如何使用 微软在线服务 Diagnostics and Logging (MOSDAL) 支持工具包 诊断 Office 365 中的单一登录 (SSO) 问题

文章翻译 文章翻译
文章编号: 2598459 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

微软在线服务 Diagnostics and Logging (MOSDAL) 支持工具包 包含数据集合包,可帮助您分析 活动目录的联合身份验证服务 (AD FS) 2.0 的基础结构、 用户帐户的准备工作,以及 Microsoft Office 365 联合身份验证信任。这种分析可用于帮助解决 Office 365 单一登录 (SSO) 的问题。本文包含有关如何解释为 AD 的诊断信息的信息 FS 2.0 身份验证,并为提供了 MOSDAL 支持工具包 的 SSO。

过程

任何 Office 365 SSO 通讯的数据流都是可预测的。若要确定哪些问题可能发生在 SSO 过程,可用于捕获比较预期的数据流量模式与数据流在 SSO 尝试失败时发生。AD FS 2.0 身份验证的 MOSDAL 支持工具包 的诊断功能使您可以捕获和比较这种类型的数据。可以使用此信息来诊断 SSO 和标识联合身份验证问题。

如何安装 MOSDAL 支持工具包

要下载并安装 MOSDAL 支持 Toolkit,请访问下面的 Microsoft 网站:
http://www.microsoft.com/en-us/download/details.aspx?id=626

如何收集 AD FS 2.0 验证诊断信息

若要使用 MOSDAL 支持工具包 收集 AD FS 2.0 诊断信息,请按照下列步骤操作:
  1. 开始 MOSDAL 支持 Toolkit。要执行此操作,请单击 MOSDAL 支持工具包 桌面快捷方式。或者,单击开始,指向所有程序,单击Mosdal 支持工具包,然后单击MOSDAL 支持工具包
  2. 运行 MOSDAL 支持 Toolkit,从 Office 365 提供服务的列表中选择使用 活动目录(AD) 联合身份验证服务的单一登录复选框,然后单击下一步

    收起这个图片展开这个图片
    欢迎使用 MOSDAL 页面的屏幕快照
  3. 当系统提示您输入您的凭据时,输入您的用户 ID 或签入地址,然后单击下一步。密码不会保存,并且只用于模拟一个身份验证请求并将结果记录。

    收起这个图片展开这个图片
    输入凭据页的屏幕抓图
  4. 重现此问题,然后单击下一步

    收起这个图片展开这个图片
    重现问题的页面的屏幕抓图
  5. 完成诊断后,单击退出和显示文件
  6. 报告完成后,请在文档库中找到 MOSDALREPORT.zip 文件。在 MOSDALReport.zip 文件中,打开 DataCollectionADFS 文件夹,然后打开 AdfsDiagnostics.txt 文件。

如何读取 AD FS 2.0 身份验证诊断程序报告

AD FS 2.0 身份验证诊断程序报告包括以下四个部分。我们建议您阅读该报表从顶部向下。也就是说,开始阅读该报告在第一节,然后继续下一节。如果某一节中列出的原因不能提供足够的信息来诊断问题,进行调查下一节,查看更多详细的信息的相关的区域。
  • 目录

    此部分包含测试结果看一眼即可了解的分析。它列出如下:
    • 已运行和其常规的结果 (通过或失败) 的高级别测试
    • 每个测试的失败,可能会导致失败的问题
    • 无论客户端访问 AD FS 2.0 从内部还是从企业网络外部的
    • 收集的附件名称
  • 控制台输出

    本部分包含已运行的测试的更彻底分解。如果目录部分中的数据没有提供足够的详细信息,查看有关以下的更详细信息的控制台输出部分:
    • 表格的内容一节中列出的每个测试中所执行的各个步骤的细目分类
    • 每个测试步骤 (通过或失败) 的特定结果
    • 每个步骤失败,可能会导致失败的问题
  • 测试跟踪

