Отстраняване на проблеми с настройката за еднократна идентификация в Office 365, "Настройка" или "Azure"

Работете навсякъде от всяко устройство с Microsoft 365

Надстройте до Microsoft 365, за да работите навсякъде с най-новите функции и актуализации.

Надстройване сега

ВЪВЕДЕНИЕ

Тази статия описва как да отстраните проблеми при настройването на еднократна идентификация в услуга на Microsoft в облака, като например Office 365, Microsoft за настройка или Microsoft Azure. подробни указания за изпълнение за еднократна идентификация (SSO) са налични в помощната документация за Azure Active Directory (Azure AD). Ако възникне проблем, когато настройвате SSO с помощта на това ръководство, можете да препратите към тази статия. Той предоставя пътна карта, за да помогне за отстраняване на често срещани проблеми при всяка стъпка на настройка.

ПРОЦЕДУРА

Отстраняване на неизправности при настройване на SSO

Стъпка 1: подготовка на Active Directory

Ръководство за настройка

Отидете на следния уеб сайт на Microsoft:

Подготовка за еднократна идентификация

Проверка за стъпка 1

Използвайте съветника за диагностика на настройката на синхронизиране на справочен указател, за да сканирате Active Directory за проблеми, които може да доведат до проблеми със синхронизирането

Отстраняване на проблеми с проверката за стъпка 1

  1. Забележка Неправилна подготовка на Active Directory или неуспех при отстраняване на проблеми, които инструментът идентифицира, може да доведе до проблеми при синхронизиране на справочен указател. Следвайте указанията за отстраняване на неизправности, които са предложени от съветника за диагностика на настройката на синхронизиране на справочен указател, за да коригирате проблемите, и се уверете, че съветникът за диагностика се изпълнява без грешки. Това не позволява възникването на следните проблеми по-късно в реализирането:

    • 2392130 Отстраняване на проблеми с потребителското име, което се случва за външни потребители, когато те влизат в Office 365, Azure или в "Настройки"

    • 2001616 Имейл адресът на потребителя на Office 365 неочаквано съдържа долна черта след синхронизирането на справочен указател

    • 2643629 Един или повече обекти не се синхронизират при използването на инструмента за синхронизиране на Azure Active Directory

  2. Стартирайте отново съветника за диагностика, за да проверите дали проблемът е разрешен.

Стъпка 2: архитектура за услугите на Active Directory (AD FS)

Ръководство за настройка Отидете на следните уеб сайтове на Microsoft: Забележка Поддръжката на Microsoft няма да помогне на клиентите при изпълнението на указания за настройка в тези връзки.

Стъпка 3: модул на Azure Active Directory за Windows PowerShell за SSO

Ръководство за настройка

Отидете на следния уеб сайт на Microsoft:

Инсталиране на Windows PowerShell за еднократна идентификация с AD FS

Проверка за стъпка 3

За да проверите модула на Azure Active Directory за Windows PowerShell за SSO, изпълнете следните стъпки:

  1. Стартирайте модула на Azure Active Directory за Windows PowerShell като администратор.

  2. Въведете следните команди и се уверете, че натискате клавиша ENTER, след като въведете всяка команда:

    1. $cred=Get-Credential Забележка Когато бъдете подканени, въведете своите идентификационни данни за администратор на услуги в облака.

    2. Connect-MsolService -Credential $cred 

      Забележка Тази команда ви свързва с Azure AD. Трябва да създадете контекст, който ви свързва с Azure AD, преди да изпълните някои от допълнителните кратки команди, които са инсталирани от модула на Azure Active Directory за Windows PowerShell.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Бележки

      • Ако сте инсталирали модула Azure Active Directory за Windows PowerShell в основния сървър на услугите на Active Directory (AD FS), не е необходимо да изпълнявате тази кратка команда.

      • В тази команда контейнерът <ad fs 2,0 първичен сървър> представлява вътрешно напълно квалифицирано име на домейн (FQDN) на основния сървър на AD FS. Тази команда създава контекст, който ви свързва с AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Забележка В тази команда контейнерът <име на външни домейни> представлява името на домейна, който е бил обединен в стъпките за настройка.

  3. Сравняване на първото полувреме (източник: AD FS сървър) и Последна половина (източник: Microsoft Office 365) от изхода на командата get-MSOLFederationProperty , която сте изпълнили в стъпка 2D. Всички записи с изключение на " източник " и " FederationServiceDisplayName " трябва да съвпадат. Ако не съвпадат, използвайте секцията "решение" на следната статия от базата знания на Microsoft, за да актуализирате данните за доверяване на страна:2647020 "за съжаление, но имаме проблеми с влизането ви в" и "80041317" или "80043431" при опит за влизане в Office 365, Azure или подразбиране

Отстраняване на проблеми с проверката за стъпка 3За отстраняване на неизправности изпълнете следните стъпки:

  1. Отстраняване на често срещани проблеми при проверка с помощта на следните статии в базата знания на Microsoft, както е подходящо за вашата ситуация:

    • 2461873 Не можете да отворите модула на Azure Active Directory за Windows PowerShell

