استكشاف أخطاء وإصلاحها خ الإعلان في Active Directory Azure و Office 365

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية3079872
تتناول هذه المقالة استكشاف الأخطاء وإصلاحها لمشاكل المصادقة للمستخدمين الخارجيين في Active Directory Azure أو Office 365 سير العمل.
الأعراض
  • لا يمكن تسجيل المستخدمين الخارجيين إلى Microsoft Azure أو Office 365 حتى لو المدارة المستخدمين سحابة فقط الذين لديهم لاحقة UPN domainxx.onmicrosoft.com تسجيل الدخول دون مشكلة.
  • إعادة التوجيه إلى "خدمات الاتحاد خدمة active Directory" (AD FS) أو لا يحدث STS لمستخدم الخارجي. أو، يتم تشغيل خطأ "لا يمكن عرض الصفحة".
  • تتلقى تحذيراً المتعلقة بالشهادات على مستعرض عند محاولة المصادقة مع إعلان خ. يوضح هذا فشل التحقق من صحة الشهادة أو أن الشهادة غير موثوق بها.
  • خطأ "أسلوب مصادقة غير معروف" أو أخطاء يعلن أوثنكونتيكست غير معتمد. أخطاء أيضا، على مستوى الإعلانات خ أو STS عندما تتم إعادة توجيهك من Office 365.
  • يطرح الإعلان خ خطأ "تم رفض الوصول".
  • يطرح الإعلان خ خطأ يشير إلى وجود مشكلة في الوصول إلى الموقع. وهذا يتضمن رقم معرف مرجع.
  • تكرار تتم مطالبة المستخدم بإدخال بيانات الاعتماد على مستوى الإعلانات خ.
  • لا يمكن مصادقة المستخدمين الخارجيين من شبكة اتصال خارجية أو عند استخدام أحد تطبيقات التي تأخذ مسار شبكة الاتصال الخارجية (Outlook، على سبيل المثال).
  • لا يمكن تسجيل المستخدمين الخارجيين بعد تغيير شهادة توقيع الرمز المميز على إعلان خ.
  • يتم تشغيل خطأ "عذراً، لكن علينا مواجهة مشكلة في تسجيل دخولك" عند متحد مستخدم بتسجيل الدخول إلى Office 365 في Microsoft Azure. يتضمن هذا الخطأ رموز الخطأ مثل ج 8004786، 80041034، 80041317، 80043431، 80048163، 80045C 06, طلب 8004789A أو سيئة.

استكشاف الأخطاء وإصلاحها في سير العمل
  1. الوصول https://login.microsoftonline.com، ثم قم بإدخال (اسم تسجيل الدخول الخاص بالمستخدم الخارجيشخص ما@المثال.com). بعد الضغط على Tab لإزالة التركيز من مربع تسجيل الدخول، تحقق ما إذا كانت حالة تتغير الصفحة إلى "إعادة توجيه" ومن ثم يمكنك تقوم إعادة توجيهك إلى جهاز الاتحاد خدمة الدليل Active Directory (AD FS) لتسجيل الدخول.

    عندما تحدث عملية إعادة التوجيه، تشاهد الصفحة التالية:

    لقطة الشاشة للخطوة 1
    1. في حالة حدوث لا إعادة توجيه وتتم مطالبتك بإدخال كلمة مرور في نفس الصفحة، وهذا يعني أن أزور خدمة Active Directory (AD) أو Office 365 لا تعترف المستخدم أو المجال للمستخدم يكون متحد. للتحقق من ما إذا كانت هناك علاقة ثقة اتحاد بين الإعلان Azure أو تشغيل Office 365 والخاص بخادم AD FS، الحصول على مسولدومين cmdlet من PowerShell الإعلان Azure. إذا كان المتحدة مجال، سيتم عرض الخاصية المصادقة ك "المتحدة"، كما هو موضح في لقطة الشاشة التالية:

      خطوة حول مجال المتحدة
    2. إذا تحدث عملية إعادة التوجيه ولكن لم تتم إعادة توجيهك إلى ملقم AD FS لتسجيل الدخول، تحقق ما إذا كان اسم الخدمة AD FS يحل إلى الصحيح الملكية الفكرية وما إذا كان يمكن الاتصال بأن الملكية الفكرية على منفذ TCP 443.

