如何疑難排解電腦發出該限制 Office 365 單一登入驗證

文章編號: 2530713 - 檢視此文章適用的產品。
機器翻譯檢視機器翻譯免責聲明
本文將告訴您 Microsoft Office 365 」、 「 Microsoft Office 365 預覽和 「 Microsoft Office 365 預先升級。如已變更,恕不另行通知,則會提供 Office 365 預覽的相關資訊,包括任何連結,這份文件中。

無法確定何種版本的 Office 365 您自己使用嗎?前往下列 Microsoft 網站:
我使用頭戴式 Office 365 服務升級後??
(http://office.microsoft.com/redir/HA103982331.aspx)
全部展開 | 全部摺疊

問題

當您試著透過以 web 為基礎的用戶端或豐富型用戶端應用程式存取 Microsoft Office 365 資源利用聯盟的帳戶時,從特定用戶端電腦驗證便會失敗。

您可以使用網頁瀏覽器來使用聯盟的帳戶從同一部電腦來存取 Office 365 入口網站,您可能會遇到下列徵狀的其中一個:
  • 當您連線至 Office 365 的入口網站端點時,您會收到下列錯誤訊息之一:
    Internet Explorer 無法顯示網頁。
    找不到 403 的網頁
  • 當您連線至 Active Directory 同盟服務 (AD FS) 2.0 的端點時,您會收到下列錯誤訊息之一:
    Internet Explorer 無法顯示網頁
    找不到 403 的網頁
  • 您會收到憑證警告,當您連線到 AD FS 2.0 的端點。
  • 當您連線到 AD FS 2.0 的結束點您登入到公司網域時,您會收到單一認證提示。這項提示,輸入您的認證並不會使用表單架構驗證。
  • 當您連線到 AD FS 2.0 的結束點使用協力廠商的 web 瀏覽器時,您會收到重複循環的驗證提示。這些提示,請不要使用以表單架構驗證。
  • 當您連線至 login.microsoftonline.com 的端點時,您會收到下列錯誤訊息:
    存取被拒
回此頁最上方 | 提供意見

原因

通常,在用戶端電腦或一組用戶端裝置上,就會發生這個問題。如果單一登入 (SSO) 不是完全正常運作,可能會發生這個問題,所有的使用者和用戶端電腦。可能無法完全正常運作如果未能正確地實作 Office 365 用戶端設定 SSO。下列 Office 365 用戶端裝置的情況可能會造成這個問題:
  • 網路連線可能會受到限制。
  • 用戶端裝置接收不正確的名稱解析為 AD FS 2.0 同盟服務內部的 split-brain DNS 實作。
  • 如果 proxy 伺服器是內部網路的電腦上,AD FS 2.0 設定略同盟服務名稱可能不會新增至 proxy 過清單。
  • AD FS 2.0 同盟服務名稱可能無法新增至近端內部網路安全性區域,在 [網際網路選項 」 設定。
  • 用戶端電腦未通過驗證,以 Active Directory 網域服務。
  • 協力廠商的 web 瀏覽器並不支援延伸保護驗證到 AD FS 2.0 Federation service。
  • 聯盟的中繼資料端點都可能是因為 Office 365 beta 版的先前安裝 「 SSO 管理 」 工具的硬式編碼在登錄中。
  • 已停用特定的用戶端應用程式所需的必要的 AD FS 2.0 的服務端點。
在繼續之前,請確定下列條件皆成立:
  • 存取問題並不限於在用戶端電腦 rich client 應用程式。如果只有 (相對於瀏覽器為基礎的驗證) 的豐富型用戶端驗證無法運作,則可能表示豐富型用戶端驗證問題。比方說,它可能出在必要條件或是豐富型用戶端應用程式的組態問題。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    2637629
    (http://support.microsoft.com/kb/2637629/ )
    如何疑難排解電腦發出限制 Office 365 豐富型用戶端驗證
  • SSO 驗證並不會失敗,所有的 SSO 功能的使用者帳戶。如果所有 SSO 功能的使用者會都遇到相同的徵狀,則可能表示聯盟問題。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    2530569
    (http://support.microsoft.com/kb/2530569/ )
    在 [Office 365 的單一登入實作的疑難排解
回此頁最上方 | 提供意見
  • SSO 驗證的使用者帳戶就會成功,其他的用戶端電腦上。如果使用者帳戶無法登入任何 Office 365 用戶端,請參閱本文稍後的解決方法,供牽涉到用戶端電腦。此外,瀏覽不正確的使用者帳戶,而不是與用戶端電腦的可能性。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    2530590
    (http://support.microsoft.com/kb/2530590/ )
    如何疑難排解 Office 365 環境中的單一登入使用者帳戶問題
  • 用戶端電腦上的鍵盤運作正常,且使用者名稱和密碼,並在必要時,輸入的是正確。
回此頁最上方 | 提供意見

