немає
WCF клієнта (усі кінцеві точки)Не вдаєтьсяТвориТвори
Internet Explorer 8ТвориТвориТвори
Firefox 3.6Не вдаєтьсяТвори Твори
Safari 4.0.4Не вдаєтьсяТвори Твори
Windows XP без відповідних оновлень
Згорнути цю таблицюРозгорнути цю таблицю
НалаштуванняВимагаютьДозволяти (типова поведінка)Немає
Internet Explorer 8ТвориТвориТвори
Firefox 3.6Не вдаєтьсяТвори Твори
Safari 4.0.4Не вдаєтьсяТвори Твори
Докладніше про розширена захист для автентифікації дивіться наступні ресурси корпорації Майкрософт:
968389 Розширена захист для автентифікації
Настроювання додаткових параметрів для AD FS 2.0
Щоб отримати додаткові відомості про командлета Set-ADFSProperties перейдіть на веб-сайті Microsoft:
Набір ADFSProperties

Відео: Цикл фінансові дані підказками при вхід до Office 365, використовуючи посвідченні Федеративні облікового запису

Згорнути це зображенняРозгорнути це зображення
assets video1
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://AKA.MS/wqsfve
Згорнути це зображенняРозгорнути це зображення
assets video2

Відео: Федеративних користувачів є кілька разів запропоновано ввести облікові дані і не можу вхід до Office 365

Згорнути це зображенняРозгорнути це зображення
assets video1
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://AKA.MS/lifluf
Згорнути це зображенняРозгорнути це зображення
assets video2

Все ще потрібна допомога? Перейдіть до на Office 365 спільноти веб-сайт або в Блакитні служба Active Directory форуми .

Продукти сторонніх виробників, описані в цій статті, виробляються компаніями, які не залежать від корпорації Майкрософт. корпорація Майкрософт не надає жодних гарантій, неявних або інших, стосовно продуктивності або надійності цих продуктів

Властивості

Номер статті: 2461628 - Востаннє переглянуто: 21 червня 2014 р. - Редакція: 18.0
Застосовується до:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
Ключові слова: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2461628

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com