Federovaný uživatel je opakovaně vyzván k zadání pověření při přihlášení do služeb Office 365, Azure nebo Intune

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 2461628
Důležité Tento článek obsahuje informace, jak vedou k oslabení zabezpečení počítače nebo k vypnutí funkcí zabezpečení v počítači. Tyto změny mohou vyřešit konkrétní problém. Před provedením těchto změn, doporučujeme vyhodnotit nebezpečí spojená s nasazením tohoto řešení v konkrétním prostředí. Pokud se rozhodnete řešení implementovat, přijmout veškerá dodatečná opatření k ochraně počítače.
PROBLÉM
Federované uživatele opakovaně vyzván k zadání pověření při pokusu uživatele o ověření pro koncový bod služby Active Directory Federation Services (AD FS) při přihlášení k Microsoft služba cloud služeb Office 365 a Microsoft Azure, Microsoft Intune. Pokud uživatel zruší, zobrazí se uživateli následující chybová zpráva:
Přístup byl odepřen
PŘÍČINA
Příznak označuje problém s integrované ověřování systému Windows se službou AD FS. Tomuto problému může dojít, pokud platí jedna nebo více z následujících podmínek:
 • Použil jste nesprávné uživatelské jméno nebo heslo.
 • Internetová informační služba (IIS) ověření nastavení nesprávně ve službě AD FS.
 • Hlavní název služby (SPN) přidružený účet služby, který se používá ke spuštění farmy federačních serverů služby AD FS, dojde ke ztrátě nebo poškození.

  Poznámka: Tím dochází pouze v případě, že služba AD FS je implementován jako farma federačních serverů a v samostatné konfiguraci není implementována.
 • Jeden nebo více z následujících jsou označeny Rozšířená ochrana pro ověřování jako zdroj útoku man-in-the-middle:
  • Některé prohlížeče Internetu jiných výrobců
  • Firewall podnikové sítě, služba Vyrovnávání zatížení sítě nebo jiné síťové zařízení je služba AD FS Federation publikování na Internetu tak, aby data datová část protokolu IP může potenciálně být přepsána. To případně zahrnuje následující typy dat:
   • Protokol SSL (Secure Sockets Layer) přemostění SSL)
   • Snižování zátěže protokolu SSL
   • Filtrování paketů

    Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    2510193Podporované scénáře pro použití služby AD FS k nastavení jednotného přihlášení do služeb Office 365, Azure nebo Intune
  • Sledování nebo aplikace dešifrování SSL je nainstalován nebo je aktivní v klientském počítači
 • Pomocí vyhledání záznamu CNAME místo až vyhledávání záznamů A byl proveden překlad domén systému DNS (Name) koncového bodu služby AD FS.
 • Aplikace Windows Internet Explorer není nakonfigurována pro předání integrované ověřování systému Windows na serveru služby AD FS.

Před zahájením řešení potíží

Zkontrolujte, že uživatelské jméno a heslo nejsou příčinou problémů.
 • Ujistěte se, že správné uživatelské jméno se používá a je ve formátu uživatelského jména (UPN). Například johnsmith@contoso.com.
 • Ujistěte se, že se používá správné heslo. Znovu zkontrolovat, zda se používá správné heslo, je třeba obnovit heslo uživatele. Další informace naleznete v následujícím článku Microsoft TechNet:
 • Ujistěte se, že účet není uzamčen, vypršela nebo použita mimo určený přihlašovací hodiny. Další informace naleznete v následujícím článku Microsoft TechNet:

Zjistit příčinu

Zkontrolujte, že Kerberos problémy způsobují potíže, dočasně obejít ověřování pomocí protokolu Kerberos povolením ověřování na základě formulářů na farmě federačních serverů služby AD FS. Chcete-li to provést, postupujte takto:

Krok 1: Upravte soubor web.config na každém serveru v serverové farmě federace služby AD FS
 1. V Průzkumníkovi Windows vyhledejte složku C:\inetpub\adfs\ls\ a potom vytvořit záložní kopii souboru web.config.
 2. Klepněte na tlačítko Start, klepněte na příkaz Všechny programy, klepněte na položku Příslušenství, klepněte pravým tlačítkem myši Poznámkový bloka potom klepněte na příkaz Spustit jako správce.
 3. Na souboru nabídky, klepněte na tlačítko Otevřít. V název souboru zadejteC:\inetpub\adfs\ls\web.configa potom klepněte na tlačítko Otevřít.
 4. V souboru web.config postupujte takto:
  1. Vyhledejte řádek, který obsahuje <authentication mode=""> </authentication>a pak změňte ho na <authentication mode="Forms"> </authentication>.
  2. Vyhledejte část začínající <localAuthenticationTypes> </localAuthenticationTypes>a potom v části změnit tak, aby <add name="Forms"></add> položka je uvedena první, takto:
   <localAuthenticationTypes>
   <add name="Forms" page="FormsSignIn.aspx"></add>
   <add name="Integrated" page="auth/integrated/"></add>
   <add name="TlsClient" page="auth/sslclient/"></add>
   <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
 5. Na souboru nabídky, klepněte na tlačítko Uložit.
 6. Na příkazovém řádku se zvýšenými oprávněními restartování služby IIS pomocí příkazu iisreset .
Krok 2: Funkce testovací AD FS
 1. V klientském počítači, který se připojil ale ověření místním prostředí služba AD DS, přihlášení na portál service cloudu.

