PROBLÉM

Když se pokusíte získat přístup k cloudové službě Microsoftu, jako je Office 365, Microsoft Azure nebo Microsoft Intune prostřednictvím webového klienta nebo bohaté klientské aplikace pomocí federovaného účtu, ověřování se nepovede od konkrétního klientského počítače. Když používáte webový prohlížeč pro přístup k portálu Cloud Service z jednoho počítače pomocí federovaného účtu, může dojít k některému z následujících příznaků:

  • Když se připojíte k koncovému bodu portálu, zobrazí se některá z následujících chybových zpráv:

    Internet Explorer nemůže zobrazit webovou stránku.

    Stránka 403 nebyla nalezena

  • Když se připojíte ke koncovému bodu služby AD FS (Active Directory Federation Services), zobrazí se některá z následujících chybových zpráv:

    Internet Explorer nemůže zobrazit webovou stránku

    Stránka 403 nebyla nalezena

  • Při připojení ke koncovému bodu služby AD FS se zobrazí upozornění na certifikát.

  • Když se připojíte ke koncovému bodu služby AD FS v době, kdy jste přihlášeni do podnikové domény, zobrazí se výzva k zadání přihlašovacích údajů. Tato výzva k zadání vašich přihlašovacích údajů nepoužívá ověřování na základě formulářů.

  • Když se připojíte ke koncovému bodu AD FS pomocí webového prohlížeče třetí strany, zobrazí se výzvy k ověření. Tyto výzvy nepoužívají ověřování na základě formulářů.

  • Když se připojíte ke koncovému bodu login.microsoftonline.com, zobrazí se tato chybová zpráva:

    Odepření přístupu

MÍT

Tento problém se obvykle vyskytuje v klientském počítači nebo ve skupině klientských zařízení. Tento problém může nastat pro všechny uživatele a klientské počítače, pokud není plně funkční jednotné přihlašování. Jednotné přihlašování není plně funkční, pokud není nastavení klienta správně nastavené. Tento problém může způsobovat následující situace klientského zařízení:

  • Připojení k síti je možná omezené.

  • Klientské zařízení získává nesprávné rozlišení názvu služby AD FS Federation Service z interní implementace DNS Split-mozek.

  • Pokud je na počítači nakonfigurovaný internetový proxy server, nesmí být název služby AD FS Federation Service přidán do seznamu vynechaných serverů proxy.

  • Název služby AD FS FS nelze přidat do zóny zabezpečení Místní intranet v nastavení možností Internetu.

  • Klientský počítač není ověřený službou Active Directory Domain Services.

  • Webový prohlížeč třetí strany nepodporuje rozšířenou ochranu pro ověřování služby AD FS Federation.

  • Koncový bod federačních metadat lze v registru hardcoded z důvodu dřívější instalace nástroje pro správu jednotného přihlašování v Office 365 Beta.

  • Požadovaný koncový bod služby AD FS, který je požadován pro konkrétní klientskou aplikaci, je zakázán.

Než budete pokračovat, ujistěte se, že jsou splněné následující podmínky:

  • Problémy s přístupem nejsou omezeny na bohaté klientské aplikace v klientském počítači. Pokud nefungují pouze rozsáhlá ověření klienta (oproti ověřování na základě prohlížeče), je pravděpodobnější, že problém s ověřováním klientů je velmi lepší. Může jít třeba o problém, který se vztahuje k předpokladům nebo konfiguraci bohatých klientských aplikací. Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2637629  Řešení potíží s neprohlížeči, které se nedají přihlásit k Office 365, Azure nebo Intune

  • Ověřování jednotného přihlašování neproběhne u všech uživatelských účtů s podporou jednotného přihlašování. Pokud všichni uživatelé s podporou jednotného přihlašování mají stejné příznaky, je pravděpodobnější, že se jedná o federační problém. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2530569  Řešení problémů s instalací jednotného přihlašování v Office 365, Intune nebo Azure

  • Ověřování jednotného přihlašování pro uživatelský účet je úspěšné v jiných klientských počítačích. Pokud se uživatelský účet nemůže přihlásit k žádnému klientovi cloudových služeb, přečtěte si článek o řešení, které se týkají klientského počítače. Také se můžete seznámit s tím, že s uživatelským účtem je něco špatného, a ne s klientským počítačem. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

    2530590  Poradce při potížích s účtem pro federované uživatele v Office 365, Azure nebo Intune

  • Klávesnice v klientském počítači funguje správně a uživatelské jméno a heslo jsou zadané správně.

PRŮZKUMNÍKU

Pokud chcete tento problém vyřešit, použijte v závislosti na příčině problému jednu nebo více následujících metod.

Řešení 1: Nelze se připojit k portálu Cloud Service ani k AD FS 

Zkuste přejít na http://www.MSN.com. Pokud to nepomůže, odstraňte problémy s připojením k síti. Postupujte takto:

  1. Na příkazovém řádku můžete pomocí nástrojů ipconfig a ping řešit potíže s připojením IP. Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

    169790 Jak odstraňovat základní problémy s protokolem TCP/IP.

  2. Na příkazovém řádku zadejte nslookup www.MSN.com a zjistěte, jestli DNS překládá názvy internetových serverů.

  3. Pokud používáte proxy server v místní síti, ujistěte se, že nastavení serveru proxy v možnostech Internetu odpovídá příslušnému proxy serveru.

  4. Pokud je na hranici sítě nainstalována brána Forefront Threat Management Gateway (TMG) a brána firewall vyžaduje ověření klienta, bude možná potřeba nainstalovat klientský program Forefront TMG na klientské zařízení pro přístup k Internetu. Požádejte o pomoc správce cloudové služby.

