Single Sign-On Unternehmensbenutzer in Office 365 können sich Lync Online aus in das Unternehmensnetzwerk anmelden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2839539 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

PROBLEM

Betrachten Sie das folgende Szenario:
  • Eine Microsoft Office 365 für Unternehmen, die Microsoft Office 365 für Bildungseinrichtungen oder Microsoft Office 365 für mittelständische Unternehmenskunden richtet einmaliges Anmelden (SSO) in Active Directory Federation Services (AD FS) 2.0.
  • Föderierte Benutzer in ihrem Unternehmensnetzwerk verbinden nicht anmelden Lync Online von Lync 2013, und sie erhalten die folgende Fehlermeldung angezeigt:
    Die Anmeldung kann nicht ausgeführt werden, da der Server momentan nicht verfügbar ist.
Hinweis Dieses Problem gilt nur für Enterprise-SSO-Benutzer, die mit Microsoft Lync 2013 aus in das Unternehmensnetzwerk mit Microsoft Lync Online anmelden. Das Problem gilt nicht für Benutzer in Microsoft Lync 2010, Benutzern, die nicht auf Lync Online oder Benutzer, die von außerhalb des Netzwerks des Unternehmens herstellen.

LÖSUNG

Wichtig: Befolgen Sie die Schritte in diesem Abschnitt sorgfältig. Wenn Sie die Registrierung nicht ordnungsgemäß ändern, können schwerwiegende Probleme auftreten. Bevor Sie diese bearbeiten, Sichern Sie die Registrierung für die Wiederherstellung für den Fall, dass Probleme auftreten.

Da gibt es viele mögliche Ursachen, ist es am besten durch folgenden Lösungen arbeiten, und überprüfen die Konfiguration.
  1. Bei der Bereitstellung einer AD FS 2.0-Verbundserver Farm vorhanden sind, müssen eine domänenbasierte Dienstkonto, die einen registrierten SPN So aktivieren Sie die Kerberos-Authentifizierung ordnungsgemäß angeben. Weitere Informationen finden Sie im folgenden TechNet-Wiki:
    AD FS 2.0: Konfigurieren den SPN (ServicePrincipalName) für das Dienstkonto
    Die Gründe möglicherweise müssen Sie den SPN für das AD FS 2.0-Dienstkonto manuell einstellen lauten wie folgt:
    • SPN-Registrierung während der Erstkonfiguration der Farm ist fehlgeschlagen.
    • Der Verbunddienst wurde umbenannt.
    • Das Dienstkonto wurde geändert.
  2. Stellen Sie sicher, dass das AD FS 2.0-Dienst wird unter dem Domänen-DFS-Dienstkonto, das im vorherigen Schritt erwähnt wurde ausgeführt. In der folgenden Abbildung TRLABV3 interner Hostname ist, und ADFSSvc ist das Dienstkonto aus:

    Bild minimierenBild vergrößern
    Abbildung des AD FS 2.0 Windows Service-Eigenschaft, wobei die Domänenkonten

  3. Konfigurieren Sie das AD FS 2.0-Servers auf Anfrage-Header zu akzeptieren, die größer als 40 KB (Kilobyte). Sie müssen dies tun, wenn der Benutzer Mitglied vieler Gruppen der Active Directory-Domänendienste (AD DS) Benutzer ist. Wenn ein Benutzer Mitglied mehrerer Gruppen von AD DS ist, erhöht sich die Größe des Tokens mit Kerberos-Authentifizierung für den Benutzer.

