如何使用 Microsoft Online Services 診斷和記錄 (MOSDAL) 的支援工具組來診斷中 Office 365 的單一登入 (SSO) 問題

文章翻譯 文章翻譯
文章編號: 2598459 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

Microsoft Online Services 診斷和記錄 (MOSDAL) 的支援工具組包含的資料收集封裝,可協助您分析 Active Directory 同盟服務 (AD FS) 2.0 基礎結構、 使用者帳戶準備,以及 Microsoft Office 365 同盟信任。您可以使用這項分析,以協助疑難排解 Office 365 單一登入 (SSO) 的問題。本文包含有關如何解譯廣告的診斷資訊的資訊 FS 2.0 驗證,以及所提供的 MOSDAL 支援工具組的 SSO。

程序

資料的任何 Office 365 SSO 通訊流程是可預測的。如果要判斷哪些問題可能發生在 SSO 程序期間,您可以使用擷取來比較失敗的 SSO 嘗試期間發生的資料流的預期的資料流量模式。AD FS 2.0 驗證 MOSDAL 支援工具組的診斷功能可讓您擷取並比較這類的資料。您可以使用這項資訊來診斷 SSO 和識別聯盟問題。

如何安裝 MOSDAL 支援工具組

若要下載並安裝 MOSDAL 支援工具組,請移至下列 Microsoft 網站:
http://support.microsoft.com/kb/960625

如何收集 AD FS 2.0 驗證診斷資訊

若要使用 MOSDAL 支援工具組來收集 AD FS 2.0 診斷資訊,請依照下列步驟執行:
  1. 開始 MOSDAL 支援工具組。若要這樣做,請按一下 [MOSDAL 支援工具組的桌面捷徑]。或者,按一下 [開始]、 指向 [所有程式、 按一下 [ Mosdal 支援工具組,,然後按一下MOSDAL 支援工具組
  2. 執行 MOSDAL 支援工具組,從 Office 365 服務的清單中選取單一登入使用 Active Directory 同盟服務] 核取方塊,然後按一下 [下一步]

    摺疊此圖像展開此圖像
    螢幕擷取畫面的歡迎使用 MOSDAL 頁面
  3. 當系統提示您輸入您的認證時,輸入您的使用者識別碼或登入地址,然後按一下 [下一步]。您的密碼不會儲存,並只用來模擬驗證嘗試,並記錄結果。

    摺疊此圖像展開此圖像
    輸入認證] 頁面的螢幕擷取畫面
  4. 重現問題,然後再按一下 [下一步]

    摺疊此圖像展開此圖像
    重現問題頁面的螢幕擷取畫面
  5. 當完成診斷,請按一下 [編輯] 和 [顯示檔案
  6. 報表完成時,找出 MOSDALREPORT.zip 檔案中的文件庫。在 MOSDALReport.zip 檔案中,開啟 [DataCollectionADFS] 資料夾,然後開啟 AdfsDiagnostics.txt 檔案。

如何讀取 AD FS 2.0 驗證診斷報告

AD FS 2.0 驗證診斷報告是由下列四個區段所組成。我們建議您閱讀報告從上向下。也就是開始閱讀第一節的報表,然後繼續下一節。如果一節中所列的原因不提供足夠資訊來診斷問題,請調查的下一節,若要檢視更詳細的資訊相關的區域。
  • 目錄中

    本節包含一眼在-分析測試結果。它會列出以下內容:
    • 執行以及它們一般的結果 (成功或失敗) 的高階測試
    • 對於每個測試失敗,可能會造成失敗的問題
    • 是否用戶端存取 AD FS 2.0 從內部或從公司網路外部的
    • 所收集的附件名稱
  • 主控台輸出

    本節包含更徹底的測試執行的分析。如果目錄] 區段中的資料並不會提供足夠的細節,請檢視下列相關的更細微資訊的主控台輸出區段:
    • 列出在 [目錄] 區段中的每個測試中執行的個別步驟的分析
    • 每個測試步驟 (「 通過 」 或 「 失敗 」) 的特定結果
    • 每個步驟失敗,可能會造成失敗的問題
  • 測試追蹤

