同盟的使用者重複登入 Office 365、 Azure 或 Windows Intune 期間提示輸入認證

文章翻譯 文章翻譯
文章編號: 2461628 - 檢視此文章適用的產品。
重要本文將告訴您,如何幫助較低的安全性設定或如何關閉電腦上的安全性功能的資訊。若要暫時略過特定的問題,您可以進行這些變更。在進行這些變更之前,我們建議您先評估在特定環境中實作此因應措施的相關風險。如果您決定此因應措施,採用任何其他的適當步驟,以協助保護電腦。
全部展開 | 全部摺疊

在此頁中

問題

當使用者嘗試在登入 Microsoft 定域機組服務,例如辦公室 365、 Microsoft Azure 或 Windows Intune 期間驗證至 Active Directory 同盟服務 (AD FS) 服務端點時,聯盟的使用者會重複提示輸入認證。當使用者取消時,使用者會收到下列錯誤訊息:
拒絕存取

原因

徵狀會指示 Windows 整合式驗證,使用 AD FS 的問題。如果有一個,就會發生這個問題或多個下列情況皆成立:
  • 使用了不正確的使用者名稱或密碼。
  • 網際網路資訊服務 (IIS) 驗證設定會正確 AD FS 中。
  • 服務主要名稱 (SPN) 與用來執行 AD FS 同盟伺服器陣列的服務帳戶有關聯已遺失或毀損。

    附註 這只有在 AD FS 會實作為同盟伺服器陣列時,才會發生,並不實作在獨立組態中。
  • 做為來源的攔截式攻擊,會將一或多個下列識別的驗證延伸保護 」:
    • 某些協力廠商網際網路瀏覽器
    • 公司網路防火牆、 網路負載平衡器或其他網路連線的裝置會發佈到網際網路的方式可能可以改寫 IP 裝載資料的 AD FS 同盟服務。這可能包括下列幾種資料:
      • 安全通訊端層 (SSL) 橋接
      • SSL 卸載
      • 可設定狀況的封包篩選

        如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
        2510193若要設定單一登入 Office 365、 Azure 或 Windows Intune 中使用 AD FS 的支援的案例
    • 監視或 SSL 解密應用程式安裝,或者是在用戶端電腦上作用
  • 執行 AD FS 服務端點的網域名稱系統 (DNS) 解析,透過 CNAME 記錄查閱,而不是透過 A 記錄查閱。
  • Windows Internet Explorer 不被設定為將 Windows 整合式驗證傳遞至 AD FS 伺服器。

在開始疑難排解之前

檢查使用者名稱和密碼不是問題的原因。
  • 請確定使用正確的使用者名稱,而且是使用者主要名稱 (UPN) 格式。例如,johnsmith@contoso.com。
  • 請確定使用正確的密碼。若要再次檢查使用正確的密碼,您可能要重設使用者密碼。如需詳細資訊,請參閱下列 「 Microsoft TechNet 文件:
    重設使用者密碼
  • 請確定該帳戶不鎖定、 過期,或使用指定的登入時數之外。如需詳細資訊,請參閱下列 「 Microsoft TechNet 文件:
    管理使用者

確認原因

若要檢查 Kerberos 問題會造成問題,以便暫時略過 Kerberos 驗證藉由啟用 AD FS 同盟伺服器陣列上的 [表單架構驗證。若要這樣做,請依照下列步驟執行:

步驟 1: 編輯 web.config 檔,AD FS 同盟伺服器陣列中每個伺服器上
  1. 在 Windows 檔案總管找出 [C:\inetpub\adfs\ls\] 資料夾中,並請 web.config 檔案的備份複本。
  2. 按一下 [開始],按一下 [所有程式]、 都 [附屬應用程式[記事本],以滑鼠右鍵按一下,然後都按一下以管理員身分執行
  3. 檔案 ] 功能表中,按一下 [開啟]。在檔案名稱 方塊中,輸入C:\inetpub\adfs\ls\web.config然後按一下 [開啟
  4. 在 web.config 檔案中,請依照下列步驟執行:
    1. 找出包含一行<authentication mode=""></authentication>,然後再將它變更為<authentication mode="Forms"></authentication>
    2. 找出開頭的區段<localAuthenticationTypes></localAuthenticationTypes>,然後變更 [] 區段中,讓<add name="Forms"></add>項目會列出第一次,如下:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. 檔案 ] 功能表中,按一下 [儲存]。
  6. 在提高權限的命令提示字元,請使用iisreset命令重新啟動 IIS。
步驟 2: 測試 AD FS 功能
  1. 已連線,而且要先驗證用戶端電腦上 AD DS 環境中,登入至定域機組服務入口網站。

