Федеративні користувач кілька разів запропоновано ввести облікові дані коли він / вона підключається до кінцевої точки 2.0 служби AD FS у Office 365 для входу

Номер статті: 2461628 - Показ продуктів, яких стосується ця стаття.
Машинний перекладКлацніть тут, щоб переглянути відмову від машинного перекладу матеріалів бази знань
У цій статті розглядаються Microsoft Office Outlook 365, Microsoft Office 365 попереднього перегляду та pre-upgrade Microsoft Office Outlook 365. Інформація про Office 365 перегляду в цій статті, у тому числі будь-які посилання, надана як є і можуть змінюватися без попереднього протокол IMAP.

Не впевнений, що те, що Випуск Office 365 ви використовуєте? Перейдіть на веб-сайт корпорації Майкрософт:
Я використовую Office 365 після оновлення служби?
(http://office.microsoft.com/redir/HA103982331.aspx)
Важливо. Ця стаття містить інформацію, яка показує вам, як зменшити настройки безпеки або як вимкнути функції безпеки на комп'ютері. Ви можете зробити ці зміни для усунення певної проблеми. Перш ніж виконувати зазначені інтерактивні елементи, рекомендовано оцінити ризик, пов'язаний з їх виконанням у вашому конкретному середовищі. Якщо слід ужити взяти будь-яких підхожих додаткових заходів для захисту комп'ютера.
Розгорнути все | Згорнути все

На цій сторінці

ПРОБЛЕМА

комплексний пошук користувача неодноразово пропонується ввести свої облікові дані, коли користувач намагається автентифікації на кінцеву точку служби Федерації служба Active Directory (AD FS) 2.0 служби під Вільний час входу в Microsoft Office 365. Коли користувач скасував, користувач отримує таке протокол IMAP про помилку:
Відмовлено в доступі
На початок | Надіслати відгук

Причини

Симптом визначає проблему з Windows інтегровану автентифікацію оголошення FS 2,0 застосунок-служба, що використовуються у федерацію локальний служби доменів служба Active Directory (AD DS) посвідчення до Office 365 осіб. Ця проблема може виникнути, якщо один або кілька нижченаведених умов:
  • Проблема існує з обліковими даними, які використовуються.
  • Настройки автентифікації інформаційних служб Інтернету (IIS) налаштовано неправильно в AD FS 2.0. Або настройки автентифікації IIS AD FS 2.0 Федерації служб і проксі-сервер служби не збігаються.
  • Втрати або пошкодження ім'я учасника служби (SPN), пов'язаний з обліковим записом служби, який використовується для запуску AD FS 2.0 Федерації серверної ферми.

    Примітка. Це відбувається тільки коли AD FS 2.0 реалізується як Федерація серверної ферми і не реалізовано у автономної конфігурації.
  • Одну або кілька таких дій визначених Розширений захист для автентифікації як джерело людина в середньому атаки:
    • Деякі сторонні веб-браузерів
    • Корпоративні мережі брандмауер, балансувальник навантаження мережі або іншого мережного пристрою публікує оголошення FS 2.0 Федерації застосунок-служба до Інтернету таким чином, що IP Деструктивна даних може потенційно бути переписані. Це, можливо, включає наступні види даних:
      • протокол SSL (SSL) мостів
      • SSL розвантаження
      • Структурний пакетної фільтрації

        Докладніше перегляньте наступні статті бази знань Microsoft Knowledge Base:
        2510193
        (http://support.microsoft.com/kb/2510193/ )
        Під Вільний час сценарій виконання AD FS 2.0 для впровадження єдиного входу у службі Office 365
    • Моніторинг або SSL шифрування застосунок інстальовано або активний на клієнтському комп'ютері
  • Доменних імен (DNS) резолюції кінцевої точки 2.0 служби AD FS було виконано через Пошук запису CNAME замість через запису-підстановки для A.
  • Windows Internet Explorer не настроєно пройти Windows інтегровану перевірку автентичності для оголошення сервер FS 2.0.

