Verbundbenutzer können keine Verbindung mit einem Exchange Online Postfach herstellen
Symptome
Ein Verbundbenutzer kann sich nicht über ein Smartphone in Exchange Online bei Microsoft Outlook oder bei Microsoft Exchange ActiveSync authentifizieren.
Ursache
Dieses Problem kann auftreten, wenn eine der folgenden Bedingungen zutrifft:
- Der Verbunddienst lokales Active Directory Federation Services (AD FS) 2.0 ist im öffentlichen Internet nicht verfügbar.
- Das SSL-Zertifikat (Secure Sockets Layer), das vom AD FS 2.0-Endpunkt verwendet wird, wird von einer Zertifizierungsstelle ausgestellt, die vom Exchange Online Rechenzentrum nicht als vertrauenswürdig eingestuft wird.
Der aktuelle Exchange Online-Endpunkt für Outlook verwendet die Standardauthentifizierung oder die Proxyauthentifizierung. Dies bedeutet, dass sich Outlook-Clients mithilfe der Standardauthentifizierung beim Outlook.com-Dienst authentifizieren. Wenn Outlook.com feststellt, dass der Benutzer ein Verbundbenutzer ist, wird die Standardauthentifizierung über SSL im Auftrag des Clients an den AD FS 2.0-Server des Benutzers übertragen. Diese Aktion authentifiziert den Benutzer lokal und fordert einen SAML-Anspruch (Security Assertion Markup Language) oder ein Zugriffstoken für den Benutzer an. Wenn ein öffentlich verfügbarer AD FS 2.0-Endpunkt nicht verfügbar ist, ist der Authentifizierungsprozess nicht erfolgreich, und dem Benutzer wird der Zugriff auf den Dienstendpunkt verweigert.
Verwenden Sie Microsoft Remote Connectivity Analyzer, um zu testen, ob der lokale AD FS 2.0-Verbunddienst Outlook-Anmeldeprobleme für Verbundbenutzer verursacht. Gehen Sie dazu wie folgt vor:
Wechseln Sie in internet Explorer zu Microsoft Remote Connectivity Analyzer.
Geben Sie die E-Mail-Adresse und die Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Bestätigung am unteren Rand der Seite, geben Sie den Prüfcode ein, und wählen Sie dann Test ausführen aus. Dieser Test sollte zweimal ausgeführt werden. Führen Sie den Test mit den folgenden Anmeldeinformationen aus:
- Ein Verbundkonto mit einem Postfach in Exchange Online
- Ein Standardbenutzerkonto mit einem Postfach in Exchange Online
Überprüfen Sie die Ergebnisse beider Tests, um zu ermitteln, ob AD FS 2.0 das Outlook-Anmeldeproblem verursacht.
Führen Sie einen Drilldown zum folgenden Knoten der Struktur "Testdetails" aus:
Testen der RPC/HTTP-Konnektivität
ExRCA versucht, die AutoErmittlung für zu testen.
john@contoso.com
Versuchen Sie, jede Methode zum Kontaktieren des AutoErmittlungsdiensts zu kontaktieren
Versuch, den AutoErmittlungsdienst mithilfe der HTTP-Umleitungsmethode zu kontaktieren
Versuch, eine POST-Anforderung der AutoErmittlung an potenzielle AutoErmittlungs-URLs zu senden
ExRCA versucht, die XML-AutoErmittlungsantwort von der URL
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml
für den Benutzer abzurufen.
Überprüfen Sie, ob die folgenden Bedingungen erfüllt sind:
- Das Verbundkonto kann nicht auf die AutoErmittlung zugreifen und erhält die Fehlermeldung "AUTORISIERTE HTTP 401-Antwort".
- Das Standardbenutzerkonto kann auf die AutoErmittlung zugreifen.
Wenn beide Bedingungen zutreffen, haben Sie bestätigt, dass SSO-Fehler dazu führen, dass die Outlook-Authentifizierung fehlschlägt.
Lösung 1: Verfügbarmachen des lokalen AD FS 2.0-Verbunddiensts für das Internet
Richten Sie einen AD FS 2.0-Verbundserverproxy für die lokale AD FS 2.0-Umgebung ein (oder richten Sie einen Firewall-Reverseproxy des AD FS 2.0-Verbunddiensts ein), der einmaliges Anmelden unterstützt, und veröffentlichen Sie den Proxy dann im Internet.
Lösung 2: Behandeln von Problemen mit dem AD FS 2.0-Proxyserver
Weitere Informationen zur Behandlung von Problemen mit dem AD FS 2.0-Proxyserver finden Sie unter Behandeln von Problemen mit der Ad FS-Endpunktverbindung, wenn sich Benutzer bei Microsoft 365, Intune oder Azure anmelden.
Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community-Website .
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für