      إذا تم عرض المجال ك "المتحدة"، الحصول على معلومات حول ثقة الاتحاد بتشغيل الأوامر التالية:
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      تحقق من URI ومحدد موقع معلومات شهادة الطرف الاتحادية المكونة من قبل Office 365 أو إعلان Azure.
  2. بعد أن تتم إعادة توجيهك م خ م، قد يطرح المستعرض خطأ شهادة متعلقة بالثقة لبعض برامج وأجهزة قد لا يسمح لك تأسيس جلسة عمل SSL مع إعلان خ. لحل هذه المشكلة، اتبع الخطوات التالية:
    1. تأكد من أن شهادة خدمة الاتصالات AD FS التي يتم تقديمها للعميل هو نفسه الذي تم تكوينه على إعلان خ.

      لقطة الشاشة حول الخطوة أ

      وبشكل مثالي، يجب أن تكون شهادة الاتصال خدمة AD FS نفس شهادة SSL المقدمة إلى العميل عند محاولة تأسيس نفق SSL مع خدمة AD FS.

      في إعلان خ 2.0:

      • ربط الشهادة-> أول موقع الافتراضي IIS.
      • استخدام الأداة الإضافية ' خ الإعلان لإضافة نفس الشهادة كشهادة اتصال الخدمة.

      في إعلان خ 2012 R2:

      • استخدام الأداة الإضافية ' إعلان خ أو إضافة أدفسسيرتيفيكاتي الأمر لإضافة شهادة خدمة اتصالات.
      • استخدام مجموعة أدفسسلسيرتيفيكاتي لتعيين شهادة SSL الربط نفس الأمر.

    2. تأكد من أن تلك الشهادة اتصال خدمة AD FS موثوق بها من قبل العميل.
    3. إذا كان العملاء غير الشركة – القادر على محاولة تأسيس جلسة عمل SSL مع إعلان خ أو WAP R2 2-12، قد تفشل المحاولة. في هذه الحالة، خذ بعين الاعتبار إضافة إدخال احتياطي على ملقمات AD FS أو آب لدعم عملاء الشركة. لمزيد من المعلومات، راجع نشر المدونة ما يلي:
  3. قد تصادف خطأ "أسلوب مصادقة غير معروف" أو أخطاء مشيراً إلى أن أوثنكونتيكست غير معتمد على مستوى الإعلانات خ أو STS عندما تتم إعادة توجيهك من Office 365. هذا الأكثر شيوعاً عند توجيه لإعلان خ أو STS Office 365 وإعلان Azure باستخدام معلمة يفرض أسلوب مصادقة. لفرض أسلوب مصادقة، استخدم إحدى الطرق التالية:
    • للاتحاد WS، استخدم سلسلة استعلام وأوث لفرض أسلوب مصادقة مفضل.
    • ل SAML2.0، استخدم الأمر التالي:
      <saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext>
    عند إرسال أسلوب المصادقة المفروض بقيمة غير صحيحة، أو إذا لم يتم اعتماد هذا أسلوب المصادقة على إعلان خ أو STS، تتلقى رسالة إعلام بخطأ قبل أن تتم مصادقتك.

    يعرض الجدول التالي معرفات Uri التي يعترف بها الإعلان خ لنوع المصادقة الاتحاد WS مصادقة الكامنة.
    أسلوب المصادقة مطلوبةوأوث URI
    مصادقة كلمة المرور واسم المستخدمurn: واحة: أسماء: التعاون التقني: SAML:1.0:am:password
    مصادقة عميل SSLurn: ietf:rfc:2246
    مصادقة Windows المتكاملةurn: الاتحاد: المصادقة: windows