Перед тим, як вам діагностувати проблеми Kerberos

Перед подальшого усунення неполадок, переконайтеся, що ім'я користувача та пароль не є причиною проблеми.
  • Переконайтеся, що використовується правильне ім'я користувача. Для комплексний пошук користувача доступ ім'я учасника-користувача (UPN) облікового запису є лише відповідний формат.
  • Переконайтеся, що використовується правильний пароль. Перевірте, що використовується правильний пароль, ви, можливо, доведеться скинути пароль користувача. Докладніше перегляньте таку статтю Microsoft TechNet:
    http://TechNet.Microsoft.com/EN-US/Library/cc754395.aspx
    (http://technet.microsoft.com/en-us/library/cc754395.aspx)
  • Переконайтеся, що обліковий запис А комп'ютера не буде заблоковано, минув або використовується за межами місця для входу. Докладніше перегляньте таку статтю Microsoft TechNet:
    http://TechNet.Microsoft.com/EN-US/Library/cc754661.aspx
    (http://technet.microsoft.com/en-us/library/cc754661.aspx)
На початок | Надіслати відгук

Перевірте, чи є причиною

Щоб перевірити, що проблеми Kerberos спричиняють проблему, тимчасово обійти автентифікацію Kerberos ввімкнути автентифікацію на основі форм на фермі серверів AD FS 2.0 Федерації. Для цього виконайте такі інтерактивні елементи.

Крок 1: Редагування файлу Web. config на кожному сервері у нашої ЕРИ ферми FS 2.0 Федерації застосунок-служба
  1. У Windows Explorer знайдіть каталог вхідних повідомлень C:\inetpub\adfs\ls\ і потім створіть архівувати файлів Web. config.
  2. Натисніть кнопку Почати, натисніть кнопку Усі програми, натисніть кнопку Аксесуари, клацніть правою кнопкою миші Блокнота потім натисніть кнопку Запуск від імені адміністратора.
  3. На в Файл меню, натисніть Відкрити. У в Ім'я файлу Поле, тип C:\inetpub\adfs\ls\web.configа потім натисніть кнопку Відкрити.
  4. У файлі Web. config виконайте такі дії:
    1. Знайдіть рядок, що містить <authentication mode=""></authentication>а потім змінити його для <authentication mode="Forms"></authentication>.
    2. Знайдіть у розділі, який починається з <localAuthenticationTypes></localAuthenticationTypes>і потім змінити розділ так що на <add name="Forms"></add> Елемент належить, по-перше, наступним чином:
      <localAuthenticationTypes>
      </localAuthenticationTypes><add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add>
  5. На в Файл меню, натисніть Зберегти.
  6. Підвищені командного рядку перезапустити IIS, використовуючи команду iisreset .
Після цієї процедури здійснюється на кожному сервері AD FS 2.0 Федерації серверній фермі, тест AD FS 2.0 функціональність.

Крок 2: Випробування AD FS 2.0 функціональності
  1. На клієнтському комп'ютері, який підключено і автентифікацію у локальній AD DS середовища, знак у (порталу Office 365https://Portal.microsoftonline.com
    (https://portal.microsoftonline.com)
    ), введіть комплексний пошук облікового запису і натисніть кнопку наВхід в YourDomainName посилання.

    Замість безшовні автентифікації досвід на основі форм входу повинна бути досвідченим. Якщо вхід успішно за допомогою автентифікації на основі форм, це підтверджує, що існує проблема з Kerberos в AD FS 2.0 Федерації застосунок-служба.
  2. Перш ніж виконувати інтерактивні елементи, описані в розділі "Заходи усунення", запропоноване конфігурації кожного сервера AD FS 2.0 Федерації серверній фермі до попередніх параметрів автентифікації. Щоб відновити конфігурацію на кожному сервері у фермі серверів AD FS 2.0 Федерації, виконайте такі дії:
    1. У Windows Explorer знайдіть каталог вхідних повідомлень C:\inetpub\adfs\ls\ а потім видаліть файл Web. config.
    2. Перемістити архівувати файлів Web. config, створений у в "крок 1: редагування файлу Web. config на кожному сервері AD FS 2.0 Федерації служби ферми" розділ, щоб C:\inetpub\adfs\ls\ папки.
  3. Підвищені командного рядку перезапустити IIS, використовуючи команду iisreset .
  4. Перевірте, що AD FS 2.0 автентифікації поведінка повертається до циклічного Відтворюється автентифікації.
На початок | Надіслати відгук

РІШЕННЯ

Безрезультатного Kerberos межі AD FS 2.0 автентифікації, використовувати одну або декілька нижченаведених способів відповідно до ситуації.

: 1 Скидання AD FS 2.0 автентифікації параметри роздільної здатності До значень за промовчанням

Якщо настройки автентифікації IIS AD FS 2.0 неправильні або настройки автентифікації IIS AD FS 2.0 Федерації служб і проксі-сервер служби не збігаються, одним з рішень є для скидання всіх настройок автентифікації IIS параметрів за промовчанням AD FS 2.0.