    • 2494043Не можете да се свържете с помощта на модула на Azure Active Directory за Windows PowerShell

    • 2587730 "връзката към <ServerName> 2,0 услуги на Active Directory за MsolADFSContext на Server е неуспешна" при използване на кратката команда Set-

    • 2279117 Администраторът не може да добави домейн към акаунт за Office 365

    • Грешка, когато изпълните кратката команда New-MsolFederatedDomain за втори път, защото проверката на домейни е неуспешна. За повече информация относно този сценарий вижте следната статия от базата знания:

      2515404 Отстраняване на проблеми при проверка на домейни в Office 365

    • 2618887 "идентификатор на услугата на федерацията, ЗАДАДЕН в AD FS сървъра за 2,0, вече се използва". грешка при опит за настройване на друг външен домейн в Office 365, Azure или в настройка

    • Проблемите с времето водят до проблеми с кратката команда New-MSOLFederatedDomain или кратката команда Convert-MSOLDomainToFederated . За повече информация относно този сценарий вижте следната статия от базата знания:

      2578667 "за съжаление, Възникна проблем с влизането ви в" и "80045C06", когато един външен потребител се опитва да влезе в Office 365, Azure или в "Настройки"

  2. Изпълнете отново стъпките за проверка, за да проверите дали проблемът е разрешен.

Стъпка 4: реализиране на синхронизация на Active Directory

Ръководство за настройка

Отидете на следните уеб сайтове на Microsoft:

Проверка за стъпка 4

За да проверите, изпълнете следните стъпки:

  1. Стартирайте модула на Azure Active Directory за Windows PowerShell като администратор.

  2. Въведете следните команди: Уверете се, че натискате Enter след въвеждането на всяка команда.

    1. $cred=Get-Credential Забележка Когато бъдете подканени, въведете своите идентификационни данни за администратор на услуги в облака.

    2. Connect-MsolService -Credential $cred Забележка Тази команда ви свързва с Azure AD. Трябва да създадете контекст, който ви свързва с Azure AD, преди да изпълните някои от допълнителните кратки команди, които са инсталирани от модула на Azure Active Directory за Windows PowerShell.

    3. Get-MSOLCompanyInformation

  3. Проверете стойността завреме на LastDirSyncот изхода на предишните команди и се уверете, че показва синхронизиране след инсталирането на инструмента за синхронизиране на Azure Active Directory.Забележка Клеймото с дата и час за тази стойност се показва в координирано универсално време (средно време в Гринуич).

  4. Ако LastDirSyncTime не е актуализиран, наблюдавайте регистрационния файл на приложението на сървъра, на който е инсталиран Инструментът за синхронизиране на Azure Active Directory за следното събитие:

    • Източник: синхронизиране на справочен указател

    • ИД на събитие: 4

    • Ниво: информация

    Това събитие показва, че синхронизирането на справочен указател е завършено на сървъра. Когато това се случи, изпълнете следните стъпки, за да се уверите, че стойността на LastDirSyncTime е била актуализирана по подходящ начин.

Отстраняване на проблеми с проверката за стъпка 4Отстраняване на често срещани проблеми при проверка с помощта на следните статии в базата знания на Microsoft, както е подходящо за вашата ситуация:

  • 2386445  Грешка при изпълнение на инструмента за синхронизиране на Azure Active Directory: "вашата версия на съветника за конфигуриране на синхронизиране на Windows Azure Active Directory е остаряла"

  • 2310320 Грешка при опит за изпълнение на съветника за конфигуриране на инструмента за синхронизиране на Azure Active Directory: "идентификационните ви данни не могат да бъдат удостоверени. Въведете отново идентификационните си данни и опитайте отново "

  • 2508225 "LogonUser () е неуспешно с код на грешка: 1789", след като въведете идентификационни данни на корпоративен администратор в съветника за конфигуриране на инструмента за синхронизиране на Azure Active Directory

  • 2502710 "Възникна неизвестна грешка с помощника за влизане на Microsoft Online Services" при изпълнение на съветника за конфигуриране на инструмента за синхронизиране на Azure Active Directory

  • 2419250 "компютърът трябва да е присъединен към домейн" при опит за инсталиране на инструмента за синхронизиране на Azure Active Directory

  • 2643629 Един или повече обекти не се синхронизират при използването на инструмента за синхронизиране на Azure Active Directory

  • 2641663 Как се използва SMTP съвпадение, за да се съгласуват локалните потребителски акаунти към потребителските акаунти за Office 365 за синхронизиране на справочен указател

  • 2492140 Не можете да присвоите обединен домейн на потребител в портала на Office 365

Стъпка 5: подготовка за клиента на Office 365

Ръководство за настройка
  1. Проверете предварителните изисквания за клиента за Office 365. За повече информация относно изискванията към системата за Office 365, отидете на системни изисквания на office 365.

  2. Изпълнете инсталиращата програма на Office 365 на всички клиентски компютри, които използват приложения за богат клиент. Богатите клиентски приложения включват Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, модул на Azure Active Directory за Windows PowerShell. Настолните приложения на Office и приложенията за интегриране на Microsoft SharePoint. Забележка Настолната настройка на Office 365 е налична в http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Ако се очаква безпроблемна и незабавна работа за клиентски компютри, свързани с домейн и домейн, добавете към зоната за локален интранет в Windows Internet Explorer. Например направете следното:

    1. В Internet Explorer, в менюто инструменти щракнете върху Опции за интернет.