    本章節包含測試執行的追蹤層級詳細的資料。如果主控台輸出中的資料沒有提供足夠的細節,請檢查測試追蹤一節,以更詳細的資訊。
  • 附件

    本章節包含寶貴的環境狀態和設定資料來協助您分析,並判斷各種不同的失敗狀態的可能原因。所收集的常見資料包含下列內容:
    • 從用戶端收集到的使用者環境資料
    • 測試所用的認證
    • 從 Office 365 中繼資料交換 (MEX) 文件 (取自 AD FS 2.0 的服務端點) 蒐集的組織命名空間註冊資料
    • AD FS 2.0 HTTP 回應
    • AD FS 2.0 安全性語彙基元回應 (包括安全性判斷提示的標記語言 [SAML] 宣告資訊)
    • Microsoft Azure Active Directory (Azure 廣告) 的安全性語彙基元回應

如何待原因的建議

下表列出最常見的廣告的輸出所建議的原因 FS 2.0 驗證診斷報告測試和失敗的步驟。

附註這些是僅建議。您應該調查,並判斷行動計劃?解決這個問題之前,請先確認問題的原因。
摺疊此表格展開此表格
測試-002: 確認 Microsoft Office 365 驗證系統組織的命名空間註冊
記錄資料: 常見原因的錯誤來源原因 / 說明文件參考
無法存取 Office 365 驗證系統登入 URL。Azure AD 驗證系統就無法存取。2707380
無法存取 Microsoftonline.com。Azure AD 驗證不是在 DNS 中解決。2707331
沒有使用 Office 365 驗證系統登錄任何使用者名稱/密碼驗證端點。Azure AD 驗證系統並不會反映 AD FS 2.0 註冊的使用者名稱或密碼的端點。2707359
沒有任何有效的中繼資料交換 (MEX) URL 由使用 Office 365 驗證系統登錄。Azure AD 驗證系統並不會反映 AD FS 2.0 註冊的 MEX 端點。2707365
使用 Office 365 驗證系統登錄沒有 web 應用程式登入的 URL。Azure AD 驗證系統並不會反映 AD FS 2.0 登錄/adfs/ls 端點。2707358
網域不是聯盟的網域。指定的網域不被註冊為 Azure 的 AD 驗證系統的聯盟。2707357
使用者 {} 無法識別由 Office 365 驗證系統。名稱使用者識別碼 Azure AD 驗證系統中沒有有效的識別。2707367
AD FS 權杖簽署憑證不是有效的。AD FS 2.0 註冊與 Azure AD 驗證系統顯示 AD FS 2.0 權杖簽署憑證為無效。2707368
無法從 Office 365 驗證系統中取得組織命名空間註冊資訊。指定的網域不是系統註冊的 Azure AD 驗證。2707333

摺疊此表格展開此表格
測試-003: 請確認可以從同盟伺服器中擷取中繼資料交換 (MEX) 文件
記錄資料: 常見原因的錯誤來源原因 / 說明文件參考
AD FS MEX 文件中有任何服務。AD FS 2.0 MEX 資料不能通告任何服務。2707344
AD FS MEX 文件並未包含 SecurityTokenService 一節。AD FS 2.0 MEX 資料已損毀。2707345
沒有安全性語彙基元服務描述 AD FS MEX 文件中。AD FS 2.0 MEX 資料已損毀。2707346
遺漏 MEX 文件所發佈的同盟伺服器從 Windows 整合式驗證端點。AD FS 2.0 整合式 Windows 驗證端點是停用。2707356
沒有 Ws-trust Windows 端點便會發行 MEX 文件中。AD FS 2.0 Ws-trust 端點是停用。2707339
從發行的同盟伺服器 proxy MEX 文件遺漏使用者名稱/密碼驗證端點。AD FS 2.0 的使用者名稱端點或 AD FS 2.0 密碼端點停用。2707355
AD FS MEX 文件中沒有結束點。AD FS 2.0 MEX 資料不能通告任何服務的端點。2707344
Ws-trust 結束點來進行 Windows 整合式驗證,AD FS MEX 文件中的不符合使用 Office 365 驗證系統註冊的端點。AD FS 2.0 IWA 服務端點已變更,但卻不能更新其註冊與 Azure AD 驗證系統。2707379

摺疊此表格展開此表格
測試-004: 確認聯盟中繼資料可以取自同盟伺服器
記錄資料: 常見原因的錯誤來源原因 / 說明文件參考
無法從 AD FS 中擷取聯盟中繼資料文件。AD FS 2.0 聯盟中繼資料端點無法使用,或無法連絡。2707335
接收到來自 AD FS 的中繼資料交換 (MEX) 文件中包含未知的 Ws-trust 版本。Ws-trust 版本不正確的 Microsoft 線上單一登入 (SSO)。2707348

