在登录到 Office 365、 Azure 或 Windows Intune 过程中,将联盟的用户反复要求提供凭据

文章翻译 文章翻译
文章编号: 2461628 - 查看本文应用于的产品
重要提示本文向您显示如何帮助在计算机上降低安全设置或关闭安全功能的信息。您可以通过这些更改来解决特定的问题。在进行这些更改之前,我们建议您对在您的特定环境中实施此替代方法可能引起的相关联的风险进行评估。如果实施该替代方法,请采取任何适当的附加步骤来帮助保护您的计算机。
展开全部 | 关闭全部

本文内容

问题

当用户尝试登录到 Microsoft Office 365、 Microsoft Azure 或 Windows Intune 如云服务期间验证到 活动目录的联合身份验证服务 (AD FS) 服务终结点时,联盟的用户是反复提示提供凭据。当用户取消时,用户收到以下错误消息:
访问被拒绝

原因

症状表明 AD FS 使用 Windows 集成身份验证的问题。以下一个或多个条件可能导致此问题:
  • 使用了错误的用户名或密码。
  • Internet Information Services (IIS) 的身份验证设置的设置不正确 AD FS 中。
  • 服务主体名称 (SPN) 具有与其相关联的服务帐户用于运行 AD FS 联合服务器场丢失或损坏。

    注意 AD FS 联合服务器场作为实现时才会出现,并在独立配置中未实现。
  • 下列一个或多个被验证问题的扩展保护认作中间人攻击的来源:
    • 某些第三方 Internet 浏览器
    • 公司网络防火墙、 网络负载平衡器或其他网络设备进行互联网 IP 有效负载数据都可能会有可能重写的这样一种方式来发布 AD FS 联合身份验证服务。这可能包括以下类型的数据:
      • 安全套接字层 (SSL) 桥接
      • SSL 减负
      • 状态数据包过滤

        有关详细信息,请参阅下面的 Microsoft 知识库文章:
        2510193受支持的方案,对于使用 AD FS 可以设置 Office 365、 Azure 或 Windows Intune 中的单一登录
    • 客户端安装了或开启了监视或 SSL 解密应用程序
  • AD FS 服务终结点的域域名系统 (DNS) 解析刚通过而不是通过执行 A 记录查找的 CNAME 记录查找。
  • Windows Internet Explorer 不被配置可以将 Windows 集成身份验证传递给 AD FS 服务器。

在开始疑难解答之前

请检查用户名和密码不是导致问题的原因。
  • 请确保正确的用户名称使用和用户主体名称 (UPN) 格式中。例如,johnsmith@contoso.com。
  • 请确保使用正确的密码。要仔细检查使用正确的密码,您可能需要重设用户密码。有关详细信息,请参阅下面的 Microsoft TechNet 文章:
    重置用户密码
  • 请确保该帐户不是锁定、 过期,或使用指定的登录时间之外。有关详细信息,请参阅下面的 Microsoft TechNet 文章:
    管理用户

验证原因

要检查 Kerberos 问题会导致此问题,请暂时跳过 Kerberos 身份验证启用 AD FS 联合服务器场中的基于窗体的身份验证。若要执行此操作,请执行以下步骤:

步骤 1: 编辑 web.config 文件,AD FS 联合服务器场中每台服务器上
  1. 在 Windows 资源管理器中,找到 C:\inetpub\adfs\ls\ 文件夹中,然后备份 web.config 文件的副本。
  2. 单击开始,单击所有程序,都单击附件,用鼠标右键单击记事本),然后都单击以管理员身份运行
  3. 文件 菜单上,单击打开。在的文件名 框中,键入C:\inetpub\adfs\ls\web.config然后单击打开
  4. 在 web.config 文件中,请按照下列步骤:
    1. 找到包含的行, <authentication mode=""> </authentication>,然后将其更改为<authentication mode="Forms"></authentication>
    2. 找到开头部分<localAuthenticationTypes></localAuthenticationTypes>,然后更改部分,以便<add name="Forms"></add>该项列为第一次,方法如下:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. 文件 菜单上,单击保存
  6. 在提升的命令提示符里,使用iisreset命令以重新启动 IIS。
步骤 2: 测试 AD FS 功能
  1. 已经连接上但身份验证到内部部署的客户端计算机在 AD DS 环境中,登录到云服务门户。