    معتمد SAML فئات سياق المصادقة

    أسلوب المصادقة فئة سياق المصادقة URI
    اسم المستخدم وكلمة المرورurn: واحة: أسماء: التعاون التقني: SAML:2.0:ac:classes:Password
    نقل محمي بكلمة مرورurn: واحة: أسماء: التعاون التقني: SAML:2.0:ac:classes:PasswordProtectedTransport
    نقل العميل طبقة (TLS)urn: واحة: أسماء: التعاون التقني: SAML:2.0:ac:classes:TLSClient
    شهادة X.509urn: واحة: أسماء: التعاون التقني: SAML:2.0:ac:classes:X 509
    مصادقة Windows المتكاملةurn: الاتحاد: المصادقة: windows
    Kerberosurn: واحة: أسماء: التعاون التقني: SAML:2.0:ac:classes:Kerberos

    للتأكد من أن أسلوب المصادقة معتمد على مستوى الإعلانات خ، تحقق مما يلي.

    AD FS 2.0

    ضمن /adfs/ls/web.config، تأكد من وجود إدخال نوع المصادقة.

    <microsoft.identityServer.web></microsoft.identityServer.web>
    <localAuthenticationTypes></localAuthenticationTypes>
    إضافة اسم "نماذج" page="FormsSignIn.aspx ="/>
    <add name="Integrated" page="auth/integrated/"></add>
    <add name="TlsClient" page="auth/sslclient/"></add>
    <add name="Basic" page="auth/basic/"></add>


    AD FS 2.0: كيفية تغيير نوع المصادقة المحلية

    إعلان خ 2012 R2

    ضمن إدارة خ AD، انقر فوق نهج المصادقة في إعلان خ الأداة الإضافية.

    ضمن علامة التبويب المصادقة الأساسية ، انقر فوق تحرير بجوار الإعدادات العمومية. يمكن أيضا النقر باليمين نهج المصادقة ثم حدد تحرير المصادقة الأساسية العمومية. أو، إجراءات جزء التحديد تحرير المصادقة الأساسية العمومية.

    ضمن علامة التبويب تحرير نهج المصادقة العالمية الإطار، على الأساسية علامة التبويب، يمكنك تكوين إعدادات كجزء من نهج المصادقة العالمية. على سبيل المثال، للمصادقة الأساسية، يمكنك تحديد أساليب المصادقة المتوفرة ضمن إكسترانت و إنترانت.

    * * تأكد من تحديد خانة الاختيار أسلوب المصادقة المطلوب.
  4. إذا كان الوصول إلى خ الإعلان الخاص بك وإدخال بيانات الاعتماد ولكن لا يمكن مصادقة، البحث عن المشكلات التالية.
    1. المشكلة النسخ المتماثل للدليل النشط

      في حالة قطع النسخ المتماثل الإعلان، قد لا مزامنة التغييرات التي تم إجراؤها للمستخدم أو المجموعة عبر وحدات التحكم بالمجال. بين وحدات تحكم المجال، قد تكون هناك كلمة مرور UPN، جروبميمبيرشيب، أو Proxyaddress عدم تطابق يؤثر على استجابة AD FS (المصادقة والمطالبات). يجب أن يبدأ النظر في وحدات تحكم المجال في نفس موقع AD FS. تشغيل repadmin/showreps أو &amp;/V DCdiag يجب أن يكشف عن ما إذا كانت هناك مشكلة في وحدات التحكم بالمجال التي خ الإعلان على الأرجح إلى الاتصال بالأمر.

      يمكنك أيضا تجميع موجز النسخ متماثل إعلان للتأكد من أن التغييرات الإعلان تم نسخ بشكل صحيح عبر كافة وحدات تحكم المجال. على repadmin/showrepl */csv > showrepl.csv إخراج مفيد للتحقق من حالة النسخ المتماثل. لمزيد من المعلومات، راجع استكشاف أخطاء وإصلاحها النسخ المتماثل "الدليل النشط".
    2. تأمين الحساب أو تعطيله في "Active Directory"

      عندما تتم المصادقة على المستخدم نهائي من خلال إعلان خ، يمكنه لن تتلقى رسالة خطأ توضح أنه تم تأمين الحساب أو تعطيله. من إعلان خ وتدوين تسجيل الدخول، يجب أن تكون قادراً على تحديد ما إذا كان فشل المصادقة بسبب كلمة مرور غير صحيحة، ما إذا كان تعطيل الحساب أو تأمين، وما إلى ذلك.