Řešení 2: Nelze se připojit ke službě AD FS

Při řešení potíží postupujte takto:

  1. Odstraňte problémy s připojením IP pomocí řešení 1.

  2. Na příkazovém řádku zadejte příkaz nslookup <AD fs 2,0 plně kvalifikovaný název domény>a pak stisknutím klávesy ENTER určete, zda DNS překlad názvu služby AD FS správně probíhá.Poznámka V tomto příkazu <FQDN> představuje plně kvalifikovaný název domény (FQDN) názvu služby AD FS. Nepředstavuje název hostitele Windows serveru AD FS.

    1. Pokud je klient připojený k podnikové síti, ujistěte se, že adresa IP, která je přeložená, je privátní IP adresa. IP adresa musí odpovídat některému z následujících vzorů:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    2. Pokud je klient mimo podnikovou síť, ujistěte se, že adresa IP, která je přeložená, je veřejnou IP adresou. Ujistěte se, že neodpovídají některé z následujících vzorků:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    3. Pokud je přeložená IP adresa na základě kroku 1 a kroku 2 nesprávná, a jiné klientské počítače nemají stejné chování, postupujte takto:

      1. Na příkazovém řádku zadejte ipconfig/alla pak zkontrolujte, jestli je primární server DNS vhodný pro síť, ke které je připojený klient.

      2. Otevřete soubor%Windir%\system32\drivers\etc\hosts v poznámkovém bloku a odeberte všechny položky pro plně kvalifikovaný název domény služby AD FS. Potom soubor uložte.

      3. Na příkazovém řádku zadejte ipconfig/flushdns a vymažte mezipaměť DNS.

    Poznámka Pokud jsou klientská zařízení připojena jenom k podnikové síti, přejděte na krok 3.

  3. Přidejte plně kvalifikovaný název domény AD FS do seznamu vynechaných serverů proxy. Postupujte podle pokynů v následujícím článku znalostní báze Microsoft Knowledge Base:

    262981 Internet Explorer používá proxy server pro místní IP adresu, a to i v případě, že je zapnutá možnost Nepoužívat proxy server pro místní adresy

Řešení 3: upozornění na certifikát při připojení ke koncovému bodu služby AD FS

Tento problém vyřešíte pomocí článku znalostní báze Microsoft Knowledge Base s problémy s certifikátem SSL (Secure Sockets Layer):

2523494 Při pokusu o přihlášení k Office 365, Azure nebo Intune se zobrazuje upozornění na certifikát od AD FS.

Řešení 4: při přihlašování z klientského počítače, který je připojený k podnikové síti, se zobrazí výzva neočekávaného pověření.

Při řešení potíží postupujte takto:

  1. Ujistěte se, že klientský počítač je úspěšně přihlášen k doméně.

    1. Klikněte na tlačítko Start, na příkaz Spustit, zadejte %LOGONSERVER%\Sysvola klikněte na tlačítko OK.

    2. Pokud se zobrazí výzva k zadání přihlašovacích údajů, odhlaste se a pak se přihlaste pomocí firemních přihlašovacích údajů.

  2. Přidejte plně kvalifikovaný název domény AD FS do zóny Místní intranet.

    1. Na kartě zabezpečení klikněte na místní intraneta potom na weby.

    2. Klikněte na Upřesnita potom Prozkoumejte seznam webů pro plně kvalifikovaný název DNS koncového bodu služby AD FS (třeba STS.contoso.com). Poznámka V této konfiguraci bude fungovat také zástupná hodnota, třeba "*. consoto.com".

  3. Přidejte plně kvalifikovaný název domény AD FS do seznamu vynechaných serverů proxy. Postupujte podle pokynů v následujícím článku znalostní báze Microsoft Knowledge Base:

    262981 Internet Explorer používá proxy server pro místní IP adresu, a to i v případě, že je zapnutá možnost Nepoužívat proxy server pro místní adresy

Řešení 5: webový prohlížeč třetích stran nepodporuje rozšířenou ochranu pro ověřování a zobrazí se výzvy k ověření.

Při řešení potíží postupujte takto:

  1. Používejte Windows Internet Explorer (Internet Explorer podporuje rozšířenou ochranu pro ověřování) místo webového prohlížeče jiného výrobce, který nepodporuje rozšířenou ochranu pro ověřování.

  2. Pokud používáte Internet Explorer, můžete pomocí následujícího článku znalostní báze Microsoft Knowledge Base nakonfigurovat AD FS, aby přijímal žádosti webových prohlížečů, které nepodporují rozšířenou ochranu ověřování:

    2461628 Federovanému uživateli se opakovaně zobrazuje výzva k zadání přihlašovacích údajů pro Office 365, Azure nebo Intune.

Řešení 6: chybová zpráva "přístup odepřen" při pokusu o připojení k login.microsoftonline.com

Důležité Tento oddíl obsahuje kroky, které popisují, jak registr změnit. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

322756 Postup zálohování a obnovení registru v systému WindowsK problémům může dojít, pokud koncový bod pro jednotné přihlašování Azure Active Directory používaný službou AD FS není platný. Zkontrolujte, že koncový bod federace není v registru každého serveru ve farmě služby AD FS Federation Service pevně kódovaný. Tento problém vyřešíte tak, že v editoru registru odstraníte následující podklíč registru:

HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationAD FS vrátí zpátky správný koncový bod na základě vztahu důvěryhodnosti předávající strany jednotného přihlašování.

Řešení 7: resetování zakázaného koncového bodu služby AD FS s výchozí konfigurací

Další informace o tom, jak postupovat, najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

2712957 Po změně koncového bodu služby FS se přihlaste k Office 365, Azure nebo Intune. 

Stále potřebujete pomoc? Přejděte na web komunity Microsoftu nebo na webu služby Azure Active Directory .

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×