Vorgehensweise beim Aktualisieren oder die Einstellung einer Föderationsdomäne in Office 365, Azure oder Intune reparieren

Einführung

Einmaliges Anmelden (SSO) in einem Microsoft Cloud-Dienst oder Office 365, Microsoft Azure, Windows Intune hängt von einer lokalen Bereitstellung von Active Directory-Verbunddienste (AD FS), der ordnungsgemäß funktioniert. Einige Szenarien erfordern Neuerstellen der Konfigurations der föderierten Domäne in AD FS technische Probleme zu beheben. Dieser Artikel enthält eine schrittweise Anweisung zum Aktualisieren oder reparieren Sie die Konfiguration der föderierten Domäne.

Weitere Informationen

Die Konfiguration der föderierten Domäne aktualisieren

Die Konfiguration der föderierten Domäne hat in den Szenarien aktualisiert werden, die in den folgenden Artikeln der Microsoft Knowledge Base beschrieben werden.
  • 2713898 AD FS Wenn Föderationsbenutzer Azure, Office 365 und Windows Intune Zeichen-Fehler "Fehler auf der Website"
  • 2535191 ""leider jedoch Probleme Anmeldung"und"80048163"Wenn Föderationsbenutzer versucht, Azure, Office 365 und Windows Intune anmelden
  • 2647020 "leider jedoch Probleme Anmeldung" und "80041317" oder "80043431" Wenn Föderationsbenutzer versucht, Azure, Office 365 und Windows Intune anmelden
  • 2748507 einzelne anmelden (SSO) Authentifizierung für andere Domänen SSO-aktivierten beendet nach Ausführen von Convert-MSOLDomainToStandard-cmdlet
Aktualisieren die Konfiguration der föderierten Domäne auf einen Computer einer Domäne angehört, die Azure Active Directory-Modul für Windows PowerShell installiert ist, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, AlleProgramme, klicken Sie auf Windows Azure Active Directoryund klicken Sie dann auf Windows Azure Active Directory Modul für Windows PowerShell.
  2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein und drücken Sie nach jedem Befehl:
    1. $cred = get-credential 
      Hinweis Wenn Sie aufgefordert werden, geben Sie die Administratoranmeldeinformationen Cloud-Dienst.
    2. Connect-MSOLService –credential:$cred 
    3. Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName> 
      Hinweis In diesem Befehl den Platzhalter < AD FS 2.0-Servername > Windows-Host-Name des primären AD FS-Server darstellt.
    4. Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> 
      oder:
      Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>  –supportmultipledomain 
      Notizen Die Supportmultipledomain- Option ist erforderlich, wenn mehrere Domänen der obersten Ebene mit der gleichen AD FS-Verbunddienst verbunden sind.

      In diesen Befehlen steht der Platzhalter < Domänenname Federated > der Name der Domäne, die bereits verbunden ist.
Wichtig Ein Skript ist zur Automatisierung der Aktualisierung der Verbundmetadaten regelmäßig, um sicherzustellen, dass sich das Tokensignaturzertifikat AD FS ordnungsgemäß repliziert werden.

Das Skript erstellt Windows Tasks auf dem Primärserver AD FS ändert der AD FS-Konfiguration wie vertrauen Info Updates Zertifikat signieren und usw. werden regelmäßig auf Azure Active Directory (Azure AD) übertragen.

Wenn das Tokensignaturzertifikat in einer Umgebung automatisch erneuert wird, wo das Skript implementiert wird, aktualisiert das Skript Cloud vertrauen Info um Ausfallzeiten verhindern, die durch veraltete Cloud Zertifikat Informationen verursacht wird. Eine Prozedur schrittweise Bereitstellung befindet sich auf der folgenden Microsoft-Website:

Reparieren Sie die Konfiguration der föderierten Domäne

Die Konfiguration der föderierten Domäne muss in den Szenarien repariert werden, die in den folgenden Artikeln der Microsoft Knowledge Base beschrieben werden.
  • 2523494 eine Warnmeldung Zertifikat von AD FS beim Anmelden bei Office 365, Azure oder Intune
  • 2618887 "Federation Service Bezeichner in AD FS 2.0 angegebenen Server ist bereits in Verwendung" Fehler beim Einrichten einer anderen föderierten Domäne in Office 365, Azure oder Intune
  • 2713898 AD FS Wenn Föderationsbenutzer Azure, Office 365 und Windows Intune Zeichen-Fehler "Fehler auf der Website"
  • 2647020 Fehler "Ihrer Organisation konnte nicht für diesen Dienst anmelden," und "80041317" oder "80043431" Fehlercode Wenn Föderationsbenutzer versucht Office 365 anmelden
  • Der Verbunddienst in AD FS wird umbenannt. Weitere Informationen finden Sie auf der folgenden Microsoft-Website:
Gehen Sie folgendermaßen vor, um die Föderationsdomäne Konfiguration auf einer Domäne beigetretenen Computer zu reparieren, das Azure Active Directory-Modul für Windows PowerShell installiert ist.

