Errore quando si tenta di configurare un altro dominio federato in Office 365, Azure o Intune: l'identificatore del servizio federativo specificato nel server AD FS 2.0 è già in uso
Questo articolo fornisce informazioni sulla risoluzione di un problema in cui viene visualizzato un messaggio di errore durante l'esecuzione del New-MSOLFederatedDomain
comando o del comando tramite il Convert-MSOLDomainToFederated
modulo Azure Active Directory per Windows PowerShell.
Versione originale del prodotto: Servizi cloud (Ruoli Web/Ruoli di lavoro), Microsoft Entra ID, Microsoft Intune, Backup di Azure, Gestione delle identità di Office 365
Numero KB originale: 2618887
Nota
I moduli PowerShell di Azure AD e MSOnline saranno deprecati a partire dal 30 marzo 2024. Per ulteriori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile effettuare la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per le domande più comuni sulla migrazione, consultare Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.
Sintomi
In un servizio cloud Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune, non è possibile configurare un secondo dominio federato in un server Active Directory Federation Services (AD FS). Quando si usa il modulo Azure Active Directory per Windows PowerShell per eseguire il New-MSOLFederatedDomain
comando o il Convert-MSOLDomainToFederated
comando, viene visualizzato il messaggio di errore seguente:
L'identificatore del servizio federativo specificato nel server Active Directory Federation Services 2.0 è già in uso. Correggere questo valore nella console di gestione di AD FS 2.0 ed eseguire di nuovo il comando.
Causa
Il sistema di autenticazione Microsoft Entra richiede un URI (Federation Brand Uniform Resource Identifier) univoco per ogni dominio federato. Per impostazione predefinita, AD FS usa un valore globale per tutti i trust federati. Quando si tenta di federatare un secondo dominio in uno scenario in cui esiste già un trust federato, la richiesta ha esito negativo perché l'URI è già in uso.
Risoluzione
Per risolvere il problema, è necessario usare l'opzione -supportmultipledomain
per aggiungere o convertire ogni dominio federato dal servizio cloud. Sono inclusi i domini federati già esistenti.
Passaggio 1: Installare l'aggiornamento cumulativo 1 per AD FS 2.0
In ogni nodo della farm del servizio federativo AD FS 2.0 scaricare e installare l'aggiornamento cumulativo 1 per AD FS 2.0. Per altre informazioni su come scaricare e installare l'aggiornamento cumulativo 1 per AD FS 2.0, vedere Descrizione dell'aggiornamento cumulativo 1 per Active Directory Federation Services (AD FS) 2.0.
Nota
Questo aggiornamento richiede un riavvio del computer. Se non si riavvia il computer, si verificherà il problema "Spiacenti, ma si verificano problemi di accesso" e "8004789A" quando un utente federato tenta di accedere a Office 365, Azure o Intune.
Passaggio 2: Verificare che il Update-MSOLFederatedDomain
comando possa essere eseguito correttamente nell'ambiente AD FS
Selezionare Avvia>tutti i programmi>Windows Azure Active Directory, fare clic con il pulsante destro del mouse sul modulo Windows Azure Active Directory per Windows PowerShell e scegliere Esegui come amministratore.
Al prompt dei comandi eseguire i comandi seguenti nell'ordine in cui vengono presentati. Premere INVIO dopo ogni comando.
Connect-MSOLService
Nota
Quando richiesto, immettere le credenziali di amministratore globale del servizio cloud.
Set-MSOLADFSContext -Computer <AD FS 2.0 server name>
Nota
In questo comando, <il nome> del server AD FS 2.0 è il nome del computer di un nodo nella farm del servizio federativo AD FS.
Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
Nota
In questo comando Nome <di dominio> federato è il nome del dominio già federato con Microsoft Entra ID per l'accesso Single Sign-On (SSO).
Se il
Update-MSOLFederatedDomain
comando ha esito positivo e non vengono visualizzati messaggi di errore, andare al passaggio 3 per rimuovere l'attendibilità federata dal server AD FS.
Passaggio 3: Aggiornare l'attendibilità federata nel server AD FS
Avviso
I passaggi seguenti devono essere pianificati con attenzione. Gli utenti per i quali è abilitata la funzionalità SSO nel dominio federato non potranno eseguire l'autenticazione tra il completamento dei passaggi C e D. Se il test del comando nel passaggio 2 non è stato completato correttamente, il Update-MSOLFederatedDomain
passaggio D di questa procedura non verrà completato correttamente. Gli utenti federati non saranno in grado di eseguire l'autenticazione fino a quando il Update-MSOLFederatedDomain
comando non può essere eseguito correttamente.
Accedere alla console del server AD FS, selezionare Avvia>tutti i programmi>strumenti di amministrazione e quindi AD FS (2.0) Management.
Nel riquadro di spostamento a sinistra selezionare AD FS (2.0), selezionare Relazioni di trust e quindi selezionare Attendibilità relying party.
Nel riquadro a destra eliminare la voce Microsoft Office 365 Identity Platform.
Ricreare l'oggetto trust eliminato usando l'opzione
-supportmultipledomain
. Nella finestra di PowerShell aperta dal passaggio 1C eseguire il comando seguente e quindi premere INVIO:Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
Nota
In questo comando Nome <di dominio> federato è il nome del dominio già federato con il servizio cloud per l'accesso SSO.
Passaggio 4: Usare il -supportmultipledomain
commutatore per aggiungere o convertire domini federati aggiuntivi
Dopo aver aggiornato l'attendibilità esistente nel passaggio 2, usare l'opzione -supportmultipledomain per aggiungere o convertire altri domini federati. Questa opzione informa il comando di usare uno spazio dei nomi URI univoco per ogni dominio federato dal servizio cloud. A tale scopo, usare una delle sintassi dei comandi seguenti:
New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain
Nota
In questo comando, <nome> di dominio rappresenta il nome del dominio che si sta tentando di federatare.
Soluzione alternativa
Implementare una farm del servizio federativo AD FS per federatare ogni dominio del servizio cloud per il quale verranno usate le funzionalità SSO. Le indicazioni per l'implementazione di AD FS per Office 365 sono disponibili nell'articolo seguente:
Indicazioni dettagliate per l'implementazione: Pianificare e distribuire Active Directory Federation Services 2.0 per l'uso con Single Sign-On
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per