    2. Щракнете върху раздела защита , щракнете върху локален интранет, щракнете върху сайтове, след което щракнете върху Разширени.

    3. Въведете HTTPS://STS.contoso.com в полето Добавяне на този уеб сайт към зоната и след това щракнете върху Добави.Забележка "sts.contoso.com" представлява FQDN на услугата AD FS за федерацията.

    За повече информация относно тази конфигурация вижте следната статия в базата знания на Microsoft:

    2535227 Неочаквано подкана за въвеждане на служебни или учебни идентификационни данни на външни потребители

  4. Ако домейнови и свързани с домейни клиентски компютри имат достъп до интернет ресурси с помощта на прокси сървър, който разрешава интернет адреси, като използва публични DNS заявки (а не вътрешни, разделено-мозъчни DNS), добавете URL адреса на услугата за услуги за федерацията към списъка, за който Internet Explorer ще заобиколи филтрирането на прокси сървъри. По-долу е даден пример как да добавите URL адреса към списъка с изключения на Internet Explorer:

    1. В Internet Explorer, в менюто инструменти щракнете върху Опции за интернет.

    2. В раздела връзки щракнете върху LAN настройкии след това върху Разширени.

    3. В полето изключения въведете стойността с помощта на напълно квалифицирано DNS име на име на крайна точка за услуга. Например въведете STS.contoso.com.

Проверка за стъпка 5 За да проверите, изпълнете следните стъпки:

  1. Уверете се, че услугата за помощник при влизане на Microsoft Online Services е инсталирана и работи. За да направите това, изпълнете следните стъпки:

    1. Щракнете върху Старт, щракнете върху изпълнение, въведете Services. msc, след което щракнете върху OK.

    2. Намерете записа на помощника за влизане на Microsoft Online Services и след това се уверете, че услугата е стартирана.

    3. Ако услугата не се изпълнява, щракнете с десния бутон върху записа и след това изберете Старт.

  2. Отидете в уеб сайта на AD FS, за да се уверите, че крайната точка е част от защитената зона за интранет за Internet Explorer. За да направите това, изпълнете следните стъпки:

    1. Стартирайте Internet Explorer и след това отидете на уеб сайта крайна точка за услуги. По-долу е даден пример за уеб сайт на крайна точка на услуга:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Проверете лентата на състоянието в долната част на прозореца, за да се уверите, че зоната за защита, която е посочена за този URL адрес, е локален интранет.

Стъпка 6: окончателно валидиране

На конфигуриран компютър клиент Изпробвайте очакваната среда за удостоверяване на SSO. За да направите това, удостоверете самоличността си с помощта на обединен потребителски акаунт. Може да поискате да изпробвате удостоверяване на външен потребител в следните сценарии:

  • В локалната мрежа и удостоверени за локалния указател Active Directory

  • От местоположение, което не е в интернет, и не е удостоверено за локалния указател Active Directory

За да проверите, изпълнете следните стъпки:

  1. Проверете уеб удостоверяването. За да направите това, използвайте един от следните методи:

    • Влезте в портала за услуги в облака като външен потребител, като използвате локални идентификационни данни на Active Directory.

    • Влезте в Outlook Web App като външни потребители (с помощта на локални идентификационни данни за Active Directory), който има пощенска кутия на Exchange Online. Например Влезте в Outlook Web App на следния URL адрес:

      https://outlook.com/owa/contoso.comЗабележка В този URL адрес "contoso.com" представлява името на външния домейн.

    • Влезте в Microsoft SharePoint online като външни потребители (с помощта на локални идентификационни данни за Active Directory), които имат достъп до колекцията от екипни сайтове. Например Влезте в SharePoint Online на следния URL адрес:

      http://contoso.sharepoint.comЗабележка В този URL адрес "contoso" представя името на вашата организация.

  2. Тест за богат клиент или активно удостоверяване на заявка. За да направите това, изпълнете следните стъпки:

    1. Конфигурирайте профил на клиент на Skype за бизнеса онлайн (преди Lync Online) за обединен потребителски акаунт и след това влезте в акаунта с помощта на локалните идентификационни данни за Active Directory.

    2. Влезте в Azure Active Directory за Windows PowerShell с помощта на обединен потребителски акаунт, който има идентификационни данни на глобален администратор чрез кратката команда Connect-MSOLService .

  3. Изпробвайте базовото удостоверяване на Exchange Online с помощта на анализатора на Microsoft за отдалечено свързване. За повече информация как да използвате анализатора за отдалечено свързване, вижте следната статия в базата знания на Microsoft:

    2650717  Как да използвате инструмента за отдалечено свързване, за да отстраните проблеми с еднократната идентификация за Office 365, Azure или в "Настройки"

Все още имате нужда от помощ? Отидете в Общността на Microsoft или в уеб сайта на форумите на Azure Active Directory .

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×