Řešení potíží s připojením ke koncovému bodu SLUŽBY AD FS, když se uživatelé přihlašují k Microsoftu 365, Intune nebo Azure

  • Článek
  • Platí pro:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problém

Když se uživatelé přihlásí ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Intune nebo Microsoft Azure, pomocí federovaného uživatelského účtu, připojení ke službě Active Directory Federation Services (AD FS) (AD FS) selže jenom v případě, že se uživatelé pokusí udělat toto:

  • Připojení ze vzdáleného umístění v internetu
  • Přihlášení pomocí e-mailových připojení

Tato situace také způsobuje selhání testování jednotného přihlašování, které provádí Analyzátor vzdáleného připojení.

Další informace o spuštění analyzátoru vzdáleného připojení k testování ověřování jednotného přihlašování v Microsoft 365 naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:

  • 2650717 Použití Analyzátoru vzdáleného připojení k řešení potíží s jednotným přihlašováním pro Microsoft 365, Azure nebo Intune
  • 2466333 federované uživatele se nemůžou připojit k poštovní schránce Exchange Online

Příčina

K těmto selháním může dojít v případě, že služba AD FS není správně vystavená na internetu. K tomuto účelu se obvykle používá proxy server služby AD FS a tyto příznaky způsobí problémy s proxy serverem služby AD FS. Mezi běžné problémy patří:

  • Prošlý certifikát SSL přiřazený k proxy serveru SLUŽBY AD FS

    Často se stejný certifikát SSL používá k zabezpečení komunikace (HTTPS) pro službu AD FS Federation Service i proxy server služby AD FS. Když platnost tohoto certifikátu vyprší a certifikát se obnoví nebo aktualizuje ve farmě služby AD FS Federation Service, musí se certifikát SSL aktualizovat také na všech proxy serverech služby AD FS. Pokud se v tomto případě neaktualizuje certifikát SSL proxy serveru AD FS, můžou selhat internetová připojení ke službě AD FS, i když je služba AD FS Federation Service v pořádku.

  • Nesprávná konfigurace koncových bodů ověřování služby IIS

    Role proxy serveru AD FS je přijímat internetovou komunikaci, která je směrována na službu AD FS, a předávat tuto komunikaci do federační služby AD FS. Proto je důležité, aby se nastavení ověřování IIS služby AD FS Federation Service a proxy serveru doplňovaly. Pokud nastavení ověřování IIS proxy serveru AD FS není nastavené tak, aby doplňovalo nastavení ověřování SLUŽBY IIS federační služby AD FS, přihlášení může selhat nebo může generovat více neočekávaných výzev.

  • Porušený vztah důvěryhodnosti mezi proxy serverem služby AD FS a federační službou AD FS

    Služba proxy služby AD FS je navržená tak, aby se nainstalovala na počítač, který není připojený k doméně. Proto komunikace mezi proxy serverem AD FS a federační službou AD FS nemůže být založená na vztahu důvěryhodnosti nebo přihlašovacích údajích služby Active Directory. Místo toho se komunikace mezi těmito dvěma rolemi serveru naváže pomocí tokenu, který je pro proxy server služby AD FS vystavený federační službou AD FS a podepsaný podpisovým certifikátem tokenu služby AD FS. Pokud platnost tohoto vztahu důvěryhodnosti vypršela nebo je neplatná, proxy služba AD FS nemůže předávat požadavky služby AD FS a vztah důvěryhodnosti musí být znovu sestaven, aby bylo možné obnovit funkce.

Řešení

Pokud chcete tento problém vyřešit, použijte jednu z následujících metod, která je vhodná pro vaši situaci, na všech proxy serverech služby AD FS, které nefungují správně.

Metoda 1: Oprava problémů s certifikáty SSL služby AD FS na serveru AD FS

Postupujte takto:

  1. Při řešení potíží s certifikáty SSL ve službě AD FS Federation Service (nikoli v proxy službě) použijte následující článek znalostní báze Microsoft Knowledge Base:

    2523494 Při pokusu o přihlášení k Microsoftu 365, Azure nebo Intune obdržíte upozornění certifikátu ze služby AD FS.

  2. Pokud certifikát SSL služby AD FS Fs funguje správně, aktualizujte certifikát SSL na proxy serveru služby AD FS pomocí funkcí exportu a importu certifikátů. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    179380 Jak odebrat, importovat a exportovat digitální certifikáty

Metoda 2: Resetování nastavení ověřování služby IIS proxy serveru služby AD FS na výchozí

Chcete-li to provést, postupujte podle kroků popsaných v řešení 1 v následujícím článku znalostní báze Microsoft Knowledge Base pro proxy server služby AD FS:

2461628 federovaného uživatele se při přihlašování k Microsoftu 365, Azure nebo Intune opakovaně zobrazuje výzva k zadání přihlašovacích údajů.

Metoda 3: Znovu spusťte průvodce konfigurací proxy serveru služby AD FS

Uděláte to tak, že znovu spustíte Průvodce konfigurací proxy federačního serveru služby AD FS z rozhraní Nástrojů pro správu všech ovlivněných proxy serverů služby AD FS.

Poznámka

Při opětovném spuštění průvodce konfigurací se obvykle zobrazí upozornění z kroku Nasadit přihlašovací web prohlížeče. To neznamená, že průvodce neobnovil vztah důvěryhodnosti mezi proxy serverem AD FS a federační službou AD FS.

Další informace

Další informace o tom, jak zpřístupnit službu AD FS na internetu pomocí proxy serveru služby AD FS, přejděte na následující web společnosti Microsoft:

Plánování a nasazení služby AD FS 2.0 pro použití s jednotným přihlašováním

Stále potřebujete pomoc? Přejděte na web Microsoft Community.