На кожному сервері AD FS 2.0 Федерації і на кожного проксі-сервер AD FS 2.0 Федерації використовувати інформацію у Microsoft TechNet статті скидання AD FS 2.0 IIS віртуальних додатків для настройки автентифікації за промовчанням:
http://TechNet.Microsoft.com/EN-US/Library/cc733010 (WS.10). aspx
(http://technet.microsoft.com/en-us/library/cc733010(WS.10).aspx)
За промовчанням параметр автентифікації перераховані в таблиці.
Згорнути цю таблицюРозгорнути цю таблицю
Віртуальний застосункуАвтентифікація (s)сценарій виконання клієнта
За промовчанням веб-сайт/adfsанонімна автентифікаціяAD FS 2.0 щоденно requestors (клієнтські застосунки)
За промовчанням веб-сайт/adfs/lsанонімна автентифікація
Автентифікація Windows		AD FS 2.0 пасивного requestors (браузери)
Щоб отримати додаткові відомості про вирішення цієї помилки клацніть номер статті в базі знань Microsoft Knowledge Base:
907273
(http://support.microsoft.com/kb/907273/ )
Усунення помилок HTTP 401 у службі IIS
871179
(http://support.microsoft.com/kb/871179/ )
Ви отримаєте на "Помилка HTTP 401.1 - несанкціоноване: доступ не дозволено через неправильні облікові дані" протокол IMAP про помилку під Вільний час спроби отримати доступ до веб-сайту, який є частиною пул застосунків служби IIS 6.0

Резолюція 2: Усунення оголошення FS 2.0 Федерації служби ферми SPN

Примітка.Спробуйте цю резолюцію, тільки тоді, коли AD FS 2.0 реалізована як Федерація служби ферми. Не робіть цього резолюції в оголошення FS 2.0 автономної конфігурації.

Щоб вирішити цю проблему, якщо SPN для оголошення FS 2.0 застосунок-служба втрати або пошкодження на 2,0 служби AD FS, виконайте такі інтерактивні елементи на одному сервері у фермі серверів AD FS 2.0 Федерації:
  1. Відкрити застосунок-служба управління оснастка. Для цього натисніть кнопку Почати, натисніть кнопку Усі програми, натисніть кнопку Адмініструванняа потім натисніть кнопку застосунок-служба.
  2. Двічі клацніть AD FS 2.0 Windows служби.
  3. На в Вхід Вкладка, Примітка обліковий запис А комп'ютера служби, який відображається в Цей обліковий запис А комп'ютера.
  4. Натисніть кнопку Почати, натисніть кнопку Усі програми, натисніть кнопку Аксесуари, клацніть правою кнопкою миші командний рядок у режимі адміністратораа потім натисніть кнопку Запуск від імені адміністратора.
  5. Тип SetSPN –f увімкнути хост /<AD fs="" service="" name=""></AD>, а потім натисніть клавішу Enter.

    Примітка.У цій команді <AD fs="" service="" name=""></AD> являє собою повне доменне ім’я (FQDN) застосунок-служба ім'я кінцевої точки 2.0 служби AD FS. Це вказує ім’я хоста Windows оголошення сервер FS 2.0.
    • Якщо повертається більш, ніж однієї команди, і результат буде пов'язаний з обліковим записом користувача відрізняється від того, що було відзначено в кроці 3, видалити цей зв'язок. Для цього виконайте таку команду:
      Хост SetSPN –d /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Якщо більше, ніж один запис А повернувся для команди, і на SPN використовує ж ім'я як ім'я комп'ютера AD FS 2.0 сервера у Windows, ім'я кінцевої точки Федерації для AD FS 2.0 є неправильним. AD FS 2.0 може бути реалізована ще раз. FQDN AD FS 2.0 Федерації серверної ферми не повинні бути ідентичні ім’я хоста Windows існуючий сервера.
    • Якщо на SPN вже не існує, виконайте таку команду:
      Хост SetSPN –a /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Примітка.У цій команді <username of="" service="" account=""></username> представляє ім'я користувача, що було відзначено в кроці 3.
  6. Після того, як ці інтерактивні елементи виконуються на всіх серверах у фермі серверів AD FS 2.0 Федерації, правою кнопкою миші AD FS 2.0 Windows служби у застосунок-служба управління-відповідної оснастки та натисніть кнопку Перезапустити.