      لتمكين AD FS وتدوين إعلان خ ملقمات تسجيل الدخول، اتبع الخطوات التالية:
      1. استخدام النهج المحلي أو المجال لتمكين النجاح والفشل للنهج التالية:
        • تدوين أحداث تسجيل الدخول، الموجودة في تكوين الكمبيوتر setting\Local إعدادات نهج؛ "
        • تدوين "الوصول إلى الكائنات" الموجودة في تكوين الكمبيوتر setting\Local إعدادات نهج؛ "
        لقطة الشاشة عن السياسات
      2. تعطيل النهج التالية:

        التدقيق: فرض إعدادات نهج التدقيق فرعية (نظام التشغيل Windows Vista أو الإصدار الأحدث) لتجاوز إعدادات فئة نهج التدقيق

        يوجد هذا النهج في تكوين الكمبيوتر إعدادات setting\Local الخيار Policy\Security.

        لقطة حول النهج

        إذا كنت تريد تكوين ذلك من خلال استخدام التدقيق المتقدم، انقر فوق هنا.
      3. تكوين AD FS التدوين:
        1. فتح الإعلان FS 2.0 إدارة الإضافية.
        2. في جزء الإجراءات ، انقر فوق تحرير خصائص الخدمة الاتحادية.
        3. في "خصائص الخدمة الاتحادية" مربع الحوار، انقر فوق الأحداث علامة التبويب.
        4. حدد عمليات تدوين النجاح و تدقيقات الفشل خانات الاختيار.

          سسينشوت حول تمكين تدقيق AD FS
        5. تشغيل GPupdate/force على الخادم.
    3. يتم تسجيل اسم خدمة أساسي (SPN) غير صحيح

      قد يكون هناك تكرار أسماء Spn أو SPN التي تم تسجيلها تحت حساب آخر بخلاف حساب خدمة AD FS. الخاصة بإعداد إعلان خ المزرعة، تأكد من أن فسيرفيسينامي/إعلان المضيف SPN يضاف تحت حساب الخدمة التي تقوم بتشغيل خدمة AD FS. خ إعلان مستقل إعداد، حيث يتم تشغيل الخدمة تحت خدمة الشبكة، يجب أن يكون SPN تحت حساب الكمبيوتر الملقم الذي يستضيف AD FS.

      لقطة الشاشة لاسم الخدمة AD FS

      تأكد من عدم وجود تكرار أسماء Spn لخدمة AD FS، أن هذا قد يسبب المصادقات المتقطعة مع إعلان خ. لسرد أسماء Spn، تشغيل SETSPN-L<ServiceAccount></ServiceAccount>.

      لقطة الشاشة حول قائمة SPN

      تشغيل SETSPN – إعلان المضيف/فسيرفيسينامي سيرفيسيككونت لإضافة SPN.

      تشغيل SETSPN-س-F للتحقق من تكرار أسماء Spn.
    4. تكرار أوبنس في Active Directory

      يمكن مستخدم للمصادقة عبر خ الإعلان عندما يستخدمونها SAMAccountName ولكن لا تتمكن من المصادقة عند استخدام UPN. في هذا السيناريو، قد يحتوي Active Directory على اثنين من المستخدمين الذين لديهم نفس UPN. من الممكن في نهاية المطاف مع اثنين من المستخدمين الذين لديهم نفس UPN عندما يتم إضافة المستخدمين وتعديلها من خلال البرمجة النصية (ADSIedit، على سبيل المثال).

      عند استخدام UPN للمصادقة في هذا السيناريو، تم التصديق على المستخدم من مستخدم متكرر. لذلك، يتم يتم التحقق من بيانات الاعتماد التي تم توفيرها.