  Namísto ověřování bezproblémový zkušenosti založené na formulářích přihlásit by mělo dojít. Přihlášení pomocí ověřování založeném na formulářích je úspěšný, potvrdíte, že existuje problém s protokolem Kerberos ve službě AD FS Federation Service.
 2. Obnoví konfiguraci jednotlivých serverů v serverové farmě federace služby AD FS na předchozí nastavení ověřování před provedením kroků v části "Řešení". Chcete-li vrátit konfiguraci jednotlivých serverů v serverové farmě federace služby AD FS, postupujte takto:
  1. V Průzkumníkovi Windows vyhledejte složku C:\inetpub\adfs\ls\ a potom odstraňte soubor web.config.
  2. Přesuňte zálohy vytvořené v souboru web.config "krok 1: Upravte soubor web.config na každém serveru v serverové farmě služby AD FS federation" oddíl do složky C:\inetpub\adfs\ls\.
 3. Na příkazovém řádku se zvýšenými oprávněními restartování služby IIS pomocí příkazu iisreset .
 4. Zkontrolujte, zda chování ověřování služby AD FS, které se vrátí do původního problému.
ŘEŠENÍ
Chcete-li vyřešit problém pomocí protokolu Kerberos, který omezuje ověřování službou AD FS, použijte jednu nebo více z následujících metod v závislosti situaci.

Řešení 1: Nastavení ověřování služby AD FS pro obnovení na výchozí hodnoty

Pokud nastavení ověřování AD FS IIS jsou nesprávné, nebo neodpovídají nastavení ověřování služby IIS, služba AD FS Federation Services a serveru Proxy služby, je jedním z řešení Chcete-li obnovit všechna nastavení ověřování služby IIS k nastavení služby AD FS.

V následující tabulce jsou uvedeny výchozí nastavení ověřování.
Virtuální aplikaceOvěření úrovně
Výchozí webový server/adfsAnonymní ověřování
Výchozí webový server/adfs/lsAnonymní ověřování
Ověřování systému Windows
Na každý federační server AD FS a každý proxy federačního serveru služby AD FS obnovit virtuální aplikace služby AD FS IIS výchozí nastavení ověřování použijte informace v následujícím článku Microsoft TechNet:Další informace o řešení této chyby naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
907273 Odstraňování potíží s chybami HTTP 401 ve službě IIS

871179 Obdržíte "Chyba protokolu HTTP 401.1 – Neautorizováno: přístup byl odepřen z důvodu neplatných pověření" chybová zpráva při pokusu o přístup k webu, který je součástí fondu aplikací služby IIS 6.0

Řešení 2: Opravte farmy federačních serverů služby AD FS SPN

Poznámka:Toto řešení použijte pouze v případě, že služba AD FS je implementován jako farma federačních serverů. Nepokoušejte toto řešení v samostatné konfiguraci služby AD FS.

Chcete-li tento problém vyřešit, pokud je hlavní název služby pro službu AD FS ztrátě nebo poškození v účtu služby AD FS, postupujte takto na jednom serveru ve farmě federačních serverů služby AD FS:
 1. Otevřete modul snap-in Řízení služby. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, klepněte na položku Nástroje pro správua potom klepněte na položku služby.
 2. Poklepejte na položku Služba AD FS (2.0) systému Windows.
 3. Na protokolu na karta, Poznámka: účet služby, který je zobrazen v poli Tento účet.
 4. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, klepněte na položku Příslušenství, klepněte pravým tlačítkem myši Příkazový řádeka potom klepněte na příkaz Spustit jako správce.
 5. Napište SetSPN-f – q host /<AD fs="" service="" name=""></AD>, a stiskněte klávesu Enter.