    而不是整密的驗證經驗,表單基礎登入應該會發生。如果登入成功使用表單架構驗證,這可確認 Kerberos 問題存在於 AD FS 同盟服務。
  2. 依照 〈 解決方案 〉 一節的步驟之前,請還原到先前的驗證設定 AD FS 同盟伺服器陣列中每個伺服器的設定。若要還原 AD FS 同盟伺服器陣列中每個伺服器的設定,請依照下列步驟執行:
    1. 在 Windows 檔案總管] 中,找出 [C:\inetpub\adfs\ls\] 資料夾中,然後再 delete web.config 檔。
    2. 移動 web.config 檔案中所建立的備份 「 步驟 1: 編輯 web.config 檔,AD FS 同盟伺服器陣列中每個伺服器上的 」 一節,以 [C:\inetpub\adfs\ls\] 資料夾。
  3. 在提高權限的命令提示字元,請使用iisreset命令重新啟動 IIS。
  4. 請檢查 AD FS 驗證行為會還原成原始的問題。

方案

若要解決限制 AD FS 驗證 Kerberos 問題,請使用一或多個下列的方法,視您的情況。

解決方式 1: 重設 AD FS 驗證設定為預設值

摺疊此圖像展開此圖像
assets folding start collapsed
如果 AD FS IIS 驗證設定不正確,或不相符的 AD FS 同盟服務和 Proxy 服務的 IIS 驗證設定值,一個解決方案是設為預設 AD FS 設定重設所有的 IIS 驗證設定。

下列的表格中所列的預設驗證設定。
摺疊此表格展開此表格
虛擬應用程式驗證等級
預設的 Web 站台/adfs匿名驗證
Ls/網站/adfs 預設匿名驗證
Windows 驗證
在每個 AD FS 同盟伺服器和每個 AD FS 同盟伺服器 proxy,使用下列的 Microsoft TechNet 文件中的資訊,來重設成預設的驗證設定的 AD FS IIS 虛擬應用程式:
IIS 7 中設定驗證
如需有關如何解決這個錯誤的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
907273 在 IIS 中的 HTTP 401 錯誤疑難排解

871179 您會收到 「 未經授權的 HTTP 錯誤 401.1-: 因為認證不正確而拒絕存取 」 錯誤訊息,當您嘗試存取是 IIS 6.0 應用程式集區的一部分的網站

摺疊此圖像展開此圖像
assets folding end collapsed

解決方法 2: 修正 AD FS 同盟伺服器陣列 SPN

摺疊此圖像展開此圖像
assets folding start collapsed
附註:只有當 AD FS 會實作為同盟伺服器陣列時,請嘗試此解析度。不要嘗試在 AD FS 獨立組態中的此解析度。

若要解決這個問題,如果遺失或損毀的 AD FS 服務帳戶的 SPN,AD FS 服務,請遵循下列步驟在 AD FS 同盟伺服器陣列中的一部伺服器上:
  1. 開啟服務管理嵌入式管理單元。若要這樣做,請按一下 [開始],按一下 [所有程式,都按一下 [系統管理工具],然後都按一下服務
  2. 連按兩下AD FS (2.0) 的 Windows 服務
  3. 登入 索引標籤上,請注意會顯示在這個帳戶的服務帳戶。
  4. 按一下 [開始],按一下 [所有程式]、 都 [附屬應用程式命令提示字元,以滑鼠右鍵按一下,然後都按一下以管理員身分執行
  5. 型別 SetSPN – f – q 主機 /<AD fs="" service="" name=""></AD>然後按 Enter 鍵。

    附註:這個命令中, <AD fs="" service="" name=""></AD> 代表 AD FS 服務端點的完整格式的網域名稱 (FQDN) 服務名稱。它不代表 AD FS 伺服器 Windows 主機名稱。
    • 如果多個項目會傳回命令的結果是不是在步驟 3 中記下的使用者帳戶相關聯,移除該關聯。若要這樣做,請執行下列命令:
      SetSPN – d 主機 /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • 如果多個項目會傳回命令的 SPN 使用 Windows 中的 AD FS 伺服器的電腦名稱使用相同的名稱,AD fs 同盟端點名稱不正確。AD FS 必須實作一次。AD FS 同盟伺服器陣列的 FQDN 不能與 Windows 主機名稱相同的既有的伺服器。
    • 如果 SPN 不存在,請執行下列命令:
      SetSPN – 的主機 /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      附註:這個命令中, <username of="" service="" account=""></username> 表示已在步驟 3 中記下的使用者名稱。
  6. 會在 AD FS 同盟伺服器陣列中的所有伺服器上執行這些步驟之後,用滑鼠右鍵按一下服務管理嵌入式管理單元中的AD FS (2.0) Windows 服務,然後按一下 [重新啟動
摺疊此圖像展開此圖像
assets folding end collapsed