    你将会经历基于窗体的登录,而不是无缝的身份验证。如果登录成功通过使用基于表单的身份验证,这证实 Kerberos 问题存在 AD FS 联合身份验证服务。
  2. 恢复到以前的身份验证设置 AD FS 联合服务器场中每个服务器的配置,请按照"解决方案"一节中的步骤之前。若要还原 AD FS 联合服务器场中每个服务器的配置,请执行以下步骤:
    1. 在 Windows 资源管理器中,找到 C:\inetpub\adfs\ls\ 文件夹中,,并删除 web.config 文件。
    2. 移动的 web.config 文件中创建的备份"步骤 1: 编辑 AD FS 联合服务器场中每个服务器的 web.config 文件"部分中的 C:\inetpub\adfs\ls\ 文件夹。
  3. 在提升的命令提示符里,使用iisreset命令以重新启动 IIS。
  4. 检查 AD FS 身份验证行为变为原来的问题。

本地

要解决 Kerberos 问题,限制在 AD FS 身份验证,请使用一个或多个以下的方法,根据具体情况。

解决方法 1: 重置 AD FS 身份验证设置为默认值

收起这个图片展开这个图片
assets folding start collapsed
如果 AD FS IIS 身份验证设置不正确,或 AD FS 联合身份验证服务和代理服务的 IIS 身份验证设置不匹配,一种解决方案是将所有的 IIS 身份验证设置重置为默认 AD FS 设置。

下表中列出的默认身份验证设置。
收起该表格展开该表格
虚拟应用程序身份验证级别
默认 Web 站点/adf匿名身份验证
默认 Web 站点/adfs/ls匿名身份验证
Windows 身份验证
在每个 AD FS 联合服务器和每个 AD FS 联合服务器代理,使用下面的 Microsoft TechNet 文章中的信息重置为默认的身份验证设置的 AD FS IIS 虚拟应用程序:
在 IIS 7 中配置身份验证
有关如何解决此错误的详细信息,请参阅下面的 Microsoft 知识库文章:
907273 对 IIS 中的 HTTP 401 错误进行故障排除

871179 当您试图访问一个属于 IIS 6.0 应用程序池的 Web 站点时,收到“HTTP 错误 401.1-未经授权:由于凭据无效访问被拒绝"错误消息。

收起这个图片展开这个图片
assets folding end collapsed

本地 2: 解决 SPN 的 AD FS 联合身份验证服务器场

收起这个图片展开这个图片
assets folding start collapsed
注意只有在 AD FS 联合服务器场作为实现时,请尝试此解决方案。不要尝试在 AD FS 独立配置此分辨率。

如果丢失或损坏的 AD FS 服务帐户 AD FS 服务的 SPN,请解决此问题,请按照 AD FS 联合服务器场中的一台服务器上的以下步骤:
  1. 打开服务管理的管理单元。若要这样做,单击开始,单击所有程序,都单击管理工具,然后都单击服务
  2. 双击AD FS (2.0 版) 的 Windows 服务
  3. Log On 选项卡上,请注意显示在此帐户中的服务帐户。
  4. 单击开始,单击所有程序,都单击附件,用鼠标右键单击命令提示符下,,然后都单击以管理员身份运行
  5. 键入 SetSPN – f – q 主机 /<AD fs="" service="" name=""></AD>然后按 enter 键。

    注意在此命令中, <AD fs="" service="" name=""></AD> 表示 AD FS 服务终结点的完全合格的域名称 (FQDN) 服务名称。它不表示 AD FS 服务器的 Windows 主机名。
    • 如果返回的命令有不止一个条目,并且结果不与已在步骤 3 中记下的用户帐户相关联,则删除该关联。若要执行此操作,请运行以下命令:
      SetSPN – d 主机 /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • 如果多个项返回的命令,并且 SPN 与 Windows 中的 AD FS 服务器的计算机名称中使用相同的名称,则 AD FS 联合身份验证终结点名称不正确。AD FS 不得不被再次实现。AD FS 联合服务器场中的 FQDN 不能与现有的服务器的 Windows 主机名相同。
    • 如果不存在该 SPN,请运行以下命令:
      SetSPN – 主机 /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      注意在此命令中, <username of="" service="" account=""></username> 表示注意到第 3 步中的用户名。
  6. AD FS 联合服务器场中所有服务器上执行这些步骤后,请AD FS (2.0) Windows 服务在服务管理单元中,右键单击,然后单击重新启动
收起这个图片展开这个图片
assets folding end collapsed