Warnhinweise
  • Die folgende Prozedur entfernt Anpassungen durch Einschränken des Zugriffs auf Office 365-Diensten mithilfe des Standorts des Clientserstellt werden. Nach der Reparatur der Konfigurations der föderierten Domäne müssen Sie eingeschränkten AD FS konfigurieren.
  • Die folgenden Schritte sollte sorgfältig geplant werden. Benutzer für die SSO-Funktionen in der föderierten Domäne aktiviert ist werden während dieses Vorgangs von Ende Schritt 4 bis zum Abschluss von Schritt 5 authentifiziert. Nichtbeachtung der Update-MSOLFederatedDomain -Cmdlet Test in Schritt 1 erfolgreich ist, wird Schritt 5 nicht korrekt abgeschlossen. Föderationsbenutzer können authentifizieren, bis das Update-MSOLFederatedDomain -Cmdlet erfolgreich ausgeführt werden kann.
  1. Führen Sie die Schritte in "Föderationsdomäne Konfiguration aktualisieren" Abschnitt weiter oben in diesem Artikel, um sicherzustellen, dass das Cmdlet Update-MSOLFederatedDomain erfolgreich abgeschlossen.
    • Wenn das Cmdlet nicht erfolgreich abgeschlossen wurde, nicht fort. Stattdessen finden Sie im Abschnitt "Bekannte Probleme, die auftreten können, wenn Sie aktualisieren oder eine föderierten Domäne reparieren" weiter unten in diesem Artikel, um das Problem zu beheben.
    • Wenn das Cmdlet erfolgreich abgeschlossen wird, lassen Sie das Eingabeaufforderungsfenster zur späteren Verwendung geöffnet.
  2. Melden Sie sich an den AD FS-Server an. Dazu klicken Sie auf Start, AlleProgramme, Verwaltungund klicken Sie dann auf AD FS (2.0) Management.
  3. Klicken Sie im linken Navigationsbereich klicken Sie auf AD FS (2.0), klicken Sie auf Vertrauensstellungenund klicken Sie Verlassen vertrauen.
  4. Im rechten Fensterbereich den Eintrag Microsoft Office 365 Identitätsplattform aus.
  5. Erstellen Sie in Windows PowerShell-Fenster, das Sie in Schritt 1 geöffnet haben das gelöschte Vertrauensobjekt. Dazu führen Sie folgenden Befehl und dann die EINGABETASTE:
    Update-MSOLFederatedDomain -DomainName  <Federated Domain Name> 
    oder:
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain 
    Notes

    Die Supportmultipledomain- Option ist erforderlich, wenn mehrere Domänen der obersten Ebene mit der gleichen AD FS-Verbunddienst verbunden sind.

    In diesen Befehlen steht der Platzhalter < Domänenname Federated > der Name der Domäne, die bereits verbunden ist.

Bekannte Probleme, die auftreten können, wenn Sie aktualisieren oder eine föderierten Domäne reparieren

Die folgenden Szenarien Probleme beim Aktualisieren oder eine föderierten Domäne reparieren:
  • Kann nicht verbinden mit Windows PowerShell. Weitere Informationen zu diesem Problem finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2494043 kann keine Verbindung mit dem Azure Active Directory-Modul für Windows PowerShell
  • Die Azure Active Directory-Modul für Windows PowerShell kann aufgrund fehlender Komponenten nicht laden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2461873 der Azure Active Directory-Modul für Windows PowerShell kann nicht geöffnet werden
  • Beim Set-MSOLADFSContext -Cmdlet ausführen, erhalten Sie eine Fehlermeldung "Zugriff verweigert". Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2587730 "die Verbindung zum Server < ServerName > Active Directory Federation Services 2.0" Fehler bei das Set-MsolADFSContext-Cmdlet verwenden
Benötigen Sie Hilfe? Gehe zu Microsoft Community oder Azure Active Directory Forum -Website.
Eigenschaften

Artikelnummer: 2647048 – Letzte Überarbeitung: 10.01.2017 – Revision: 1

Feedback