Fehler beim Einrichten einer anderen Verbunddomäne in Office 365, Azure oder Intune: Die im AD FS 2.0-Server angegebene Verbunddienst-ID wird bereits verwendet.
Dieser Artikel enthält Informationen zum Beheben eines Problems, bei dem Beim Ausführen des Befehls oder des Befehls mithilfe des New-MSOLFederatedDomainConvert-MSOLDomainToFederated Azure Active Directory-Moduls für Windows PowerShell eine Fehlermeldung angezeigt wird.
Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2618887
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.
Problembeschreibung
In einem Microsoft-Clouddienst wie Office 365, Microsoft Azure oder Microsoft Intune können Sie keine zweite Verbunddomäne auf einem AD FS-Server (Active Directory-Verbunddienste (AD FS)) einrichten. Wenn Sie das Azure Active Directory-Modul für Windows PowerShell verwenden, um den New-MSOLFederatedDomain Befehl oder den Convert-MSOLDomainToFederated Befehl auszuführen, erhalten Sie die folgende Fehlermeldung:
Der im Active Directory-Verbunddienste (AD FS) 2.0-Server angegebene Verbunddienstbezeichner wird bereits verwendet. Korrigieren Sie diesen Wert in der AD FS 2.0-Verwaltungskonsole, und führen Sie den Befehl erneut aus.
Ursache
Das Microsoft Entra-Authentifizierungssystem erfordert einen eindeutigen URI (Federation Brand Uniform Resource Identifier) für jede Verbunddomäne. Standardmäßig verwendet AD FS einen globalen Wert für alle Verbundvertrauensstellungen. Wenn Sie versuchen, eine zweite Domäne in einem Szenario zu erstellen, in dem bereits eine Verbundvertrauensstellung vorhanden ist, schlägt die Anforderung fehl, da der URI bereits verwendet wird.
Fehlerbehebung
Um das Problem zu beheben, müssen Sie den -supportmultipledomain Switch verwenden, um jede Domäne hinzuzufügen oder zu konvertieren, die mit dem Clouddienst verbunden ist. Dies schließt bereits vorhandene Verbunddomänen ein.
Schritt 1: Installieren von Updaterollup 1 für AD FS 2.0
Laden Sie auf jedem Knoten der AD FS 2.0-Verbunddienstfarm Updaterollup 1 für AD FS 2.0 herunter, und installieren Sie es. Weitere Informationen zum Herunterladen und Installieren von Updaterollup 1 für AD FS 2.0 finden Sie unter Beschreibung von Updaterollup 1 für Active Directory-Verbunddienste (AD FS) (AD FS) 2.0.
Hinweis
Dieses Update erfordert einen Neustart des Computers. Wenn Sie den Computer nicht neu starten, tritt das Problem "Leider haben wir Probleme bei der Anmeldung" und "8004789A" auf, wenn ein Verbundbenutzer versucht, sich bei Office 365, Azure oder Intune anzumelden.
Schritt 2: Überprüfen, ob der Update-MSOLFederatedDomain Befehl erfolgreich für die AD FS-Umgebung ausgeführt werden kann
Wählen SieAlle Programme>starten>Windows Azure Active Directory aus, klicken Sie mit der rechten Maustaste auf Windows Azure Active Directory-Modul für Windows PowerShell, und wählen Sie Als Administrator ausführen aus.
Führen Sie an der Eingabeaufforderung die folgenden Befehle in der Reihenfolge aus, in der sie angezeigt werden. Press Enter after each command.
Connect-MSOLServiceHinweis
Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen ihres globalen Clouddienstadministrators ein.
Set-MSOLADFSContext -Computer <AD FS 2.0 server name>Hinweis
In diesem Befehl <ist AD FS 2.0-Servername> der Computername eines Knotens in der AD FS-Verbunddienstfarm.
Update-MSOLFederatedDomain -DomainName <Federated Domain Name>Hinweis
In diesem Befehl <ist Verbunddomänenname> der Name der Domäne, die bereits mit Microsoft Entra ID für einmaliges Anmelden (Single Sign-On, SSO) verbunden ist.
Wenn der
Update-MSOLFederatedDomainBefehl erfolgreich ist und Sie keine Fehlermeldungen erhalten, fahren Sie mit Schritt 3 fort, um die Verbundvertrauensstellung vom AD FS-Server zu entfernen.
Schritt 3: Aktualisieren der Verbundvertrauensstellung auf dem AD FS-Server
Warnung
Die folgenden Schritte sollten sorgfältig geplant werden. Benutzer, für die SSO-Funktionen in der Verbunddomäne aktiviert sind, können sich zwischen Abschluss der Schritte C und D nicht authentifizieren. Wenn der Update-MSOLFederatedDomain Befehlstest in Schritt 2 nicht erfolgreich abgeschlossen wurde, wird Schritt D dieses Verfahrens nicht ordnungsgemäß abgeschlossen. Verbundbenutzer können sich erst authentifizieren, wenn der Update-MSOLFederatedDomain Befehl erfolgreich ausgeführt werden kann.
Melden Sie sich bei der Konsole des AD FS-Servers an, wählen SieAlle Programme>starten>Verwaltungstools und dann AD FS (2.0)-Verwaltung aus.
Wählen Sie im linken Navigationsbereich AD FS (2.0) aus, wählen Sie Vertrauensstellungen und dann Vertrauensstellungen der vertrauenden Seite aus.
Löschen Sie im Bereich auf der rechten Seite den Eintrag Microsoft Office 365 Identity Platform.
Erstellen Sie das gelöschte Vertrauensstellungsobjekt mithilfe des Schalters
-supportmultipledomainneu. Führen Sie im PowerShell-Fenster, das in Schritt 1C geöffnet ist, den folgenden Befehl aus, und drücken Sie dann die EINGABETASTE:Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
Hinweis
In diesem Befehl <ist Verbunddomänenname> der Name der Domäne, die bereits mit dem Clouddienst für SSO verbunden ist.
Schritt 4: Verwenden des Schalters -supportmultipledomain zum Hinzufügen oder Konvertieren zusätzlicher Verbunddomänen
Nachdem Sie die vorhandene Vertrauensstellung in Schritt 2 aktualisiert haben, verwenden Sie den Switch -supportmultipledomain, um zusätzliche Verbunddomänen hinzuzufügen oder zu konvertieren. Dieser Schalter informiert den Befehl, einen eindeutigen URI-Namespace für jede Domäne zu verwenden, die mit dem Clouddienst verbunden ist. Verwenden Sie dazu eine der folgenden Befehlssyntaxen:
New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain
Hinweis
In diesem Befehl stellt domänenname> den Namen der Domäne dar, <die Sie zu erstellen versuchen.
Problemumgehung
Implementieren Sie eine AD FS-Verbunddienstfarm, um einen Verbund aller Clouddienstdomänen zu bilden, für die SSO-Features verwendet werden. Anleitungen zur AD FS-Implementierung für Office 365 finden Sie im folgenden Artikel:
Schritt-für-Schritt-Implementierungsanleitung: Planen und Bereitstellen von Active Directory-Verbunddienste (AD FS) 2.0 für die Verwendung mit einmaligem Anmelden
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für