本地 3: 解决身份验证问题的扩展保护

收起这个图片展开这个图片
assets folding start collapsed
若要解决此问题,如果用于身份验证的扩展保护可防止成功的身份验证,请使用以下建议的方法:
  • 方法 1: 使用 Windows Internet Explorer 8 (或更高版本的程序) 进行登录。
  • 方法 2: 将 AD FS 服务发布到互联网,SSL 桥接、 SSL 卸载,或有状态数据包过滤不重写 IP 有效负载数据的方式。为此目的的最佳做法建议是使用 AD FS 代理服务器。
  • 方法 3: 关闭或禁用监视或 SSL 解密应用程序。
如果您不能使用下列任一方法,要变通解决此问题,可以禁用被动和主动的客户端进行身份验证的扩展保护。

解决方法: 禁用扩展的保护为身份验证

注意:不建议使用此过程,作为一个长期的解决方案。禁用身份验证的扩展保护由无法检测到集成 Windows 身份验证终结点上的某些人为干预攻击弱 AD FS 服务安全配置文件。

注意此替代方法应用的第三方应用程序功能时,也应为进行身份验证的扩展保护卸载修补程序的客户端操作系统上。有关修补程序的详细信息,请参阅下面的 Microsoft 知识库文章:
968389 身份验证的扩展保护
对于被动客户端
若要禁用的被动客户端身份验证的扩展保护,请以下应用程序的 IIS 虚拟 AD FS 联合服务器场中所有服务器上执行下列步骤:
  • 默认 Web 站点/adf
  • 默认 Web 站点/adfs/ls
若要执行此操作,请执行以下步骤:
  1. 打开 IIS 管理器中,导航到要管理的级别。有关打开 IIS 管理器中的信息,请参阅 打开 IIS 管理器 (IIS 7).
  2. 在功能视图中,双击身份验证
  3. 在身份验证页中,选择Windows 身份验证
  4. 操作窗格中,单击高级设置
  5. 高级设置对话框出现时,选择关闭扩展保护 下拉菜单。
活动客户端
要禁用活动客户端身份验证的扩展保护,请主的 AD FS 服务器上执行以下过程:
  1. 打开 Windows PowerShell。
  2. 运行下面的命令加载 Windows PowerShell 为 AD FS 管理单元:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 运行以下命令以禁用用于身份验证的扩展保护:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

重新启用扩展的保护为身份验证

对于被动客户端
若要重新启用为被动客户端身份验证的扩展保护,请以下应用程序的 IIS 虚拟 AD FS 联合服务器场中所有服务器上执行下列步骤:
  • 默认 Web 站点/adf
  • 默认 Web 站点/adfs/ls
若要执行此操作,请执行以下步骤:
  1. 打开 IIS 管理器中,导航到要管理的级别。有关打开 IIS 管理器中的信息,请参阅 打开 IIS 管理器 (IIS 7).
  2. 在功能视图中,双击身份验证
  3. 在身份验证页中,选择Windows 身份验证
  4. 操作窗格中,单击高级设置
  5. 当出现高级设置对话框时,可以从扩展保护下拉列表菜单中选择接受
活动客户端
要重新启用为活动状态的客户端身份验证的扩展保护,请主的 AD FS 服务器上执行下列步骤:
  1. 打开 Windows PowerShell。
  2. 运行下面的命令加载 Windows PowerShell 为 AD FS 管理单元:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 运行以下命令来启用身份验证的扩展保护:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
收起这个图片展开这个图片
assets folding end collapsed