    Die HTTP-Anforderung an den Server (Internet Information Services, IIS) der Benutzer gesendeten enthält das Kerberos-Token im WWW Authenticate-Header. Daher nimmt die Größe der Kopfzeile als Gruppen mit steigender Anzahl an. Wenn die HTTP-Header oder Paketgröße über die Grenzen hinaus, die in IIS konfiguriert sind erhöht, kann IIS die Anforderung abzulehnen und Fehler als Antwort senden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2020943 "HTTP 400 - Anforderung fehlerhaft (Anfrage-Header zu lang)" Fehlermeldung in Internet Information Services (IIS)
    Um dieses Problem zu umgehen, verwenden Sie eine der folgenden Methoden:
    1. Verringern Sie die Anzahl der AD DS-Benutzergruppen, denen der Benutzer angehört.
    2. Ändern Sie die MaxFieldLength und die Registrierungswerte "MaxRequestBytes" auf dem Server auf der IIS ausgeführt wird, damit der Benutzer Anforderungsheader sind nicht lang angesehen. Diese beiden Registrierungswerte befinden sich unter dem folgenden Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Wenn Sie mehrere AD bereitgestellt haben FS 2.0-Server in einer Farm und lassen sie die Nutzlast ausgeglichen, der Lync 2013-Client möglicherweise nicht direkt die Anforderung an die AD FS 2.0-Servers. Hinzufügen eines Eintrags für AD FS 2.0-Servers zur Hosts-Datei auf dem Client, die direkt auf dem AD FS 2.0 Server verweist die virtuelle IP-Adresse des Lastenausgleich umgangen wird.
  5. Die vorherigen Lösungen nicht beheben Sie das Problem und Herunterstufen auf Lync 2010 keine Option, gehen Sie folgendermaßen vor, um das Problem zu umgehen.

    Hinweis Wenn ein lokales Administratorkonto auf dem Computer bereits vorhanden ist, müssen Sie für diese Lösung zu erstellen.
    1. Besuchen Sie die Lync 2013 ausführbare Datei in Windows Explorer:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Halten Sie die UMSCHALTTASTE gedrückt, und anschließend mit der Maustaste Lync.exe.
    3. Klicken Sie auf als anderer Benutzer ausführen.
    4. Geben Sie die Anmeldeinformationen für ein lokales Administratorkonto auf dem Computer, und drücken Sie dann die EINGABETASTE.

WEITERE INFORMATIONEN

Dieses Problem tritt in der Regel aufgrund einer Fehlkonfiguration im AD FS 2.0. Andere Dienste wie Microsoft Exchange Online funktioniert trotz dieser Konfiguration ordnungsgemäß. Die üblichen Ursachen sind hier aufgeführt:
  • Der ServicePrincipalName (SPN) ist nicht richtig konfiguriert. Die Gründe dafür sind die folgenden:
    • SPN-Registrierung während der Erstkonfiguration der Farm ist fehlgeschlagen.
    • Der Verbunddienst wurde umbenannt.
    • Das Dienstkonto wurde geändert.
  • Der AD FS 2.0-Dienst wird nicht ausgeführt, unter dem richtigen Service-Konto.
  • Der Anfrage-Header von Lync 2013 ist zurückgewiesen von IIS und AD FS 2.0 Server der Header zu groß ist. Dieses Problem kann auftreten, weil das Benutzerkonto Mitglied zu viele AD DS-Benutzergruppen ist.
  • Die AD FS 2.0-Serverfarm ist Lastenausgleich, und die Anforderung ist nicht erreichen das AD FS 2.0-Servers.
Weitere Unterstützung bei der Bereitstellung von AD FS 2.0 für die Verwendung mit SSO in Office 365 finden Sie auf der folgenden TechNet-Website:
Planen und Bereitstellen von AD FS für die Verwendung mit single Sign-On
Im Fall, wenn der Benutzer zu viele AD DS-Gruppen angehört wird der folgende Eintrag in die Microsoft Online Services Sign-In Assistant-Ablaufverfolgungsprotokolle eingegeben (diese Protokolle befinden sich normalerweise in C:\ MSOSSPTrace):
##TestHook: URL-

https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245

.....

.....

<HTML><HEAD><TITLE>Bad Request</TITLE>

<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>

<BODY><h2>Bad Request - Request Too Long</h2>

<hr><p>HTTP Error 400. The size of the request headers is too long.</p>

</BODY></HTML>

Benötigen Sie weitere Hilfe? Klicken Sie auf der Office 365-Community Website.

Eigenschaften

Artikel-ID: 2839539 - Geändert am: Donnerstag, 26. Juni 2014 - Version: 10.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Lync Online
Keywords: 
o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2839539
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com