方案

若要疑難排解這個問題,請使用下列一或多個下列的方法,視問題的原因而定。

解決方式 1: 無法連線至 Office 365 入口網站,或是 AD FS 2.0

嘗試瀏覽 http://www.msn.com
(http://www.msn.com)
.如果無法解決問題,疑難排解網路連線問題。若要這樣做,請依照下列步驟執行:
  1. 在命令提示字元中,使用 ipconfig 以及 ping 如果要疑難排解 IP 連線能力的工具。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
    169790
    (http://support.microsoft.com/kb/169790/ )
    如何疑難排解基本的 TCP/IP 問題。
  2. 在命令提示字元中,輸入 nslookup www.msn.com 如果,要判斷 DNS 是否已解析網際網路伺服器的名稱。
  3. 請確定 [網際網路選項的 proxy 設定會反映適當的 proxy 伺服器,如果在 [區域網路使用 proxy 伺服器。
  4. 如果 Forefront 威脅管理閘道 (TMG) 防火牆已安裝的網路界限,防火牆會要求用戶端驗證,您可能必須安裝在用戶端裝置來存取網際網路上的 Forefront TMG 用戶端程式。此問題的協助,請連絡您的 Office 365 管理。

解決方法 2: 無法連線到 AD FS 2.0

若要解決這個問題,請依照下列步驟執行:
  1. IP 連線能力問題使用排除的解決方法 1。
  2. 在命令提示字元中,輸入 nslookup<AD fs="" 2.0="" fqdn=""></AD>然後按下 Enter,以判斷是否 DNS 是 AD FS 2.0 服務正確解析名稱。

    附註 這個命令中,<AD fs="" fqdn="">代表完整格式的網域名稱 (FQDN) 的 AD FS 2.0 的服務名稱。它並不代表 AD FS 伺服器的 Windows 主機名稱。</AD>
    1. 如果用戶端連接到公司網路上,請確定是否已經解決的 IP 位址, 私用的 IP 位址。IP 位址必須符合其中一種下列模式:
      • 10.x.x.x
      • 172.16。x.x
      • 192.168。x.x
    2. 如果用戶端是公司網路外部的請確定已經解決的 IP 位址是公用的 IP 位址。請確定它不會 符合其中一種下列模式:
      • 10.x.x.x
      • 172.16。x.x
      • 192.168。x.x
    3. 如果解析的 IP 位址不正確根據步驟 1 和步驟 2,且其他用戶端電腦沒有遇到相同的行為,請執行下列各項:
      1. 在命令提示字元中,輸入 ipconfig/全部然後檢查, 主要的 DNS 伺服器 項目是適用於用戶端所連接的網路。
      2. 在 [記事本] 中開啟 %windir%\system32\drivers\etc\hosts 檔案並移除任何項目作為 AD FS 2.0 FQDN。然後,儲存檔案。
      3. 在命令提示字元中,輸入 ipconfig /flushdns 若要清除 DNS 快取。
    附註 如果用戶端裝置只連接到公司網路上,請前往步驟 3。
  3. 加入 Proxy 略過清單中的 AD FS 2.0 FQDN。如果要這樣做,請依照下列文件的 「 Microsoft 知識庫 」 中的文:
    262981
    (http://support.microsoft.com/kb/262981/ )
    Internet Explorer 會使用本機 IP 位址的 proxy 伺服器即使已開啟 「 略過 Proxy 伺服器的本機位址 」 選項