本地 4: 替换为 AD FS A 记录的 CNAME 记录

收起这个图片展开这个图片
assets folding start collapsed
使用 DNS 管理工具来替换已使用联合身份验证服务使用 DNS 地址 (A) 记录的每个 DNS 别名 (CNAME) 记录。另外,当实现split-brain的 DNS 配置时检查或考虑公司的 DNS 设置。有关如何管理 DNS 记录的详细信息,请访问以下 Microsoft TechNet 网站:
管理 DNS 记录
收起这个图片展开这个图片
assets folding end collapsed

本地 5: 设置 Internet Explorer 作为 AD FS 客户端单一登录 (SSO)

收起这个图片展开这个图片
assets folding start collapsed
有关如何设置 Internet Explorer 的 AD FS 访问的详细信息,请参阅下面的 Microsoft 知识库文章:
2535227 联合身份验证的用户访问 Office 365 资源时被意外提示输入凭据
收起这个图片展开这个图片
assets folding end collapsed

详细信息

若要帮助保护网络,AD FS,请使用的身份验证的扩展保护。身份验证的扩展保护有助于防止攻击者截获了客户端的凭据并将它们转发到服务器的中间人攻击。防范此类攻击是通过使用Channel Binding Works(CBT)。与客户端建立通信时,服务器可以要求、允许,或不要求 CBT。

ExtendedProtectionTokenCheck AD FS 设置指定联合服务器所支持的身份验证的扩展保护的级别。以下是此设置的可用值:
  • 要求: 完全加强服务器。强制执行扩展保护。
  • 允许: 这是默认设置。部分加强服务器。对于涉及更改以支持该功能的系统,实施扩展保护。
  • : 服务器易受攻击。不实施扩展的保护。
下表介绍了三种操作系统和浏览器,具体取决于不同的扩展保护选项,IIS 使用 AD FS 上可用的身份验证运行方式。

注意Windows 客户端操作系统必须安装特定的更新程序以有效地使用扩展保护功能。默认情况下,在 AD FS 中启用的功能。这些更新可从下面的 Microsoft 知识库文章找到:
968389 身份验证的扩展保护
默认情况下 Windows 7 包含相应的二进制文件来使用扩展保护。

Windows 7 (或适当地更新的版本的 Windows Vista 或 Windows XP 的)
收起该表格展开该表格
设置要求允许 (默认值)
Windows 通信
基础 (WCF) 客户端 (所有终结点)
可用可用可用
Internet Explorer 8可用可用可用
Firefox 3.6不可用不可用可用
4.0.4 safari不可用不可用可用
如果没有适当的更新的 Windows Vista
收起该表格展开该表格
设置要求允许 (默认值)
WCF 客户端 (所有终结点)不可用可用可用
Internet Explorer 8可用可用可用
Firefox 3.6不可用可用 可用
4.0.4 safari不可用可用 可用
如果没有适当的更新的 Windows XP
收起该表格展开该表格
设置要求允许 (默认值)
Internet Explorer 8可用可用可用
Firefox 3.6不可用可用 可用
4.0.4 safari不可用可用 可用
有关身份验证扩展保护的详细信息,请参阅以下 Microsoft 资源:
968389 身份验证的扩展保护
配置 AD FS 2.0 的高级的选项
有关设置 ADFSProperties 命令 的详细信息,请访问以下 Microsoft 网站:
Set-ADFSProperties

视频: 循环凭据提示时登录到 Office 365 使用标识联合帐户

收起这个图片展开这个图片
assets video1
uuid =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.ms/wqsfve
收起这个图片展开这个图片
assets video2

视频: 联盟的用户会反复提示您输入凭据,无法登录到 Office 365

收起这个图片展开这个图片
assets video1
uuid =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.ms/lifluf
收起这个图片展开这个图片
assets video2

仍需要帮助吗?请转到 Office 365 社区 网站或 Azure 的 活动目录(AD) 论坛 网站。

本文讨论的第三方产品是由与 Microsoft 无关的公司生产的。微软并不保证,暗示或其他有关的性能或可靠性,这些产品

属性

文章编号: 2461628 - 最后修改: 2014年6月21日 - 修订: 26.0
这篇文章中的信息适用于:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
关键字:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2461628 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2461628
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com