解決方法 3: 解決延伸保護 」 的驗證考量

摺疊此圖像展開此圖像
assets folding start collapsed
若要解決這個問題,如果驗證延伸保護 」 會防止成功的驗證,請使用下列其中一項建議方法:
  • 方法 1: 使用 Windows Internet Explorer 8 (或更新版本的程式) 登入。
  • 方法 2: 將 AD FS 服務發佈到網際網路的方式 SSL 橋接、 卸載 SSL,或可設定狀況的封包篩選不重寫 IP 內容資料。為此目的的最佳實務建議,是使用 AD FS Proxy 伺服器。
  • 方法 3: 關閉或停用監視或 SSL 解密應用程式。
如果您無法使用任何一種方法來解決這個問題,則可以停用驗證延伸保護 」 為被動與主動的用戶端。

解決方法: 停用驗證延伸的保護

警告我們不建議您為長期的解決方案使用此程序。停用驗證延伸保護 」 減弱 AD FS 服務安全性設定檔時藉由偵測不到整合式 Windows 驗證端點上的某些攔截式攻擊。

附註當此因應措施套用針對協力廠商應用程式功能時,您也應該解除快速修正程式在用戶端的作業系統上安裝驗證延伸保護 」。如需有關 hotfix 的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
968389 驗證延伸的保護
被動用戶端
若要停用被動的用戶端驗證延伸保護 」,請執行下列程序下列 IIS 虛擬應用程式在 AD FS 同盟伺服器陣列中的所有伺服器上:
  • 預設的 Web 站台/adfs
  • Ls/網站/adfs 預設
若要這樣做,請依照下列步驟執行:
  1. 開啟 IIS 管理員並瀏覽至您想要管理的層級。開啟 IIS 管理員中的相關資訊,請參閱 開啟 IIS 管理員 (IIS 7).
  2. 在 [功能] 檢視中,按兩下 [驗證]。
  3. 在 [驗證] 頁面中,選取 [ Windows 驗證]。
  4. 在 [動作] 窗格中,按一下 [進階設定]。
  5. [進階設定] 對話方塊出現時,請選取 [關閉延伸保護 下拉式功能表。
使用中的用戶端
若要停用使用中的用戶端驗證延伸保護 」,請在主要的 AD FS 伺服器上執行下列程序:
  1. 開啟 Windows PowerShell。
  2. 執行下列命令,以載入 Windows PowerShell,AD FS 嵌入式管理單元:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 執行下列命令以停用驗證延伸保護 」:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

重新啟用驗證延伸的保護

被動用戶端
若要重新啟用被動的用戶端驗證延伸保護 」,請執行下列程序下列 IIS 虛擬應用程式在 AD FS 同盟伺服器陣列中的所有伺服器上:
  • 預設的 Web 站台/adfs
  • Ls/網站/adfs 預設
若要這樣做,請依照下列步驟執行:
  1. 開啟 IIS 管理員並瀏覽至您想要管理的層級。開啟 IIS 管理員中的相關資訊,請參閱 開啟 IIS 管理員 (IIS 7).
  2. 在 [功能] 檢視中,按兩下 [驗證]。
  3. 在 [驗證] 頁面中,選取 [ Windows 驗證]。
  4. 在 [動作] 窗格中,按一下 [進階設定]。
  5. 進階設定] 對話方塊出現時,請從延伸保護下拉功能表中選取接受
使用中的用戶端
若要重新啟用為作用中的用戶端驗證延伸保護 」,請在主要的 AD FS 伺服器上執行下列程序:
  1. 開啟 Windows PowerShell。
  2. 執行下列命令,以載入 Windows PowerShell,AD FS 嵌入式管理單元:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 執行下列命令以啟用驗證延伸保護 」:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”
摺疊此圖像展開此圖像
assets folding end collapsed

