Aktualisieren oder Reparieren der Einstellungen einer Verbunddomäne in Microsoft 365, Azure oder Intune

  • Artikel
  • Gilt für::
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Einführung

Einmaliges Anmelden (Single Sign-On, SSO) in einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune hängt von einer lokalen Bereitstellung von Active Directory-Verbunddienste (AD FS) (AD FS) ab, die ordnungsgemäß funktioniert. In mehreren Szenarien muss die Konfiguration der Verbunddomäne in AD FS neu erstellt werden, um technische Probleme zu beheben. Dieser Artikel enthält schrittweise Anleitungen zum Aktualisieren oder Reparieren der Konfiguration der Verbunddomäne.

Weitere Informationen

Aktualisieren der Konfiguration der Verbunddomäne

Die Konfiguration der Verbunddomäne muss in den Szenarien aktualisiert werden, die in den folgenden Microsoft Knowledge Base-Artikeln beschrieben werden.

  • 2713898 Fehler "Problem beim Zugriff auf die Website" von AD FS, wenn sich ein Verbundbenutzer bei Microsoft 365, Azure oder Intune
  • 2535191 Fehler "Leider haben wir Probleme bei der Anmeldung" und "80048163", wenn ein Verbundbenutzer versucht, sich bei Microsoft 365, Azure oder Intune
  • 2647020 "Leider haben wir Probleme bei der Anmeldung" und "80041317" oder "80043431", wenn ein Verbundbenutzer versucht, sich bei Microsoft 365, Azure oder Intune anzumelden

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

Führen Sie die folgenden Schritte aus, um die Konfiguration der Verbunddomäne auf einem in die Domäne eingebundenen Computer zu aktualisieren, auf dem das Azure Active Directory-Modul für Windows PowerShell installiert ist:

  1. Klicken Sie auf Start, alle Programme, Windows Azure Active Directory und dann auf Windows Azure Active Directory-Modul für Windows PowerShell.

  2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die EINGABETASTE:

    $cred = get-credential

    Hinweis

    Wenn Sie dazu aufgefordert werden, geben Sie ihre Anmeldeinformationen für den Clouddienstadministrator ein.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Hinweis

    In diesem Befehl stellt der Platzhalter <AD FS 2.0-Servername> den Windows-Hostnamen des primären AD FS-Servers dar.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    oder

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Hinweis

    • Die Verwendung des Schalters –supportmultipledomain ist erforderlich, wenn mehrere Domänen der obersten Ebene mithilfe desselben AD FS-Verbunddiensts verbunden werden.
    • In diesen Befehlen stellt der Platzhalter <Verbunddomänenname> den Namen der Domäne dar, die sich bereits im Verbund befindet.

Wichtig

Ein Skript ist verfügbar, um die regelmäßige Aktualisierung von Verbundmetadaten zu automatisieren, um sicherzustellen, dass Änderungen am AD FS-Tokensignaturzertifikat ordnungsgemäß repliziert werden.

Das Skript erstellt eine geplante Windows-Aufgabe auf dem primären AD FS-Server, um sicherzustellen, dass Änderungen an der AD FS-Konfiguration wie Vertrauensinformationen, Signaturzertifikatupdates usw. regelmäßig an die Microsoft Entra ID weitergegeben werden.

Wenn das Tokensignaturzertifikat in einer Umgebung, in der das Skript implementiert ist, automatisch erneuert wird, aktualisiert das Skript die Cloudvertrauensinformationen, um Ausfallzeiten zu vermeiden, die durch veraltete Cloudzertifikatinformationen verursacht werden.

Reparieren der Konfiguration der Verbunddomäne

Die Konfiguration der Verbunddomäne muss in den Szenarien repariert werden, die in den folgenden Microsoft Knowledge Base-Artikeln beschrieben werden.

  • 2523494 Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie versuchen, sich bei Microsoft 365, Azure oder Intune
  • 2618887 Fehler "Der im AD FS 2.0-Server angegebene Verbunddienstbezeichner wird bereits verwendet." beim Versuch, eine andere Verbunddomäne in Microsoft 365, Azure oder Intune
  • 2713898 Fehler "Problem beim Zugriff auf die Website" von AD FS, wenn sich ein Verbundbenutzer bei Microsoft 365, Azure oder Intune
  • 2647020 Fehler "Ihre organization konnte Sie nicht bei diesem Dienst anmelden" und der Fehlercode "80041317" oder "80043431", wenn ein Verbundbenutzer versucht, sich bei Microsoft 365 anzumelden
  • Der Name des Verbunddiensts in AD FS wird geändert.

