文章编号: 2647048 - 查看本文应用于的产品
展开全部 | 关闭全部

简介

单一登录 (SSO) 在 Microsoft Office 365 取决于内部部署 活动目录的联合身份验证服务 (AD FS) 正常工作。几种情况下,需要重建解决技术问题的 AD FS 中的 Office 365 的联盟域的配置。本文包含如何更新或修复 Office 365 的联盟域配置的分步指导。

详细信息

如何更新 Office 365 的联盟域的配置

Office 365 的联盟域配置包含在下面的 Microsoft 知识库文章中描述的方案中进行更新。有关详细信息,请参阅下面的 Microsoft 知识库文章:
  • 2713898"出现问题的网站进行访问,"从 AD FS 联合的用户登录到 Office 365、 Windows Azure 或 Windows Intune 时的错误
  • 2535191""很抱歉,但我们无法为您登录"和"80048163"联盟的用户尝试登录到 Office 365、 Windows Azure 或 Windows Intune 时的错误
  • 2647020 "很抱歉,但我们无法为您登录"和"80041317"或"80043431"联盟的用户尝试登录到 Office 365、 Windows Azure 或 Windows Intune 时的错误
  • 2707329 "无法访问 AD FS 的元数据交换 (MEX) 地址"错误后运行 MOSDAL 支持工具包
  • 2707335 之后运行 MOSDAL 支持工具包 的错误消息:"联合元数据文档无法检索从 AD FS"
  • 2707336 错误消息在运行 MOSDAL 支持工具包 之后:"没有响应从联合身份验证服务器时,该工具试图检索元数据交换 (MEX) 文档"
  • 2707338 之后运行 MOSDAL 支持工具包 的错误消息:"时出现异常错误登录尝试时"
  • 2707339 之后运行 MOSDAL 支持工具包 的错误消息:"没有 WS 信任 Windows 端点发布元数据交换 (MEX) 文档中"
  • 2707341 之后运行 MOSDAL 支持工具包 的错误消息:"无标记已收到来自 Microsoft Office 365 的身份验证系统"
  • 2707347 在运行 MOSDAL 支持工具包 之后"AD FS 元数据交换 (MEX) 文档中的任何终结点"错误
  • 2707355 之后运行 MOSDAL 支持工具包 的错误消息:"用户名/密码身份验证终结点是元数据交换 (MEX) 文档中缺少"
  • 2707356 之后运行 MOSDAL 支持工具包 的错误消息:"Windows 集成身份验证终结点是由联合服务器发布元数据交换 (MEX) 文档中缺少"
  • 2707358 之后运行 MOSDAL 支持工具包 的错误消息:"没有 Microsoft Office 365 的身份验证系统中注册的 Web 应用程序登录 URL"
  • 2707359 之后运行 MOSDAL 支持工具包 的错误消息:"没有任何 Microsoft Office 365 的身份验证系统中注册的用户名/密码身份验证终结点"
  • 2707365 之后运行 MOSDAL 支持工具包 的错误消息:"没有 Microsoft Office 365 的身份验证系统中注册的任何有效的元数据交换 (MEX) URL。"
  • 2707368 在运行 MOSDAL 支持工具包 之后出现"AD FS 令牌签名证书是无效"错误
  • 2707369 "在一个标记中找到的 AD FS 令牌签名证书与注册的证书不匹配"错误后运行 MOSDAL 支持工具包
  • 2707379 之后运行 MOSDAL 支持工具包 的错误消息:"AD FS 元数据交换 (MEX) 文档中的 Windows 集成身份验证的 WS 信任终结点与注册的一个不匹配"
  • 2748507 单点登录 (SSO) 其他启用 SSO 的域的身份验证停止使用 Office 365 中运行转换 MSOLDomainToStandard 命令 后
若要更新的 Windows Azure 活动目录模块用于 Windows PowerShell 安装加入域的计算机上的 Office 365 的联盟域的配置,请执行以下步骤:
  1. 单击开始,单击所有程序,都单击Windows Azure 活动目录(AD),然后都单击Windows Azure 活动目录模块用于 Windows PowerShell
  2. 在命令提示符下,键入以下命令,,并在每个命令之后按 enter 键:
    1. $cred = get-credential
      注意当出现提示时,输入您的 Office 365 提供管理员凭据。
    2. Connect-MSOLService –credential:$cred
    3. Set-MSOLADFSContext –Computer:<AD FS 2.0 ServerName>
      注意在此命令中,占位符 <AD fs="" 2.0="" server="" name=""></AD> 表示主 AD FS 服务器的 Windows 主机名。
    4. Update-MSOLFederatedDomain –DomainName:<Federated Domain Name>
      Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomains
      注释

      在多个顶级域都使用相同的 AD FS 联合身份验证服务的联盟时,使用–supportmultipledomains开关是必需的。

      在这些命令中,占位符 <Federated domain="" name=""></Federated> 表示为 SSO 已联合与 Office 365 的域的名称。
重要提示提供了一个脚本来自动执行 Office 365 联合元数据定期以确保能正确复制到 AD FS 令牌签名证书的更改的更新。