  Poznámka:V tomto příkazu <AD fs="" service="" name=""></AD> představuje název služby úplný doménový název (FQDN) koncového bodu služby AD FS. Nepředstavuje název hostitele serveru služby AD FS systému Windows.
  • Pokud příkaz vrátí více než jednu položku a výsledek je spojena s uživatelským účtem, než bylo uvedeno v kroku 3, odeberte tohoto sdružení. Chcete-li to provést, spusťte následující příkaz:
   SetSPN-d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
  • Pokud příkaz vrátí více než jednu položku a SPN používá stejný název jako název počítače serveru služby AD FS v systému Windows, federace název koncového bodu služby AD FS je nesprávná. Služba AD FS má provádět znovu. Úplný název farmy federačních serverů služby AD FS se nesmí shodovat s hostitelský název existujícího serveru systému Windows.
  • Pokud název SPN již neexistuje, spusťte následující příkaz:
   SetSPN-hostitel /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
   Poznámka:V tomto příkazu <username of="" service="" account=""></username> představuje uživatelské jméno, které bylo uvedeno v kroku 3.
 6. Poté, co jsou tyto kroky provedeny na všech serverech v serverové farmě federace služby AD FS, klepněte pravým tlačítkem myši Služba systému Windows služby AD FS (2.0) v modulu snap-in Řízení služby a potom klepněte na tlačítko Restartovat.

Řešení 3: Vyřešit Rozšířená ochrana pro ověřování týká

Chcete-li tento problém vyřešit, pokud Rozšířená ochrana pro ověřování brání úspěšnému ověření, použijte jednu z následujících doporučených metod:
 • Metoda 1: použití aplikace Windows Internet Explorer 8 (nebo novější verze programu) pro přihlášení.
 • Metoda 2: publikování služby AD FS k Internetu tak, že není přepsat přemostění SSL, přesměrování zpracování protokolu SSL nebo filtrování paketů IP dat ESP. Doporučení nejlepších postupů k tomuto účelu je použití Proxy serveru služby AD FS.
 • Metoda 3: zavřít nebo zakázat sledování nebo dešifrování SSL aplikace.
Pokud nelze použít některou z těchto metod, chcete-li tento problém vyřešit, je možné zakázat Rozšířená ochrana pro ověřování pro pasivní a aktivní klienty.

Řešení: Zakázat Rozšířená ochrana pro ověřování

Upozornění:Nedoporučujeme používat tento postup jako dlouhodobé řešení. Zakázání Rozšířená ochrana pro ověřování oslabí profil zabezpečení služby AD FS není po zjištění některých man-in-the-middle útoky na integrované ověřování systému Windows koncové body.

Poznámka: Při použití tohoto zástupného řešení pro funkce aplikací jiných výrobců, byste měli také odinstalovat opravy hotfix v operačním systému klienta pro rozšířená ochrana pro ověřování. Další informace o opravách hotfix naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
968389 Rozšířená ochrana pro ověřování
Pro pasivní klienty
Rozšířená ochrana pro ověřování pro pasivní klienty zakázat, proveďte následující kroky pro následující virtuální aplikace služby IIS na všech serverech v serverové farmě federace služby AD FS:
 • Výchozí webový server/adfs
 • Výchozí webový server/adfs/ls
Chcete-li to provést, postupujte takto:
 1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření modulu Správce služby IIS naleznete v tématu Spusťte Správce Internetové informační služby (IIS 7).
 2. V zobrazení funkce poklepejte na položku ověřování.
 3. Na stránce ověřování vyberte Ověřování systému Windows.
 4. V podokně Akce klepněte na tlačítko Upřesnit nastavení.
 5. Pokud se zobrazí dialogové okno Upřesnit nastavení , vyberte možnost vypnoutzRozšířená ochrana rozevírací nabídky.
Pro aktivní klienty.
Chcete-li zakázat rozšířené ochrany pro ověřování klientů aktivní, pomocí následujícího postupu na primárním serveru služby AD FS:
 1. Spusťte prostředí Windows PowerShell.
 2. Spusťte následující příkaz k načtení prostředí Windows PowerShell pro modul snap-in služby AD FS:
  Add-PsSnapIn Microsoft.Adfs.Powershell
 3. Spusťte následující příkaz pro zakázání Rozšířená ochrana pro ověřování:
  Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Znovu povolit Rozšířená ochrana pro ověřování

Pro pasivní klienty
Rozšířená ochrana pro ověřování pro pasivní klienty znovu povolit, proveďte následující kroky pro následující virtuální aplikace služby IIS na všech serverech v serverové farmě federace služby AD FS:
 • Výchozí webový server/adfs
 • Výchozí webový server/adfs/ls
Chcete-li to provést, postupujte takto:
 1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření modulu Správce služby IIS naleznete v tématu Spusťte Správce Internetové informační služby (IIS 7).
 2. V zobrazení funkce poklepejte na položku ověřování.
 3. Na stránce ověřování vyberte Ověřování systému Windows.
 4. V podokně Akce klepněte na tlačítko Upřesnit nastavení.
 5. Pokud se zobrazí dialogové okno Upřesnit nastavení , vyberte z rozevírací nabídky Rozšířené ochrany přijmout.
Pro aktivní klienty.
Rozšířená ochrana pro ověřování pro aktivní klienty znovu povolit, proveďte následující kroky na primárním serveru služby AD FS:
 1. Spusťte prostředí Windows PowerShell.
 2. Spusťte následující příkaz k načtení prostředí Windows PowerShell pro modul snap-in služby AD FS:
  Add-PsSnapIn Microsoft.Adfs.Powershell
 3. Spusťte následující příkaz Povolit Rozšířená ochrana pro ověřování:
  Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Řešení 4: Nahradit záznamy CNAME záznamy služby AD FS