當您連線到 AD FS 2.0 的結束點的解決方法 3: 憑證警告

若要解決這個問題,請使用下列的文件的 「 Microsoft 知識庫 」 中的文疑難排解安全通訊端層 (SSL) 憑證的問題:
2523494
(http://support.microsoft.com/kb/2523494/ )
當您使用的聯盟的帳戶存取 Office 365 web 資源時,從 AD FS 2.0 接收憑證警告

解決方法 4: 您收到的單一、 非預期的認證提示當您連線到公司網路的用戶端電腦登入

回此頁最上方 | 提供意見
若要解決這個問題,請依照下列步驟執行:
  1. 請確定用戶端電腦已成功地登入到網域。
    1. 按一下 啟動按一下 執行型別 %logonserver%\sysvol然後按一下 [確定].
    2. 如果認證提示出現時,請先登出,然後透過公司的認證再登入的上一步]。
  2. 加入 「 近端內部網路 」 區域中的 AD FS 2.0 FQDN。
    1. 在上 安全性 索引標籤上按一下 近端內部網路然後按一下 站台.
    2. 按一下 進階然後檢查 網站 AD FS 2.0 的服務端點的完全符合規定的 DNS 名稱 (例如,列表 sts.contoso.com).

      附註例如萬用字元值"*。 consoto.com"將能在這種設定。
  3. 加入 Proxy 略過清單中的 AD FS 2.0 FQDN。如果要這樣做,請依照下列文件的 「 Microsoft 知識庫 」 中的文:
    262981
    (http://support.microsoft.com/kb/262981/ )
    Internet Explorer 會使用本機 IP 位址的 proxy 伺服器即使已開啟 「 略過 Proxy 伺服器的本機位址 」 選項

解決方法 5: 協力廠商的 web 瀏覽器不支援延伸保護進行驗證,並且您會收到重複循環的驗證提示

若要解決這個問題,請依照下列步驟執行:
  1. 請使用 [Windows Internet Explorer (Internet Explorer 支援驗證延伸保護),而不是協力廠商的 web 瀏覽器,並不支援驗證延伸保護。
  2. 如果使用 Internet Explorer 不可行,使用下列 「 Microsoft 知識庫 」 文件設定為接受從並不支援驗證延伸保護的網頁瀏覽器的要求的 AD FS 2.0:
    2461628
    (http://support.microsoft.com/kb/2461628/ )
    聯盟的使用者會重複提示輸入認證當他或她連線到 AD FS 2.0 的服務端點在 Office 365 登入期間

解決方法 6: 「 拒絕存取 」 錯誤訊息當您嘗試連線到 login.microsoftonline.com

重要本節將告訴您如何修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756
(http://support.microsoft.com/kb/322756/ )
如何備份及還原 Windows 中的登錄
如果由 AD FS 2.0 的 Office 365 SSO 的結束點不是有效的就可能發生問題。確定聯盟端點不硬式編碼在登錄中的每一部伺服器在 AD FS 2.0 同盟服務陣列。

若要解決這個問題,使用登錄編輯程式 」 刪除下列登錄子機碼:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS 2.0 會改為使用正確的端點,根據 SSO 仰賴合作對象信任。

解決方法 7: 重設已停用 AD FS 2.0 服務結束點] 設定設為預設組態

如需有關如何執行這項操作的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
2712957
(http://support.microsoft.com/kb/2712957/ )
變更 AD FS 2.0 中的 AD FS 2.0 的服務端點設定之後,Office 365 失敗的驗證 SSO 管理主控台
回此頁最上方 | 提供意見

更多資訊

移難排解的 SSO 登入問題,office 365 的用戶端組態問題所造成的視訊:

摺疊此圖像展開此圖像
uuid =56374428-0b40-4417-aca3-c6be5539507c VideoUrl =http://aka.ms/ewfklk
(http://aka.ms/ewfklk)
摺疊此圖像展開此圖像
回此頁最上方 | 提供意見
還是需要協助嗎?請移至 Office 365 社群
(http://community.office365.com/)
網站。
回此頁最上方 | 提供意見

屬性

文章編號: 2530713 - 上次校閱: 2013年3月11日 - 版次: 19.0
這篇文章中的資訊適用於:
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Office 365 Enterprise preview
  • Windows Azure Active Directory
關鍵字:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbmt KB2530713 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:2530713
(http://support.microsoft.com/kb/2530713/en-us/ )
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方