    本部分包含跟踪级别运行的测试的详细信息。如果在控制台输出中的数据没有提供足够的详细信息,请检查测试跟踪部分中了解更详细的信息。
  • 附件

    本部分包含重要的环境状态和设置数据,以帮助您分析和确定各种故障状态的可能原因。通用所收集的数据包括:
    • 从客户端收集的用户环境数据
    • 执行测试时所用的凭据
    • 组织命名空间注册数据收集从 Office 365 元数据交换 (MEX) 文档 (拉从 AD FS 2.0 服务终结点)
    • AD FS 2.0 HTTP 响应
    • AD FS 2.0 令牌安全响应 (包括安全断言标记语言 [SAML] 索赔信息)
    • Microsoft Azure 活动目录(AD) (Azure AD) 安全令牌的响应

如何跟进原因的建议

下表列出了最常见的原因,广告的输出中所建议的测试和失败的步骤的 FS 2.0 身份验证诊断程序报告。

注意这些只是建议。您应该调查并确定一项行动计划来解决此问题之前,请验证该问题的原因。
收起该表格展开该表格
测试-002: 验证 Microsoft Office 365 提供身份验证系统的组织命名空间注册
数据记录: 故障源的常见原因原因 / 说明文章引用
无法访问 Office 365 提供身份验证系统的登录 URL。Azure AD 身份验证系统不可访问。2707380
无法访问 Microsoftonline.com。Azure AD 身份验证不是在 DNS 解析。2707331
不没有使用 Office 365 的身份验证系统注册的任何用户名/密码身份验证端点。Azure AD 身份验证系统未反映出 AD FS 2.0 注册的用户名或密码的终结点。2707359
没有有效的元数据交换 (MEX) URL 注册使用 Office 365 的身份验证系统。Azure AD 身份验证系统未反映出 AD FS 2.0 注册 MEX 终结点。2707365
没有使用 Office 365 的身份验证系统注册的 web 应用程序登录 URL。Azure AD 身份验证系统未反映出 AD FS 2.0 注册/adfs/ls 终结点。2707358
{} 域不是联盟的域。指定的域不被登记为联合使用 Azure AD 身份验证系统。2707357
用户 {0}} 未被识别的 Office 365 的身份验证系统。Azure AD 身份验证系统中,用户 Id 的名称不是有效的标识。2707367
AD FS 令牌签名证书不是有效的。AD FS 2.0 注册 Azure AD 身份验证系统显示 AD FS 2.0 令牌签名证书为无效。2707368
组织命名空间注册信息不能从 Office 365 的身份验证系统。指定的域不被注册 Azure AD 身份验证系统。2707333

收起该表格展开该表格
测试-003: 验证元数据交换 (MEX) 文档可从联合身份验证服务器
数据记录: 故障源的常见原因原因 / 说明文章引用
在 AD FS MEX 文档中没有的服务。AD FS 2.0 MEX 数据没有公布任何服务。2707344
AD FS MEX 文档不包含 SecurityTokenService 部分。AD FS 2.0 MEX 数据已损坏。2707345
在 AD FS MEX 文档没有安全令牌服务描述。AD FS 2.0 MEX 数据已损坏。2707346
Windows 集成身份验证终结点是由联合服务器发布 MEX 文档中缺少的。AD FS 2.0 集成 Windows 身份验证终结点被停用。2707356
没有 WS 信任 Windows 端点发布 MEX 文档中。AD FS 2.0 WS 信任终结点被停用。2707339
用户名/密码身份验证终结点是由联合服务器代理发布 MEX 文档中缺少的。AD FS 2.0 用户名终结点或 AD FS 2.0 密码终结点被停用。2707355
在 AD FS MEX 文档中没有任何终结点。AD FS 2.0 MEX 数据没有公布任何服务终结点。2707344
WS 信任终结点为 Windows 集成身份验证在 AD FS MEX 文档不会与使用 Office 365 的身份验证系统注册的终结点相匹配。AD FS 2.0 IWA 服务终结点已更改,但没有更新其注册 Azure AD 身份验证系统。2707379

