Så här felsöker du problem med AD FS-slutpunktsanslutning när användare loggar in på Microsoft 365, Intune eller Azure

  • Artikel
  • Gäller för:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Problem

När användare loggar in på en Microsoft-molntjänst som Microsoft 365, Microsoft Intune eller Microsoft Azure med hjälp av ett federerat användarkonto misslyckas anslutningen till tjänsten Active Directory Federation Services (AD FS) (AD FS) endast när användarna försöker göra följande:

  • Ansluta från en fjärransluten Internetplats
  • Använda e-postanslutningar för att logga in

Den här situationen gör också att SSO-testning som remote connectivity analyzer utför misslyckas.

Mer information om hur du kör Analysverktyg för fjärranslutning för att testa SSO-autentisering i Microsoft 365 finns i följande artiklar i Microsoft Knowledge Base:

  • 2650717 Så här använder du Analysverktyg för fjärranslutning för att felsöka problem med enkel inloggning för Microsoft 365, Azure eller Intune
  • 2466333 federerade användare kan inte ansluta till en Exchange Online postlåda

Orsak

Dessa fel kan inträffa om AD FS-tjänsten inte exponeras korrekt mot Internet. Vanligtvis används AD FS-proxyservern för detta ändamål, och problem med AD FS-proxyservern orsakar dessa symtom. Vanliga problem är följande:

  • SSL-certifikat som har upphört att gälla och som har tilldelats AD FS-proxyservern

    Ofta används samma SSL-certifikat för att skydda kommunikationen (HTTPS) för både AD FS Federation Service och AD FS-proxyservern. När det här certifikatet upphör att gälla och certifikatet förnyas eller uppdateras i AD FS Federation Service-servergruppen måste SSL-certifikatet också uppdateras på alla AD FS-proxyservrar. Om SSL-certifikatet för AD FS-proxyservern inte uppdateras i det här fallet kan Internetanslutningar till AD FS-tjänsten misslyckas, även om AD FS Federation Service är felfri.

  • Felaktig konfiguration av IIS-autentiseringsslutpunkter

    Rollen för AD FS-proxyservern är att ta emot Internetkommunikation som är riktad mot AD FS och att vidarebefordra kommunikationen till AD FS Federation Service. Därför är det viktigt att IIS-autentiseringsinställningen för AD FS Federation Service och proxyservern kompletterar varandra. När inställningarna för AD FS-proxyserverns IIS-autentisering inte är inställda på att komplettera inställningarna för AD FS Federation Service IIS-autentisering kan inloggningen misslyckas eller generera flera oväntade frågor.

  • Brutet förtroende mellan AD FS-proxyservern och AD FS-federationstjänsten

    AD FS-proxytjänsten är utformad för att installeras på en dator som inte är domänansluten. Därför kan kommunikationen mellan AD FS-proxyservern och AD FS Federation Service inte baseras på ett Active Directory-förtroende eller autentiseringsuppgifter. I stället upprättas kommunikationen mellan dessa två serverroller med hjälp av en token som utfärdas till AD FS-proxyservern av AD FS Federation Service och signeras av AD FS-tokensigneringscertifikatet. När det här förtroendet har upphört att gälla eller är ogiltigt kan AD FS-proxytjänsten inte vidarebefordra AD FS-begäranden och förtroendet måste återskapas för att återställa funktioner.

Lösning

Lös problemet genom att använda någon av följande metoder, beroende på din situation, på alla felaktiga AD FS-proxyservrar.

Metod 1: Åtgärda problem med AD FS SSL-certifikat på AD FS-servern

Gör så här:

  1. Felsöka SSL-certifikatproblem i AD FS Federation Service (inte proxytjänsten) med hjälp av följande Microsoft Knowledge Base-artikel:

    2523494 Du får en certifikatvarning från AD FS när du försöker logga in på Microsoft 365, Azure eller Intune

  2. Om SSL-certifikatet för AD FS Federation Service fungerar korrekt uppdaterar du SSL-certifikatet på AD FS-proxyservern med hjälp av certifikatexport- och importfunktionerna. Mer information finns i följande artikel i Microsoft Knowledge Base:
    179380 Ta bort, importera och exportera digitala certifikat

Metod 2: Återställa inställningarna för AD FS-proxyserverns IIS-autentisering till standard

Det gör du genom att följa stegen som beskrivs i lösning 1 i följande Microsoft Knowledge Base-artikel för AD FS-proxyservern:

2461628 En federerad användare uppmanas upprepade gånger att ange autentiseringsuppgifter under inloggningen till Microsoft 365, Azure eller Intune

Metod 3: Kör konfigurationsguiden för AD FS-proxy igen

Det gör du genom att köra konfigurationsguiden för AD FS Federation Server Proxy från gränssnittet Administrationsverktyg för alla berörda AD FS-proxyservrar.

Obs!

Det är vanligt att få en varning från steget "Distribuera webbläsarinloggningswebbplats" när du kör konfigurationsguiden igen. Det här är inte en indikation på att guiden inte återskapade förtroendet mellan AD FS-proxyservern och AD FS Federation Service.

Mer information

Mer information om hur du exponerar AD FS-tjänsten för Internet med hjälp av en AD FS-proxyserver finns på följande Microsoft-webbplats:

Planera för och distribuera AD FS 2.0 för användning med enkel inloggning

Behöver du fortfarande hjälp? Gå till Microsoft Community.