Резолюція 3: Вирішити Розширений захист для автентифікації проблем

Щоб вирішити проблему, якщо Розширений захист для автентифікації виявить можливі людина в центрі атаки, використовуйте один з наступних методів:
  • Спосіб 1: Використовувати Windows Internet Explorer 8 (або пізнішої версії програми) для доступу до Office 365 ідентичності комплексний пошук послуг.
  • Метод 2: Публікувати оголошення FS 2.0 застосунок-служба до Інтернету таким чином, що SSL мостів, розвантаження SSL або контролем стану пакетної фільтрації не переписати IP Деструктивна даних. Кращі практики рекомендація для цього є сценарій виконання оголошення FS 2.0 проксі-сервер.
  • Спосіб 3: Закрийте або вимкніть моніторингу або SSL-дешифрування додатків.
Не можна використовувати будь-який з цих методів, щоб вирішити цю проблему, можна вимкнути Розширений захист для автентифікації. Для цього виконайте такі інтерактивні елементи для наступних застосунків віртуального IIS на всіх серверах у фермі серверів AD FS 2.0 Федерації.
Згорнути цю таблицюРозгорнути цю таблицю
Віртуальний застосункусценарій виконання клієнта
За промовчанням веб-сайт/adfsAD FS 2.0 щоденно requestors (клієнтські застосунки)
За промовчанням веб-сайт/adfs/lsAD FS 2.0 пасивного requestors (браузери)
Попередження. Ми не рекомендуємо використовувати цю процедуру як довгострокове рішення. Вимкнення Розширений захист для автентифікації послаблює профіль безпеки 2.0 служби AD FS, не виявляючи певні людина в середньому нападів на кінцеві точки інтегровану перевірку автентичності Windows.

Щоб відключити розширеного захисту для автентифікації, виконайте такі дії:
  1. Додаткові параметри для автентифікації Windows, використовуючи наступну статтю Microsoft TechNet:
    http://TechNet.Microsoft.com/EN-US/Library/cc754628 (WS.10). aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Набір Розширена захист Щоб Вимкненняа потім натисніть кнопку Гаразд.
Коли обхід застосовується для сторонніх програму функціональність, ви повинні також де виправлень операційній системі клієнт для розширеного захисту для автентифікації. Щоб отримати додаткові відомості про виправлення клацніть номер статті в базі знань Microsoft Knowledge Base:
968389
(http://support.microsoft.com/kb/968389/ )
Розширена захист для автентифікації
Щоб знову включити Розширений захист для автентифікації, виконайте такі інтерактивні елементи для віртуальних додатків IIS, які зазначено раніше на усіх серверів AD FS 2.0 Федерації серверної ферми. Для цього виконайте такі інтерактивні елементи.
  1. Додаткові параметри для автентифікації Windows, використовуючи наступну статтю Microsoft TechNet:
    http://TechNet.Microsoft.com/EN-US/Library/cc754628 (WS.10). aspx
    (http://technet.microsoft.com/en-us/library/cc754628(WS.10).aspx)
  2. Набір Розширена захист Щоб Прийнятиа потім натисніть кнопку Гаразд.
  3. Повторно інсталювати будь-які необхідні термінові виправлення, операційній системі клієнт для розширеного захисту для автентифікації. Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:
    968389
    (http://support.microsoft.com/kb/968389/ )
    Розширена захист для автентифікації

Резолюція 4: Виправити CNAME DNS реклами

За допомогою засобів керування DNS замінити кожний запис А DNS псевдонім (CNAME) запис А DNS-адресу (А). Також, перевірити, чи split-brain конфігурації DNS здійснюється розглянути питання про корпоративні Параметри DNS. Щоб отримати додаткові відомості про керування записами DNS перейдіть до наступного веб-сайт Microsoft TechNet:
http://TechNet.Microsoft.com/EN-US/Library/bb727018.aspx
(http://technet.microsoft.com/en-us/library/bb727018.aspx )

Роздільна здатність 5: Налаштування Internet Explorer як оголошення FS 2.0 клієнт для єдиного входу (SSO)

Для отримання додаткових відомостей про налаштування Internet Explorer для AD FS 2.0 доступу, клацніть номер статті в базі знань Microsoft Knowledge Base:
2535227
(http://support.microsoft.com/kb/2535227/ )
Федеративні користувачеві пропонується несподівано введіть свої облікові дані, коли вони отримати доступ до ресурсів Office 365
На початок | Надіслати відгук

Додаткові відомості

Щоб захистити мережу, AD FS 2.0 використовує Розширений захист для автентифікації. Розширена захист для автентифікації допомагає запобігати атакам людина в середньому в якому зловмисник перехоплює облікові дані клієнта та відправляє їх на сервері. Захист від таких атак стало можливим за допомогою каналу прив'язування робіт (КПТ). ТОС може необхідні, дозволено або не потрібний сервер, коли встановлюється зв'язок з клієнтами.