      يمكنك استخدام استعلامات كما يلي للتحقق ما إذا كانت هناك عدة كائنات في الإعلانات التي لها نفس القيم لسمة:
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      تأكد أنه تم تسميته UPN على مستخدم متكرر، حيث يتم التحقق من صحة طلب المصادقة مع UPN مقابل كائنات الصحيح.
    5. في سيناريو حيث يتم استخدام عنوان البريد الإلكتروني كمعرّف تسجيل الدخول في Office 365، وأدخل عنوان البريد الإلكتروني نفسه عندما يتم توجيهك إلى إعلان خ للمصادقة، قد تفشل المصادقة مع خطأ رمز الحالة "NO_SUCH_USER" في سجلات التدقيق. لتمكين FS AD البحث عن مستخدم للمصادقة باستخدام سمة خلاف UPN أو SAMaccountname، يجب عليك تكوين FS AD لدعم معرف تسجيل دخول بديلة. لمزيد من المعلومات، راجع تكوين معرف تسجيل الدخول البديل.

      في إعلان خ 2012 R2

      1. تثبيت تحديث 2919355.
      2. تحديث تكوين خ الإعلان عنه على أحد الخوادم الفدرالية في المزرعة cmdlet PowerShell التالية (إذا كان لديك مزرعة دور المرأة في التنمية، يجب تشغيل هذا الأمر على خادم AD FS الأساسي في المزرعة):

        "إعلان السلطة"-التيرناتيلوجينيد-تارجيتيدينتيفير أدفسكليمسبروفيديرتروست مجموعة <attribute>-لوكوبفوريستس <forest domain=""></forest> </attribute>

        ملاحظة:التيرناتيلوجينيد هو اسم السمة التي تريد استخدامها لتسجيل الدخول إلى LDAP. و لوكوبفوريستس هي قائمة الغابات إدخالات DNS التي تنتمي إلى المستخدمين.

        لتمكين ميزة "معرف تسجيل الدخول البديل"، يجب تكوين كل من التيرناتيلوجينيد و لوكوبفوريستس معلمات مع قيمة غير فارغة, صالح.

    6. ليس لديه حساب خدمة AD FS حق الوصول للقراءة إلى رمز مميز خ الإعلان الذي يقوم بالتوقيع على مفتاح خاص للشهادة. لإضافة هذا الإذن، اتبع الخطوات التالية:
      1. عندما تقوم بإضافة شهادة توقيع رمز جديد، تلقي التحذير التالي: "ضمان أن يكون المفتاح الخاص لشهادة المختار متاحاً لحساب الخدمة لخدمة هذا الاتحاد على كل خادم في المزرعة".
      2. انقر فوق ابدأ، ثم انقر فوق تشغيل، نوع mmc.exe، ثم اضغط Enter.
      3. انقر فوق ملف، ومن ثم انقر فوق إضافة/إزالة أداة إضافية.
      4. انقر نقراً مزدوجاً فوق الشهادات.
      5. حدد حساب الكمبيوتر المطلوب، ومن ثم انقر فوق التالي.
      6. حدد الكمبيوتر المحلي، وانقر فوق إنهاء.
      7. قم بتوسيع الشهادات (الكمبيوتر المحلي)، قم بتوسيع <b00> </b00>الشخصيةl، وقم بتحديد الشهادات.
      8. انقر نقراً مزدوجاً فوق رمز توقيع الشهادة الجديدة وحدد كافة المهامثم حدد إدارة المفاتيح الخاصة.

        سسينشوت حول الخطوة 8
      9. إضافة حق الوصول للقراءة لحساب خدمة 2.0 AD FS ومن ثم انقر فوق موافق.
      10. قم بإغلاق MMC الشهادات.
    7. يتم تمكين الخيار الحماية الموسعة لمصادقة Windows للدليل الظاهري AD FS أو LS. وهذا قد يسبب مشاكل مع برامج استعراض معينة. في بعض الأحيان قد ترى خ الإعلان مرارا وتكرارا المطالبة ببيانات الاعتماد، وقد يكون مرتبطاً الحماية الموسعة الإعداد الذي تم تمكينه لمصادقة Windows لتطبيق إعلان خ أو LS في IIS.

