Föderationsbenutzer ist beim Anmelden bei Office 365, Azure oder Intune wiederholt nach Anmeldeinformationen gefragt

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir, dass Sie die Risiken abschätzen, die mit dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Lösung implementieren, ergreifen Sie entsprechenden Maßnahmen zum Schutz des Computers.

PROBLEM

Föderationsbenutzer ist wiederholt nach Anmeldeinformationen gefragt, wenn der Benutzer während der Anmeldung einen Microsoft Cloud-Dienst oder Office 365, Microsoft Azure, Windows Intune Dienstendpunkt Active Directory Federation Services (AD FS) authentifizieren. Wenn der Benutzer abbricht, erhält der Benutzer die folgende Fehlermeldung angezeigt:
Zugriff verweigert

URSACHE

Das Symptom gibt ein Problem mit der integrierten Windows-Authentifizierung mit AD FS. Dieses Problem kann auftreten, wenn eine oder mehrere der folgenden Ursachen zutrifft:
  • Ein falscher Benutzername oder Kennwort wurde verwendet.
  • Einstellung für Internet Information Services (IIS) werden in AD FS nicht korrekt eingerichtet.
  • Der Service principal Name (SPN), der mit dem Dienstkonto verknüpft ist, die zum Ausführen der Verbundserverfarm AD FS verloren geht oder beschädigt.

    Hinweis Dies tritt nur bei AD FS als eine Verbundserverfarm implementiert ist und in einer eigenständigen Konfiguration nicht implementiert.
  • Eine oder mehrere der folgenden werden als Quelle für einen Man-in-the-Middle-Angriff von erweiterter Schutz für die Authentifizierung identifiziert:
    • Einige Drittanbieter-Internetbrowser
    • Unternehmensnetzwerk-Firewall, Netzwerklastenausgleich und anderen Netzwerkgeräten ist der AD FS-Verbunddienst im Internet so veröffentlicht, dass IP-Nutzdaten potenziell umgeschrieben werden können. Dazu gehören möglicherweise folgende Daten:
      • Secure Sockets Layer (SSL) überbrücken
      • SSL-Abladung
      • Statusbehafteter Paketfilter

        Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
        2510193 unterstützte Szenarios für die Verwendung von AD FS, um einmaliges Anmelden in Office 365, Azure oder Intune einzurichten
    • Ein überwachen oder SSL-Entschlüsselung Anwendung installiert ist oder auf dem Client-computer
  • Domain Name System (DNS) Auflösung des Dienstendpunkts AD FS erfolgte durch CNAME-Einträgen nicht durch A-Einträgen gesucht.
  • Windows Internet Explorer ist nicht so konfiguriert, dass integrierte Windows-Authentifizierung an den AD FS-Server übergeben.

Vor der Problembehandlung

Überprüfen Sie den Benutzernamen und das Kennwort nicht die Ursache des Problems.
  • Stellen Sie sicher, dass der richtige Benutzername dient und Format User principal Name (UPN). Beispielsweise johnsmith@contoso.com.
  • Stellen Sie sicher, dass das richtige Kennwort verwendet wird. Zum Überprüfen, dass das richtige Kennwort verwendet wird, müssen Sie das Kennwort zurücksetzen. Weitere Informationen finden Sie im folgenden Microsoft TechNet-Artikel:
  • Stellen Sie sicher, dass das Konto nicht gesperrt, abgelaufen oder außerhalb der festgelegten Anmeldezeiten verwendet. Weitere Informationen finden Sie im folgenden Microsoft TechNet-Artikel:

Überprüfen Sie die Ursache

Um sicherzustellen, dass Probleme mit Kerberos das Problem verursachen, vorübergehend umgehen Sie, Kerberos-Authentifizierung durch Aktivieren der formularbasierten Authentifizierung auf der Verbundserverfarm AD FS. Gehen Sie hierzu folgendermaßen vor:

Schritt 1: Bearbeiten der Datei web.config auf jedem Server in der Verbundserverfarm AD FS
  1. Suchen Sie in Windows Explorer den Ordner C:\inetpub\adfs\ls\, und erstellen Sie eine Sicherungskopie der Datei web.config.
  2. Klicken Sie auf Start, AlleProgramme, Zubehör, Maustaste Editorund klicken Sie dann auf als Administrator ausführen.
  3. Klicken Sie im Menü Datei auf Öffnen. Geben Sie im Feld Dateiname C:\inetpub\adfs\ls\web.config, und klicken Sie auf Öffnen.
  4. Folgendermaßen Sie in der Datei web.config vor:
    1. Suchen Sie die Zeile mit < Authentifizierungsmodus =, und ändern Sie sie in < Authentifizierungsmodus = "Formulare" / >.
    2. Suchen Sie den Abschnitt, der mit < LocalAuthenticationTypes >, und ändern Sie den Abschnitt, der < Namen hinzufügen = "Formulare" zuerst, wie folgt aufgelistet:
      <localAuthenticationTypes>
      < Namen hinzufügen "Forms" page="FormsSignIn.aspx =" / >
      < Namen hinzufügen = "Integrated" Page = "Auth integriertem /" / >
      < hinzufügen Name = "TlsClient" Seite = "Auth-Client /" / >
      < Namen hinzufügen = "Standardseite" = "Auth-Basic /" / >
  5. Klicken Sie im Menü Datei auf Speichern.
  6. Starten Sie bei Belegen IIS neu mit dem Befehl Iisreset .
Schritt 2: Test AD FS-Funktionalität
  1. Auf einem Clientcomputer, der angeschlossen und lokalen authentifiziert AD DS-Umgebung Cloud Service Portal anmelden.