摺疊此表格展開此表格
測試-005: 使用 Windows 整合式驗證 (如被動 IWA) 驗證 web 應用程式的登入到 AD FS
測試-006: 驗證 web 應用程式的登入到 AD FS 藉由使用使用者名稱/密碼驗證 (FBA 的被動)
測試-007: 確認豐富型用戶端應用程式的登入所使用的使用者名稱/密碼認證 (基本,使用豐富型)
測試-008: 請確認藉由使用 Windows 整合式驗證 (如 Rtf IWA) 的豐富型用戶端應用程式登入
記錄資料: 常見原因的錯誤來源原因 / 說明文件參考
嘗試登入期間發生例外狀況錯誤。失敗時發生 AD FS 2.0 驗證。2707338
從 AD FS 收到沒有語彙基元。在驗證之後,AD FS 2.0 未發行的 SAML 語彙基元。2707340
接收到的 AD FS 語彙基元不是 t 的有效期限直到 {0}。從 AD FS 2.0 收到時,會出現後年比較本機電腦時鐘的 SAML 語彙基元。2707376
AD FS 語彙基元過期根據這台電腦的時鐘。出現已過期,它是相較於本機電腦時鐘的 SAML 語彙基元被來自 AD FS 2.0。2707377
AD FS 語彙基元的有效期間是太短。AD FS 2.0 的語彙基元有效期間設定為少於五分鐘。2707378
在過程中嘗試驗證 web 應用程式的登入到 AD FS,工具意外地從同盟伺服器收到使用者名稱與密碼登入頁面。您連線到 AD FS 2.0 同盟服務,並預期 IWA 經驗時,發現 FBA 驗證頁面。2707342

摺疊此表格展開此表格
測試-009: 使用語彙基元所發出的 AD FS 驗證到 Office 365 的豐富型用戶端應用程式登入
測試-010: 使用語彙基元所發出的 AD FS 驗證 web 應用程式的登入到 Office 365
記錄資料: 常見原因的錯誤來源原因 / 說明文件參考
從 Office 365 驗證系統收到沒有語彙基元。Azure AD 驗證系統無法處理的 AD FS 2.0 SAML 語彙基元,並無法發出定域機組為基礎的身分識別回應。2707341

是什麼意思 MOSDAL 表示沒有錯誤但 SSO 問題仍然存在時

Office 365 用戶端電腦準備情形的某些方面會模擬診斷的常式。它們會模擬測試,因為輸出不會在這些方面的 SSO 問題的原因所在的區域中會失敗。因此,在完全與 SSO 問題仍然發生,AD FS 2.0 診斷會成功的地方,問題可能與下列其中一項:
  • AD FS 2.0 同盟服務名稱可能不會新增到在 Internet Explorer 中 「 近端內部網路安全性區域。
  • 如果 proxy 伺服器部署時,AD FS 2.0 同盟服務名稱不可以加入 proxy 繞道清單。
  • 在用戶端裝置時,可能未安裝 Microsoft 線上服務登入小幫手。
  • 某些協力廠商應用程式需要在 AD 上停用的驗證延伸保護 」 FS 2.0 同盟服務。
如需有關如何疑難排解這些問題的詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
2530713使用單一登入登入 Office 365、 Azure,或 Windows Intune 從有些裝置無法運作

此外,問題可能會與的問題相關的用戶端沒有正確的豐富型用戶端功能,所有必要的更新。請確定已符合所有的 Office 365 用戶端先決條件。如需詳細資訊,請參閱下列 「 Microsoft 知識庫 」 文件:
2637629如何疑難排解無法登入 Office 365、 Azure 或 Windows Intune 的非瀏覽器應用程式

更多資訊

還是需要協助嗎?移至 Office 365 社群 網站。

屬性

文章編號: 2598459 - 上次校閱: 2014年7月9日 - 版次: 26.0
這篇文章中的資訊適用於:
  • Office 365 Identity Management
關鍵字:?
o365 mosdal4.5 o365a o365e kbgraphxlink o365m o365022013 kbgraphic kbmt KB2598459 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:2598459
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com