      سسينشوت حول الخطوة 8
      متى الحماية الموسعة تم تمكين المصادقة، ترتبط طلبات المصادقة إلى كلا من الخدمة الأساسي أسماء (Spn) الخادم الذي يحاول العميل للاتصال والقناة أمان طبقة النقل (TLS) الخارجية التي تحدث المصادقة المتكاملة في Windows. تحسين الحماية الموسعة وظيفة مصادقة Windows موجودة للتخفيف من التبديلات المصادقة أو هجمات "الرجل في الوسط". ومع ذلك، لا تعمل بعض المستعرضات مع الحماية الموسعة الإعداد؛ بدلاً من ذلك أنها تكرار المطالبة ببيانات الاعتماد ثم قمت برفض الوصول. تعطيل الحماية الموسعة يساعد هذا السيناريو هو.

      لمزيد من المعلومات، راجع AD FS 2.0: المطالبة ببيانات الاعتماد استمرار أثناء استخدام مصحح الأخطاء ويب Fiddler.

      لإعلان خ 2012 R2

      قم بتشغيل cmdlet التالية لتعطيل اكستينديدبروتيكشن:

      مجموعة أدفسبروبيرتيس-اكستينديدبروتيكتيونتوكينكهيك بلا

    8. إصدار قواعد التخويل في الثقة جهة الاعتماد (RP) قد رفض الوصول للمستخدمين. على ثقة "جهة اعتماد خ" الإعلان، يمكنك تكوين قواعد "التخويل الإصدار" التي تتحكم في ما إذا كان مستخدم تمت مصادقته ينبغي إصدار رمز مميز "طرف الاعتماد". يمكن للمسؤولين استخدام المطالبات التي تم إصدارها لتقرير ما إذا كان سيتم رفض الوصول لمستخدم يكون عضوا في مجموعة انسحب كمطالبة بالتعويض.

      إذا كان لا يمكن مصادقة بعض المستخدمين الخارجيين من خلال الإعلان FS، قد تحتاج إلى التحقق من وجود قواعد التخويل إصدار Office 365 الورقة المرجعية ومعرفة ما إذا كان السماح بالوصول إلى كافة المستخدمين يتم تكوين قاعدة.

      لقطة حول قواعد
      إذا لم يتم تكوين هذه القاعدة، الاطلاع على قواعد التخويل المخصصة للتحقق من ما إذا كان في تلك القاعدة تم تقييم الشرط "true" للمستخدم المتأثر. لمزيد من المعلومات، راجع الموارد التالية:
      إذا كان يمكن مصادقة من إنترانت عند الوصول إلى ملقم AD FS مباشرة، ولكن لا يمكن المصادقة عند الوصول إلى خ الإعلان من خلال وكيل AD FS، البحث عن المسائل التالية:
      • المشكلة مزامنة الوقت على ملقم AD FS والوكيل AD FS

        تأكد من مزامنة الوقت على خادم AD FS والوقت على الوكيل. عندما يكون الوقت على خادم AD FS التشغيل قبل أكثر من خمس دقائق من الوقت على وحدات التحكم بالمجال، يحدث فشل المصادقة. عند وقت الوكيل AD FS لم تتم مزامنتها مع الإعلان FS، تتأثر ثقة وكيل والمقطوعة. لذلك، يفشل طلب يأتي من خلال الوكيل AD FS.
      • تحقق ما إذا كان الوكيل AD FS الثقة بخدمة AD FS يعمل بشكل صحيح. أعد تشغيل تكوين الوكيل إذا كنت تشك أن الثقة وكيل مكسورة.
  5. بعد إعلانية الرمز المميز Azure مشكلات خ الإعلان الخاص بك أو Office 365 يطرح خطأ. في هذه الحالة، البحث عن المسائل التالية:
    • يجب أن يطابق الادعاءات الصادرة عن خ الإعلان في الرمز المميز للسمات الخاصة للمستخدم في إعلان Azure. في الرمز المميز لإعلان Azure أو Office 365، الادعاءات التالية مطلوبة.