    Statt eine nahtlose Authentifizierung Erfahrung sollte eine formularbasierte Anmelden auftreten können. Anmeldung bestätigt erfolgreich mithilfe der formularbasierten Authentifizierung, dies, dass ein Problem mit Kerberos im AD FS-Verbunddienst vorhanden ist.
  2. Wiederherstellen der Konfigurations jedes Servers im AD FS Verbundserverfarm Authentifizierung Einstellungen die Schritte im Abschnitt "Lösung". Die Konfiguration jedes Servers im AD FS Verbundserverfarm wiederherzustellen, gehen Sie folgendermaßen vor:
    1. Suchen Sie in Windows Explorer den Ordner C:\inetpub\adfs\ls\, und löschen Sie die Datei web.config.
    2. Verschieben die Sicherung im erstellten web.config-Datei der "Schritt 1: Bearbeiten die Datei web.config auf jedem Server in der Verbundserverfarm AD FS" Abschnitt im Ordner C:\inetpub\adfs\ls\.
  3. Starten Sie bei Belegen IIS neu mit dem Befehl Iisreset .
  4. Überprüfen Sie, das Verhalten der AD FS-Authentifizierung auf das ursprüngliche Problem wieder.

LÖSUNG

Um Kerberos-Problem zu beheben, das AD FS-Authentifizierung beschränkt, verwenden Sie eine oder mehrere der folgenden Methoden an, je nach der Situation.
: 1 zurücksetzen AD FS Authentifizierung Auflösung die Standardwerte
Lösung 2: Korrigieren der AD FS-Verbundserverfarm SPN
Lösung 3: Lösen erweiterter Schutz für die Authentifizierung betrifft
Lösung 4: Ersetzen CNAME-Einträge mit Datensätzen für AD FS
Lösung 5: Einrichten von Internet Explorer als AD FS-Client für einmaliges Anmelden (SSO)

Weitere Informationen

Zum Schutz ein Netzwerks verwendet AD FS erweiterter Schutz für die Authentifizierung. Erweiterter Schutz für die Authentifizierung kann Angriffe Man-in-the-Middle-Angreifer fängt die Anmeldeinformationen des Clients ab und leitet sie an einen Server. Schutz gegen solche Angriffe erfolgt mit Channel Bindung Works (CBT). CBT kann erforderlich, zugelassen oder vom Server nicht erforderlich, wenn Kommunikation mit Clients hergestellt werden.

ExtendedProtectionTokenCheck AD FS-Einstellung gibt die erweiterten Schutz für die Authentifizierung, die vom Verbundserver unterstützt wird. Die verfügbaren Werte für diese Einstellung sind:
  • Erforderlich: der Server vollständig geschützt ist. Erweiterter Schutz wird erzwungen.
  • Zulassen: Dies ist die Standardeinstellung. Der Server ist teilweise verstärkten. Erweiterter Schutz ist bei betroffenen Systemen erzwungen, die geändert werden, damit diese Funktion unterstützt.
  • None: der Server ist. Erweiterter Schutz nicht durchgesetzt.
Die folgenden Tabellen beschreiben die Funktionsweise der Authentifizierung für drei Betriebssysteme und Browser abhängig von den erweiterten Schutz Optionen auf AD FS mit IIS.

Hinweis Windows-Clientbetriebssystemen müssen bestimmte Updates, die installiert werden, um erweiterte Funktionen nutzen. Die Funktionen sind in AD FS aktiviert. Diese Updates stehen folgenden Artikel der Microsoft Knowledge Base:
Erweiterter Schutz für die Authentifizierung 968389
Windows 7 enthält geeigneten Binärdateien zum erweiterten Schutz verwenden.

Windows 7 (oder entsprechend aktualisierte Versionen von Windows Vista oder Windows XP)
EinstellungErforderlichLassen Sie zu (Standard)Keine
Windows-Kommunikation
Foundation (WCF)-Clients (alle Endpunkte)
WorksWorksWorks
Internet Explorer 8 und höherWorksWorksWorks
Firefox 3.6Schlägt fehlSchlägt fehlWorks
Safari 4.0.4Schlägt fehlSchlägt fehlWorks
Windows Vista ohne entsprechende updates
EinstellungErforderlichLassen Sie zu (Standard)Keine
WCF-Client (alle Endpunkte)Schlägt fehlWorksWorks
Internet Explorer 8 und höherWorksWorksWorks
Firefox 3.6Schlägt fehlWorksWorks
Safari 4.0.4Schlägt fehlWorksWorks
Windows XP ohne entsprechende updates
EinstellungErforderlichLassen Sie zu (Standard)Keine
Internet Explorer 8 und höherWorksWorksWorks
Firefox 3.6Schlägt fehlWorksWorks
Safari 4.0.4Schlägt fehlWorksWorks
Weitere Informationen zu erweiterten Schutz für die Authentifizierung finden Sie in den folgenden Microsoft-Ressourcen:
Erweiterter Schutz für die Authentifizierung 968389
Weitere Informationen über das Cmdlet " Set-ADFSProperties " finden Sie auf folgender Microsoft-Website:

Benötigen Sie Hilfe? Gehe zu Microsoft Community oder Azure Active Directory Forum -Website.

Die in diesem Artikel erörterten Produkte von Drittanbietern werden von Unternehmen hergestellt, die von Microsoft unabhängig sind. Microsoft übernimmt keine Garantie, konkludent oder andernfalls die Leistung oder Zuverlässigkeit dieser Produkte
Eigenschaften

Artikelnummer: 2461628 – Letzte Überarbeitung: 08.01.2017 – Revision: 1

Feedback