На ExtendedProtectionTokenCheck AD FS параметр визначає рівень розширеного захисту для автентифікації, яку підтримує сервер Федерації. Вони наявні значення для цього параметра:
  • Вимагають: Сервер не повністю загартовані. Розширена захист організації.
  • Дозволити: Це параметр за промовчанням. Сервер не частково загартованої. Розширена захист організації для участь системи, які замінюються на цю функцію.
  • Жоден: Сервер є вразливим. Розширена захист не застосовується.

У таблицях наведено, як автентифікація діє для трьох операційних системний інтегратор і браузерів, в залежність завдання від різних варіантів Розширений захист, доступних на AD FS 2.0 з IIS.

Примітка. Клієнт операційних системний інтегратор Windows потрібно мати конкретні оновлень, які інсталюються ефективно використовувати функції розширеного захисту. за промовчанням функції включені в AD FS 2.0. Ці оновлення доступні за наступні статті бази знань Microsoft Knowledge Base:
968389
(http://support.microsoft.com/kb/968389/ )
Розширена захист для автентифікації
За промовчанням Windows 7 включає в себе відповідні binaries використовувати розширений захист.

Windows 7 (або відповідним чином оновлені версії Windows Vista або Windows XP)

Згорнути цю таблицюРозгорнути цю таблицю
НалаштуванняВимагаютьДозволити (за промовчанням)Жоден
Windows зв'язок "один-до-одного"
податок на додану вартість (WCF) клієнта (Усі кінцеві точки)		ТвориТвориТвори
Internet Explorer 8ТвориТвориТвори
Firefox 3.6Не допомагаєНе допомагаєТвори
Сафарі 4.0.4Не допомагаєНе допомагаєТвори

Windows Vista без відповідні оновлення

Згорнути цю таблицюРозгорнути цю таблицю
НалаштуванняВимагаютьДозволити (за промовчанням)Жоден
WCF клієнта (Усі кінцеві точки)Не допомагаєТвориТвори
Internet Explorer 8ТвориТвориТвори
Firefox 3.6Не допомагаєТвори Твори
Сафарі 4.0.4Не допомагаєТвори Твори

Windows XP без відповідні оновлення

Згорнути цю таблицюРозгорнути цю таблицю
НалаштуванняВимагаютьДозволити (за промовчанням)Жоден
Internet Explorer 8ТвориТвориТвори
Firefox 3.6Не допомагаєТвори Твори
Сафарі 4.0.4Не допомагаєТвори Твори
Щоб отримати додаткові відомості про Розширений захист для автентифікації побачити такі ресурси корпорації Майкрософт:
968389
(http://support.microsoft.com/kb/968389/ )
Розширена захист для автентифікації
Настроювання додаткових параметрів для AD FS 2.0
(http://technet.microsoft.com/en-us/library/hh237448(WS.10).aspx)
Додаткові відомості щодо поширеного Набору-ADFSProperties перейдіть на веб-сайт корпорації Майкрософт:
Набір ADFSProperties
(http://technet.microsoft.com/en-us/library/ee892317.aspx)

Відео: Цикл фінансові дані запит під Вільний час входу у програму Office 365, використовуючи посвідчення інтегрованого облікового запису

Згорнути це зображенняРозгорнути це зображення
UUID =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://AKA.MS/wqsfve
(http://aka.ms/wqsfve)
Згорнути це зображенняРозгорнути це зображення

Відео: комплексний пошук користувачі мають з'являтися запит фінансові дані і неможливо Увійдіть у службі Office 365

Згорнути це зображенняРозгорнути це зображення
UUID =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://AKA.MS/lifluf
(http://aka.ms/lifluf)
Згорнути це зображенняРозгорнути це зображення
На початок | Надіслати відгук

Все ще потрібна допомога? Перейдіть до Товариство Office 365
(http://community.office365.com/)
.

Продукти сторонніх виробників, описані в цій статті, виробляються компаніями, які не залежать від корпорації Майкрософт. корпорація Майкрософт не надає жодних гарантій, неявних або інших, стосовно продуктивності або надійності цих продуктів
На початок | Надіслати відгук

Властивості

Номер статті: 2461628 - Востаннє переглянуто: 11 березня 2013 р. - Редакція: 9.0
Застосовується до:
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • Microsoft Office 365 Enterprise preview
  • Windows Azure Active Directory
Ключові слова: 
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2461628
(http://support.microsoft.com/kb/2461628/en-us/ )
На початок | Надіслати відгук

Надіслати відгук

 
На початокНа початок