解決方法 4: 取代 CNAME 記錄,AD fs 的記錄

摺疊此圖像展開此圖像
assets folding start collapsed
使用 DNS 管理工具來取代每個已用於 federation service DNS 位址 (A) 記錄的 DNS 別名 (CNAME) 記錄。此外,請檢查或實作 split-brain 的 DNS 設定時,請考慮公司 DNS 設定。如需有關如何管理 DNS 記錄的詳細資訊,請移至下列 Microsoft TechNet 網站:
管理 DNS 記錄
摺疊此圖像展開此圖像
assets folding end collapsed

為單一登入 (SSO) 的 AD FS 用戶端的 Internet Explorer 的解決方法 5: 設定

摺疊此圖像展開此圖像
assets folding start collapsed
如需有關如何設定 AD FS 存取 Internet Explorer 的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
2535227 若要輸入其認證,存取 Office 365 資源時意外地提示聯盟的使用者
摺疊此圖像展開此圖像
assets folding end collapsed

更多資訊

為了協助保護網路,AD FS 會使用驗證延伸保護。驗證延伸的保護可以協助防止攔截式攻擊,攻擊者攔截用戶端的認證並將它們轉送到伺服器。保護對抗這類攻擊是由可能使用通道繫結的運作 (CBT)。CBT 可以所需、 允許,或不需要的伺服器與用戶端建立通訊時。

ExtendedProtectionTokenCheck AD FS 設定指定同盟伺服器所支援的驗證延伸保護層的級。以下是可用的值,此設定:
  • 需要: 伺服器已完全強化。延伸的保護會強制執行。
  • 允許: 這是預設設定。部分強化伺服器。變更為支援這項功能的相關系統強制延伸的保護。
  • : 伺服器容易受到。延伸的保護並不執行。
下表將描述驗證的三個作業系統和瀏覽器中,根據不同的延伸保護選項與 IIS 的 AD FS 上可用的運作方式。

附註Windows 用戶端作業系統必須安裝可有效地使用 [延伸保護功能的特定更新。根據預設,AD FS 中啟用的功能。這些更新都可以從下列 「 Microsoft 知識庫 」 文件:
968389 驗證延伸的保護
根據預設,Windows 7 會包含要使用 「 延伸保護 」 的適當二進位碼檔案。

Windows 7 (或適當地更新的版本的 Windows Vista 或 Windows xp)
摺疊此表格展開此表格
設定需要允許 (預設值)
Windows 通訊
基礎 (WCF) 用戶端 (所有的端點)
運作方式運作方式運作方式
Internet Explorer 8運作方式運作方式運作方式
要在 Firefox 3.6失敗失敗運作方式
4.0.4 safari失敗失敗運作方式
Windows Vista 沒有適當的更新
摺疊此表格展開此表格
設定需要允許 (預設值)
WCF 用戶端 (所有的端點)失敗運作方式運作方式
Internet Explorer 8運作方式運作方式運作方式
要在 Firefox 3.6失敗運作方式 運作方式
4.0.4 safari失敗運作方式 運作方式
Windows XP,如果沒有適當的更新
摺疊此表格展開此表格
設定需要允許 (預設值)
Internet Explorer 8運作方式運作方式運作方式
要在 Firefox 3.6失敗運作方式 運作方式
4.0.4 safari失敗運作方式 運作方式
如需有關驗證延伸保護 」 的詳細資訊,請參閱下列 Microsoft 資源:
968389 驗證延伸的保護
設定 AD fs 2.0 的進階的選項
如需有關設定 ADFSProperties指令程式的詳細資訊,請移至下列 Microsoft 網站:
設定 ADFSProperties

當登入 Office 365 使用識別身分同盟帳戶時,會迴圈認證提示視訊:

摺疊此圖像展開此圖像
assets video1
uuid =206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl =http://aka.ms/wqsfve
摺疊此圖像展開此圖像
assets video2

視訊: 聯盟的使用者是系統重複提示輸入認證並不能登入到 Office 365

摺疊此圖像展開此圖像
assets video1
uuid =3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl =http://aka.ms/lifluf
摺疊此圖像展開此圖像
assets video2

還是需要協助嗎?移至 Office 365 社群 網站或 Azure 的 Active Directory 論壇 網站。

本文中所討論的協力廠商產品並非由 Microsoft 製造。Microsoft 可讓任何擔保、 默示或其他有關的效能或這些產品的可靠性

屬性

文章編號: 2461628 - 上次校閱: 2014年7月9日 - 版次: 22.0
這篇文章中的資訊適用於:
  • Microsoft Azure
  • Microsoft Office 365
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Office 365 Identity Management
關鍵字:?
o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2461628
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com