      وسفيد:
      UPN: يجب أن يطابق قيمة هذه المطالبة UPN المستخدمين في إعلان Azure.
      إيموتابليد: هذه المطالبة يجب أن تطابق القيمة سورسينتشور أو إيموتابليد للمستخدم في إعلان Azure.

      للحصول على قيمة سمة المستخدم في إعلان أزور، قم بتشغيل سطر الأوامر التالي: الحصول على مسولوسير-UserPrincipalName<UPN></UPN>

      SAML 2.0:
      إيدبيمايل: قيمة هذه المطالبة يجب أن يطابق الاسم الأساسي للمستخدم المستخدمين في إعلان Azure.
      NAMEID: هذه المطالبة يجب أن تطابق القيمة سورسينتشور أو إيموتابليد للمستخدم في إعلان Azure.

      لمزيد من المعلومات، راجع استخدام موفر هوية SAML 2.0 لتطبيق تسجيل الدخول الأحادي.

      أمثلة:
      قد تحدث هذه المشكلة عند تغيير UPN المستخدم التي تم مزامنتها في الإعلان ولكن دون تحديث دليل على الإنترنت. في هذا السيناريو، يمكنك تصحيح UPN المستخدم في الإعلان (لمطابقة اسم تسجيل دخول المستخدم ذات الصلة) أو قم بتشغيل cmdlet التالية لتغيير اسم تسجيل الدخول للمستخدم ذات الصلة في دليل إنترنت:

      -UserPrincipalName [اكسيستينجوبن] مجموعة مسولوسيربرينسيبالنامي-نيوسيربرينسيبالنامي دومينوبن-الإعلان

      وقد يكون أيضا أنك تستخدم آدسينك للمزامنة الإرسال ك UPN و EMPID سورسينتشور، ولكن لم يتم تحديث القواعد على مستوى الإعلانات خ لإرسال طلب "جهة اعتماد" الإرسال ك UPN و EMPID إيموتابليد.
    • يوجد عدم تطابق شهادة توقيع الرمز مميز بين الإعلانات خ و Office 365.

      هذا واحد من المشاكل الشائعة. يستخدم AD FS شهادة توقيع الرمز المميز لتوقيع الرمز المميز الذي تم إرساله إلى المستخدم أو التطبيق. هي الثقة بين الإعلانات خ و Office 365 ثقة متحد الذي يستند إلى شهادة توقيع الرمز المميز هذا (على سبيل المثال، Office 365 التحقق من أن رمز تلقي موقعة باستخدام شهادة توقيع الرمز المميز لمقدم الدعوى [خدمة AD FS] أن يثق).

      يجب تحديث إذا شهادة توقيع الرمز المميز على خ الإعلان تم تغيير بسبب "مرور الشهادة التلقائي" أو بواسطة تدخل مسؤول بعد أو قبل انتهاء صلاحية الشهادة، تفاصيل الشهادة الجديدة على المستأجر Office 365 للمجال المتحد.

      وقدم المكتب سيحاول الإعلان 365 أو الأزرق السماوي للوصول إلى خدمة AD FS، به يمكن الوصول إليها من شبكة عامة. أننا نحاول أن استقصاء بيانات التعريف الاتحاد ADFS على فترات منتظمة، لسحب أي تغيير في التكوين على ADFS، أساسا شهادة توقيع الرمز المميز. إذا لم تعمل هذه العملية، "المسؤول العمومي" ترى إعلام في موقع Office 365، تحذير حول انتهاء صلاحية شهادة التوقيع الرمز المميز والإجراءات الواجب اتخاذها، لتحديثها.

      يمكنك استخدام الحصول على مسولفيديراتيونبروبيرتي-اسم المجال<domain></domain> لتفريغ الخاصية الاتحاد في إعلان خ و Office 365. هنا يمكنك مقارنة بصمة الإبهام توكينسيجنينجسيرتيفيكاتي التحقق من تكوين Office 365 المستأجرين المجال المتحد في تزامن مع إعلان خ. في حالة وجود عدم تطابق في تكوين شهادة توقيع الرمز المميز، قم بتشغيل الأمر التالي لتحديثه:
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      يمكنك أيضا تشغيل الأداة التالية لجدولة مهمة على خادم AD FS المراقبة للتمديد التلقائي شهادة توقيع الرمز المميز للشهادة وتحديث Office 365 المستأجر تلقائياً.