Použití nástroje pro správu služby DNS nahradit každý záznam DNS aliasu (CNAME), který se používá pro službu federation service s DNS záznam adresy (A). Také zkontrolujte nebo při provádění split-brain konfigurace služby DNS, zvažte nastavení DNS organizace. Další informace o správě záznamů DNS naleznete na následujícím webu Microsoft TechNet:

Řešení 5: Nastavení aplikace Internet Explorer jako klient služby AD FS pro jednotné přihlášování (SSO)

Další informace o tom, jak nastavit aplikaci Internet Explorer pro přístup služby AD FS naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2535227Federovaný uživatel neočekávaně vyzván k zadání jejich práce nebo škola pověření účtu
DALŠÍ INFORMACE
K ochraně sítě, služba AD FS používá Rozšířená ochrana pro ověřování. Rozšířená ochrana pro ověřování můžete předejít útoku man-in-the-middle, kdy útočník zachycuje pověření klienta a předá je na server. Ochrana proti takovým útokům je umožněno pomocí kanálu vazby prací (CBT). CBT můžete požadované, povoleno nebo není požadováno na serveru, po komunikaci s klienty.

ExtendedProtectionTokenCheck AD FS nastavení určuje úroveň Rozšířená ochrana pro ověřování, podporovaný federační server. Dostupné hodnoty pro toto nastavení jsou následující:
 • Vyžadují: server je plně zesílený. Rozšířená ochrana je zajištěna.
 • Povolit: Jedná se o výchozí nastavení. Server je částečně zesílený. Rozšířená ochrana je vynuceno pro související systémy, které jsou změněny na tuto funkci nepodporují.
 • None: server je ohrožen. Rozšířená ochrana není vynucena.
Následující tabulky popisují, jak funguje ověřování pro tři operační systémy a prohlížeče, různé možnosti rozšířené ochrany, které jsou dostupné ve službě AD FS se službou IIS.

Poznámka: Klientských operačních systémech Windows, musí mít konkrétní aktualizace, které jsou nainstalovány na efektivně používat funkce rozšířené ochrany. Ve výchozím nastavení jsou povoleny funkce ve službě AD FS. Tyto aktualizace jsou k dispozici v následujícím článku znalostní báze Microsoft Knowledge Base:
968389 Rozšířená ochrana pro ověřování
Ve výchozím nastavení systém Windows 7 obsahuje odpovídající binární soubory pro použití rozšířené ochrany.

Windows 7 (nebo odpovídajícím způsobem aktualizované verze systému Windows Vista nebo Windows XP)
NastaveníVyžadujíPovolit (výchozí)Žádný
Komunikace v systému Windows
Klient Foundation (WCF) (všechny koncové body)
Stavební práceStavební práceStavební práce
Aplikace Internet Explorer 8Stavební práceStavební práceStavební práce
Firefox 3.6SelháníSelháníStavební práce
Safari 4.0.4SelháníSelháníStavební práce
Systém Windows Vista bez příslušných aktualizací
NastaveníVyžadujíPovolit (výchozí)Žádný
Klient WCF (všechny koncové body)SelháníStavební práceStavební práce
Aplikace Internet Explorer 8Stavební práceStavební práceStavební práce
Firefox 3.6SelháníStavební práce Stavební práce
Safari 4.0.4SelháníStavební práce Stavební práce
Systém Windows XP bez příslušných aktualizací
NastaveníVyžadujíPovolit (výchozí)Žádný
Aplikace Internet Explorer 8Stavební práceStavební práceStavební práce
Firefox 3.6SelháníStavební práce Stavební práce
Safari 4.0.4SelháníStavební práce Stavební práce
Další informace o rozšířené ochrany pro ověřování naleznete v následujících zdrojích společnosti Microsoft:
968389 Rozšířená ochrana pro ověřování
Další informace o Sada ADFSProperties rutiny přejděte na následující web společnosti Microsoft:

Stále potřebujete pomoc? Přejděte Komunity Office 365 Web nebo Fóra Azure služby Active Directory webu.

Produkty třetích stran popisované v tomto článku jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou, týkající se výkonu nebo spolehlivosti těchto produktů

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 2461628 - Poslední kontrola: 02/19/2015 18:19:00 - Revize: 21.0

Microsoft Azure cloud services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

 • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtcs
Váš názor