Verbundbenutzer können keine Verbindung mit einem Exchange Online Postfach herstellen

Symptome

Ein Verbundbenutzer kann sich nicht über ein Smartphone in Exchange Online bei Microsoft Outlook oder bei Microsoft Exchange ActiveSync authentifizieren.

Ursache

Dieses Problem kann auftreten, wenn eine der folgenden Bedingungen zutrifft:

  • Der Verbunddienst lokales Active Directory Federation Services (AD FS) 2.0 ist im öffentlichen Internet nicht verfügbar.
  • Das SSL-Zertifikat (Secure Sockets Layer), das vom AD FS 2.0-Endpunkt verwendet wird, wird von einer Zertifizierungsstelle ausgestellt, die vom Exchange Online Rechenzentrum nicht als vertrauenswürdig eingestuft wird.

Der aktuelle Exchange Online-Endpunkt für Outlook verwendet die Standardauthentifizierung oder die Proxyauthentifizierung. Dies bedeutet, dass sich Outlook-Clients mithilfe der Standardauthentifizierung beim Outlook.com-Dienst authentifizieren. Wenn Outlook.com feststellt, dass der Benutzer ein Verbundbenutzer ist, wird die Standardauthentifizierung über SSL im Auftrag des Clients an den AD FS 2.0-Server des Benutzers übertragen. Diese Aktion authentifiziert den Benutzer lokal und fordert einen SAML-Anspruch (Security Assertion Markup Language) oder ein Zugriffstoken für den Benutzer an. Wenn ein öffentlich verfügbarer AD FS 2.0-Endpunkt nicht verfügbar ist, ist der Authentifizierungsprozess nicht erfolgreich, und dem Benutzer wird der Zugriff auf den Dienstendpunkt verweigert.

Verwenden Sie Microsoft Remote Connectivity Analyzer, um zu testen, ob der lokale AD FS 2.0-Verbunddienst Outlook-Anmeldeprobleme für Verbundbenutzer verursacht. Gehen Sie dazu wie folgt vor:

  1. Wechseln Sie in internet Explorer zu Microsoft Remote Connectivity Analyzer.

  2. Geben Sie die E-Mail-Adresse und die Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Bestätigung am unteren Rand der Seite, geben Sie den Prüfcode ein, und wählen Sie dann Test ausführen aus. Dieser Test sollte zweimal ausgeführt werden. Führen Sie den Test mit den folgenden Anmeldeinformationen aus:

    • Ein Verbundkonto mit einem Postfach in Exchange Online
    • Ein Standardbenutzerkonto mit einem Postfach in Exchange Online

    Screenshot der Seite

  3. Überprüfen Sie die Ergebnisse beider Tests, um zu ermitteln, ob AD FS 2.0 das Outlook-Anmeldeproblem verursacht.

    1. Führen Sie einen Drilldown zum folgenden Knoten der Struktur "Testdetails" aus:

      Testen der RPC/HTTP-Konnektivität

      • ExRCA versucht, die AutoErmittlung für zu testen. john@contoso.com

      • Versuchen Sie, jede Methode zum Kontaktieren des AutoErmittlungsdiensts zu kontaktieren

      • Versuch, den AutoErmittlungsdienst mithilfe der HTTP-Umleitungsmethode zu kontaktieren

      • Versuch, eine POST-Anforderung der AutoErmittlung an potenzielle AutoErmittlungs-URLs zu senden

      • ExRCA versucht, die XML-AutoErmittlungsantwort von der URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml für den Benutzer abzurufen.

        Screenshot des Postfachs mit SSO-Unterstützung und den Testergebnissen des Standardpostfachs.

    2. Überprüfen Sie, ob die folgenden Bedingungen erfüllt sind:

      • Das Verbundkonto kann nicht auf die AutoErmittlung zugreifen und erhält die Fehlermeldung "AUTORISIERTE HTTP 401-Antwort".
      • Das Standardbenutzerkonto kann auf die AutoErmittlung zugreifen.

    Wenn beide Bedingungen zutreffen, haben Sie bestätigt, dass SSO-Fehler dazu führen, dass die Outlook-Authentifizierung fehlschlägt.

Lösung 1: Verfügbarmachen des lokalen AD FS 2.0-Verbunddiensts für das Internet

Richten Sie einen AD FS 2.0-Verbundserverproxy für die lokale AD FS 2.0-Umgebung ein (oder richten Sie einen Firewall-Reverseproxy des AD FS 2.0-Verbunddiensts ein), der einmaliges Anmelden unterstützt, und veröffentlichen Sie den Proxy dann im Internet.

Lösung 2: Behandeln von Problemen mit dem AD FS 2.0-Proxyserver

Weitere Informationen zur Behandlung von Problemen mit dem AD FS 2.0-Proxyserver finden Sie unter Behandeln von Problemen mit der Ad FS-Endpunktverbindung, wenn sich Benutzer bei Microsoft 365, Intune oder Azure anmelden.

Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community-Website .