Slik feilsøker du tilkoblingsproblemer med AD FS-endepunktet når brukere logger på Microsoft 365, Intune eller Azure
Problem
Når brukere logger på en Microsoft-skytjeneste, for eksempel Microsoft 365, Microsoft Intune eller Microsoft Azure ved hjelp av en organisasjonsbasert brukerkonto, mislykkes tilkoblingen til Active Directory Federation Services (AD FS)-tjenesten bare når brukere prøver å gjøre følgende:
- Koble til fra en ekstern Internett-plassering
- Bruke e-posttilkoblinger til å logge på
Denne situasjonen forårsaker også SSO-testing som Remote Connectivity Analyzer utfører, mislykkes.
Hvis du vil ha mer informasjon om hvordan du kjører Remote Connectivity Analyzer for å teste SSO-godkjenning i Microsoft 365, kan du se følgende artikler i Microsoft Knowledge Base:
- 2650717 Slik bruker du Remote Connectivity Analyzer til å feilsøke problemer med enkel pålogging for Microsoft 365, Azure eller Intune
- 2466333 brukere i organisasjonsforbund kan ikke koble til en Exchange Online postboks
Årsak
Disse feilene kan oppstå hvis AD FS-tjenesten ikke vises riktig på Internett. Vanligvis brukes AD FS-proxy-serveren til dette formålet, og problemer med AD FS-proxyserveren vil forårsake disse symptomene. Vanlige problemer omfatter følgende:
Utløpt SSL-sertifikat som er tilordnet AD FS-proxyserveren
Ofte brukes det samme SSL-sertifikatet til å sikre kommunikasjon (HTTPS) for både AD FS Federation Service og AD FS-proxyserveren. Når dette sertifikatet utløper og sertifikatet fornyes eller oppdateres på AD FS Federation Service-farmen, må SSL-sertifikatet også oppdateres på alle AD FS-proxyservere. Hvis SSL-sertifikatet for AD FS-proxyserveren ikke oppdateres i dette tilfellet, kan Internett-tilkoblinger til AD FS-tjenesten mislykkes, selv om AD FS Federation Service er god.
Feil konfigurasjon av endepunkter for IIS-godkjenning
Rollen til AD FS-proxyserveren er å motta Internett-kommunikasjon som er rettet mot AD FS og videresende denne kommunikasjonen til AD FS Federation Service. Derfor er det viktig at IIS-godkjenningsinnstillingen for AD FS Federation Service og proxy-serveren er komplementære. Når AD FS-proxyserverens IIS-godkjenningsinnstillinger ikke er angitt for å utfylle AD FS Federation Service IIS-godkjenningsinnstillingene, kan pålogging mislykkes eller generere flere uventede ledetekster.
Brutt klarering mellom AD FS-proxyserveren og AD FS Federation Service
AD FS-proxy-tjenesten er utformet for å installeres på en datamaskin som ikke er domenetilkoblet. Derfor kan ikke kommunikasjonen mellom AD FS-proxyserveren og AD FS Federation Service baseres på en Active Directory-klarering eller legitimasjon. I stedet opprettes kommunikasjonen mellom disse to serverrollene ved hjelp av et token som er utstedt til AD FS-proxyserveren av AD FS Federation Service og signert av AD FS-tokensigneringssertifikatet. Når denne klareringen er utløpt eller ugyldig, kan ikke AD FS-proxytjenesten videresende AD FS-forespørsler, og klareringen må bygges på nytt for å gjenopprette funksjonaliteten.
Løsning
Du kan løse dette problemet ved å bruke én av følgende metoder, som passer for din situasjon, på alle AD FS-proxyservere som ikke fungerer som de skal.
Metode 1: Løs AD FS SSL-sertifikatproblemer på AD FS-serveren
Dette gjør du slik:
Feilsøke SSL-sertifikatproblemer på AD FS Federation Service (ikke proxy-tjenesten) ved hjelp av følgende Microsoft Knowledge Base-artikkel:
2523494 Du mottar en sertifikatadvarsel fra AD FS når du prøver å logge på Microsoft 365, Azure eller Intune
Hvis SSL-sertifikatet for AD FS Federation Service fungerer som det skal, oppdaterer du SSL-sertifikatet på AD FS-proxyserveren ved hjelp av sertifikateksport- og importfunksjonene. Hvis du vil ha mer informasjon, kan du se følgende Microsoft Knowledge Base-artikkel:
179380 Slik fjerner, importerer og eksporterer du digitale sertifikater
Metode 2: Tilbakestille AD FS proxy server IIS-godkjenningsinnstillinger til standard
Hvis du vil gjøre dette, følger du trinnene som er beskrevet i løsning 1 i følgende Microsoft Knowledge Base-artikkel for AD FS-proxyserveren:
2461628 En organisasjonsbasert bruker blir gjentatte ganger bedt om legitimasjon under pålogging til Microsoft 365, Azure eller Intune
Metode 3: Kjør veiviseren for konfigurasjon av AD FS-proxy på nytt
Hvis du vil gjøre dette, kjører du konfigurasjonsveiviseren for AD FS Federation Server Proxy på nytt fra grensesnittet administrative verktøy for alle berørte AD FS-proxyservere.
Obs!
Det er vanlig å motta en advarsel fra trinnet «Distribuer nettleserens påloggingsnettsted» når du kjører konfigurasjonsveiviseren på nytt. Dette er ikke en indikasjon på at veiviseren ikke gjenoppbygget tilliten mellom AD FS-proxyserveren og AD FS Federation Service.
Mer informasjon
Hvis du vil ha mer informasjon om hvordan du viser AD FS-tjenesten på Internett ved hjelp av en AD FS-proxyserver, kan du gå til følgende Microsoft-nettsted:
Planlegge og distribuere AD FS 2.0 for bruk med enkel pålogging
Trenger du fremdeles hjelp? Gå til Microsoft Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for