Führen Sie die folgenden Schritte aus, um die Verbunddomänenkonfiguration auf einem in die Domäne eingebundenen Computer zu reparieren, auf dem das Azure Active Directory-Modul für Windows PowerShell installiert ist.

Warnung

  • Mit dem folgenden Verfahren werden alle Anpassungen entfernt, die erstellt werden, indem der Zugriff auf Microsoft 365-Dienste mithilfe des Standorts des Clients eingeschränkt wird. Nachdem die Konfiguration der Verbunddomäne repariert wurde, müssen Sie möglicherweise den eingeschränkten AD FS-Zugriff neu konfigurieren.
  • Die folgenden Schritte sollten sorgfältig geplant werden. Benutzer, für die die SSO-Funktionalität in der Verbunddomäne aktiviert ist, können sich während dieses Vorgangs vom Abschluss von Schritt 4 bis zum Abschluss von Schritt 5 nicht authentifizieren. Wenn der Cmdlet-Test update-MSOLFederatedDomain in Schritt 1 nicht erfolgreich ausgeführt wird, wird Schritt 5 nicht ordnungsgemäß abgeschlossen. Verbundbenutzer können sich erst authentifizieren, wenn das Cmdlet update-MSOLFederatedDomain erfolgreich ausgeführt werden kann.
  1. Führen Sie die Schritte im Abschnitt "Aktualisieren der Verbunddomänenkonfiguration" weiter oben in diesem Artikel aus, um sicherzustellen, dass das Cmdlet update-MSOLFederatedDomain erfolgreich abgeschlossen wurde.
    • Wenn das Cmdlet nicht erfolgreich abgeschlossen wurde, fahren Sie nicht mit dieser Prozedur fort. Lesen Sie stattdessen den Abschnitt "Bekannte Probleme, die beim Aktualisieren oder Reparieren einer Verbunddomäne auftreten können" weiter unten in diesem Artikel, um das Problem zu beheben.
    • Wenn das Cmdlet erfolgreich abgeschlossen wurde, lassen Sie das Eingabeaufforderungsfenster zur späteren Verwendung geöffnet.
  2. Melden Sie sich beim AD FS-Server an. Klicken Sie hierzu auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf AD FS (2.0)-Verwaltung.
  3. Klicken Sie im linken Navigationsbereich auf AD FS (2.0), klicken Sie auf Vertrauensstellungen, und klicken Sie dann auf Vertrauensstellungen der vertrauenden Seite.
  4. Löschen Sie im äußersten rechten Bereich den Eintrag Microsoft Office 365 Identity Platform.
  5. Erstellen Sie im Windows PowerShell Fenster, das Sie in Schritt 1 geöffnet haben, das gelöschte Vertrauensstellungsobjekt neu. Führen Sie hierzu den folgenden Befehl aus, und drücken Sie dann die EINGABETASTE:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    oder
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Hinweis

    • Die Verwendung des Schalters –supportmultipledomain ist erforderlich, wenn mehrere Domänen der obersten Ebene mithilfe desselben AD FS-Verbunddiensts verbunden werden.
    • In diesen Befehlen stellt der Platzhalter <Verbunddomänenname> den Namen der Domäne dar, die sich bereits im Verbund befindet.

Bekannte Probleme, die beim Aktualisieren oder Reparieren einer Verbunddomäne auftreten können

Die folgenden Szenarien verursachen Probleme, wenn Sie eine Verbunddomäne aktualisieren oder reparieren:

  • Sie können keine Verbindung mit Windows PowerShell herstellen. Weitere Informationen zu diesem Problem finden Sie im folgenden Microsoft Knowledge Base-Artikel:

    2494043 Sie können keine Verbindung mit dem Azure Active Directory-Modul für Windows PowerShell

  • Das Azure Active Directory-Modul für Windows PowerShell kann aufgrund fehlender Voraussetzungen nicht geladen werden. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

    2461873 Sie können das Azure Active Directory-Modul nicht für Windows PowerShell

  • Wenn Sie versuchen, das Cmdlet set-MSOLADFSContext auszuführen, wird die Fehlermeldung "Zugriff verweigert" angezeigt. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

    2587730 Fehler "Fehler bei der Verbindung mit <ServerName> Active Directory-Verbunddienste (AD FS) 2.0", wenn Sie das Cmdlet Set-MsolADFSContext verwenden

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Microsoft Entra Foren-Website.