该脚本创建计划的任务,在主的 AD FS 服务器,以确保为信任信息,签名证书更新,如 AD FS 配置更改等定期传播到 Microsoft 云服务的身份验证服务的 Windows。

如果在其中实现的脚本环境中自动续订的令牌签名证书时,该脚本将更新云信任信息,以防止由过期的云证书信息造成的停机时间。分步部署过程位于下面的 Microsoft 网站:
设置计划任务时为令牌签名证书进行更改时自动更新 Office 365

如何修复 Office 365 的联盟域的配置

Office 365 的联盟域的配置必须修复了下面的 Microsoft 知识库文章中描述的情形中。有关详细信息,请参阅下面的 Microsoft 知识库文章:
  • 2523494 通过联合的帐户访问 Office 365 提供 web 资源时从 AD FS 收到证书警告
  • 2618887 当您尝试在 Office 365 提供配置第二个联盟的域时的错误:"指定 AD FS 服务器中的联合身份验证服务标识符已列在使用中。"
  • 2713898 "出现问题的网站进行访问,"从 AD FS 联合的用户登录到 Office 365、 Windows Azure 或 Windows Intune 时的错误
  • 2647020 当联合身份验证的用户尝试登录到 Office 365时,收到"您的组织可能您登录到此服务"的错误和"80041317"或者"80043431"错误代码
  • 2707348 "接收到了从 AD FS 的元数据交换 (MEX) 文档包含未知的 WS 信任版本"错误后运行 MOSDAL 支持工具包
  • 在 AD FS 联合身份验证服务名称更改。了解详细信息,请访问以下 Microsoft 网站:
    AD FS 2.0: 如何更改联合身份验证服务名称
若要修复 Windows Azure 活动目录模块用于 Windows PowerShell 安装加入域的计算机上的 Office 365 联盟的域配置,请执行以下步骤。

警告
  • 下面的过程会删除所创建的任何自定义 限制访问 Office 365 提供服务,通过使用客户端的位置.修复的联盟域的配置之后,您可能需要重新配置 AD FS 的有限访问权。
  • 以下步骤应仔细计划。在联盟域中为其启用 SSO 功能的用户将无法进行身份验证期间从之前的第 5 步完成的第 4 步完成此操作。如果在步骤 1 中的更新 MSOLFederatedDomain 命令 测试后面没有成功,将无法正确完成第 5 步。已启用 SSO 的 Office 365 提供用户将无法更新 MSOLFederatedDomain 命令 可以成功运行之前进行身份验证。
  1. 运行中的"如何更新 Office 365 的联盟的域配置"部分中,本文前面,以确保更新 MSOLFederatedDomain 命令 成功完成的步骤。
    • 如果该 命令 未成功完成,无法继续此过程。相反,请参阅本文后面来解决这些问题"已知更新或修复的联盟的域时可能会遇到的问题"一节。
    • 如果该 命令 过程成功完成,将命令提示符窗口打开以供将来使用。
  2. 登录到 AD FS 服务器上。若要执行此操作,单击开始,指向所有程序,都指向管理工具,,然后单击AD FS (2.0) 管理
  3. 在左侧的导航窗格中,单击AD FS (2.0),单击信任关系,然后单击信赖方信任
  4. 在右侧的窗格中,删除Microsoft Office 365 标识平台入口。
  5. 在您在步骤 1 中打开 Windows PowerShell 窗口中,重新创建已删除的信任对象。若要这样做,运行以下命令,然后按 enter 键:
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomains
    注释

    在多个顶级域都使用相同的 AD FS 联合身份验证服务的联盟时,使用–supportmultipledomains开关是必需的。

    在这些命令中,占位符 <Federated domain="" name=""></Federated> 表示为 SSO 已联合与 Office 365 的域的名称。

当您更新或修复的联盟的域时可能会遇到的已知的问题

更新或修复的联盟的域时,下列情况下会导致出现故障:
  • 通过使用 Windows PowerShell,您不能连接到 Office 365。有关此问题的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    2494043 您不能使用 Windows Azure 活动目录模块用于 Windows PowerShell 连接
  • 由于缺少的系统必备组件,无法加载 Windows Azure 活动目录模块用于 Windows PowerShell。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    2461873 无法打开 Windows Azure 活动目录模块用于 Windows PowerShell
  • 当您尝试运行一组 MSOLADFSContext cmdlet,您将获得"访问被拒绝"错误消息。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    2587730 当您在 Windows Azure 活动目录模块用于 Windows PowerShell 使用集 MsolADFSContext 命令 的身份验证错误
仍需要帮助吗?请转到 Office 365 社区 网站或 Windows Azure 活动目录(AD) 论坛 网站。

属性

文章编号: 2647048 - 最后修改: 2013年11月26日 - 修订: 22.0
这篇文章中的信息适用于:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
关键字:?
o365 o365a o365022013 after upgrade o365062011 pre-upgrade o365e o365m kbmt KB2647048 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2647048
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com