收起该表格展开该表格
测试-004: 验证联合元数据可从联合身份验证服务器
数据记录: 故障源的常见原因原因 / 说明文章引用
无法从 AD FS 中检索联合元数据文档。AD FS 2.0 联合元数据端点不可用,或无法联系。2707335
接收从 AD FS 的元数据交换 (MEX) 文档包含未知的 WS 信任版本。WS 信任版本不正确 Microsoft 联机单一登录 (SSO)。2707348

收起该表格展开该表格
测试-005: 验证 web 应用程序登录到 AD FS 使用 Windows 集成身份验证 (IWA 的被动)
测试-006: 验证到 AD FS 的 web 应用程序登录使用的用户名/密码身份验证 (FBA 的被动)
测试-007: 验证通过使用用户名/密码身份验证 (基本适用于多) 的胖客户端应用程序登录
测试-008: 验证通过使用 Windows 集成身份验证 (IWA 的富) 的胖客户端应用程序登录
数据记录: 故障源的常见原因原因 / 说明文章引用
在登录尝试时出现异常错误。在广告期间遇到故障 FS 2.0 身份验证。2707338
从 AD FS 收到无标记。身份验证之后,AD FS 2.0 未发出 SAML 令牌。2707340
接收到的 AD FS 标记不是 t 有效期至 {0}。相比于本地计算机时钟显示过期的 SAML 令牌被来自 AD FS 2.0。2707376
按照这台计算机的时钟,AD FS 令牌已过期。相比于本地计算机时钟显示过期的 SAML 令牌被来自 AD FS 2.0。2707377
AD FS 令牌的有效期是太短。AD FS 2.0 令牌的有效期设置为少于五分钟。2707378
在试图验证 web 应用程序登录到 AD FS,工具意外收到用户名/密码登录页从联合身份验证服务器。当您连接到 AD FS 2.0 联合身份验证服务,并应 IWA 体验遇到 FBA 验证页。2707342

收起该表格展开该表格
测试-009: 使用 AD FS 颁发的令牌进行验证到 Office 365 的胖客户端应用程序登录
测试-010: 使用 AD FS 颁发的令牌进行验证到 Office 365 的 web 应用程序登录
数据记录: 故障源的常见原因原因 / 说明文章引用
无标记收到从 Office 365 提供身份验证系统。Azure AD 身份验证系统无法处理的 AD FS 2.0 SAML 令牌并不能发出基于云的身份响应。2707341

怎样才算 MOSDAL 指示没有错误,但 SSO 问题依然存在

Office 365 提供客户端计算机应急能力的某些方面被仿真诊断的例程。因为它们模拟测试,输出不会失败,在这些方面与 SSO 问题的原因所在的区域。因此,在 AD FS 2.0 诊断会完全在 SSO,仍然出现问题,然后成功的领域,问题可能与下列情况之一:
  • AD FS 2.0 联合身份验证服务名称不能添加到本地 intranet 安全区域在 Internet Explorer 中。
  • 如果代理服务器部署中,AD FS 2.0 联合身份验证服务名称可能不会被添加到代理忽略列表。
  • Microsoft 在线服务登录助手可能未安装在客户端设备上。
  • 某些第三方应用程序需要扩展的保护为身份验证被禁用对 AD FS 2.0 联合身份验证服务。
有关如何解决这些问题的详细信息,请参阅下面的 Microsoft 知识库文章:
2530713通过使用单一登录方式进行登录到 Office 365、 Azure 或 Windows Intune 从某些设备不能正常工作

此外,该问题可能与中的客户端没有正确的富客户端功能有关的所有必需的更新问题。请确保满足所有的 Office 365 提供客户端系统必备组件。有关详细信息,请参阅下面的 Microsoft 知识库文章:
2637629如何解决非浏览器的应用程序不能登录到 Office 365、 Azure 或 Windows Intune

详细信息

仍需要帮助吗?请转到 Office 365 社区 网站。

属性

文章编号: 2598459 - 最后修改: 2014年6月25日 - 修订: 25.0
这篇文章中的信息适用于:
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Office 365 Identity Management
关键字:?
o365 mosdal4.5 o365a o365e kbgraphxlink o365m o365062011 pre-upgrade o365022013 after upgrade kbgraphic kbmt KB2598459 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2598459
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com