      أداة التثبيت أتمتة Microsoft Office 365 الاتحاد تحديث بيانات التعريف

      التحقق وإدارة تسجيل الدخول الأحادي مع AD FS
    • لم يتم تكوين إصدار تحويل الدعوى قواعد Office 365 RP بشكل صحيح.

      في سيناريو حيث لديك عدة مجالات Tld (المجالات ذات المستوى العلوي)، قد تواجه مشكلات تسجيل الدخول إذا سوبورتمولتيبليدومين لم يتم استخدام رمز التبديل عندما تم إنشاء ثقة البرنامج العادي وتحديثها. لمزيد من المعلومات، انقر فوق هنا.
    • تأكد من أن التشفير الرمز المميز لا المستخدمة من قبل إعلان خ أو STS عندما يتم إصدار رمز مميز لإعلان Azure أو Office 365.
  6. هناك بيانات الاعتماد المخزنة مؤقتاً التي لا معنى لها في إدارة بيانات اعتماد Windows.

    في بعض الأحيان أثناء تسجيل الدخول في محطة عمل إلى الموقع (أو عند استخدام Outlook)، عندما يتم مطالبة المستخدم ببيانات الاعتماد، قد يتم حفظ بيانات الاعتماد للهدف (خدمة Office 365 أو AD FS) في إدارة بيانات اعتماد Windows (إدارة التحكم Accounts\Credential Panel\User). يساعد هذا في منع مطالبة بيانات اعتماد لبعض الوقت، ولكن قد يسبب مشكلة بعد تغيير كلمة مرور المستخدم ولا يتم تحديث "إدارة بيانات الاعتماد". في هذا السيناريو، يتم إرسال بيانات الاعتماد التي لا معنى لها بخدمة AD FS، وذلك فشل المصادقة. قد يساعد على إزالة أو تحديث بيانات الاعتماد المخزنة مؤقتاً في إدارة بيانات اعتماد Windows.
  7. تأكد من أن تعيين "خوارزمية التجزئة الآمنة" التي تم تكوينها على "الاعتماد الطرف الصندوق الاستئماني" ل Office 365 SHA1.

    عندما يستخدم بروتوكول SAML 2.0 الثقة بين FS STS/AD وازور AD/Office 365، يجب تكوين للتوقيع الرقمي "خوارزمية التجزئة الآمنة" SHA1.
  8. إذا لم تنطبق أي من الأسباب السابقة للموقف، إنشاء حالة دعم مع Microsoft وأطلب منه للتحقق من ما إذا كان حساب المستخدم يظهر بصورة مستمرة تحت المستأجر Office 365. لمزيد من المعلومات، راجع الموارد التالية:

    رسالة الإعلام بالخطأ من عند تسجيل مستخدم متحد إلى Office 365 م خ 2.0: "كان هناك مشكلة في الوصول إلى الموقع"

    مستخدم الخارجي مرارا وتكرارا مطالبتك ببيانات الاعتماد عند يمكنه الاتصال بنقطة نهاية الخدمة 2.0 AD FS أثناء تسجيل الدخول Office 365
  9. اعتماداً على أي خدمة مجموعة النظراء (متكاملة مع إعلان Azure) وصولك، قد تختلف طلب المصادقة التي يتم إرسالها إلى إعلان خ. على سبيل المثال: بعض الطلبات قد تتضمن معلمات إضافية مثل وأوث أو وفريش، وقد تتسبب هذه المعلمات سلوكاً مختلفاً على مستوى الإعلانات خ.

    من المستحسن الثنائيات AD FS دوماً إبقاء محدثة تتضمن إصلاحات للمشكلات المعروفة. لمزيد من المعلومات حول أحدث التحديثات، راجع الجدول التالي.

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 3079872 - آخر مراجعة: 08/10/2015 07:33:00 - المراجعة: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbmt KB3079872 KbMtar
تعليقات