Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Föderationsbenutzer ist beim Anmelden bei Office 365, Azure oder Intune wiederholt nach Anmeldeinformationen gefragt

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 2461628
Wichtig Dieser Artikel enthält Informationen, die Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir, dass Sie die Risiken, die abzuschätzen mit dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Falls Sie diesen Workaround einsetzen, ergreifen Sie entsprechenden Maßnahmen zum Schutz des Computers.
PROBLEM
Föderationsbenutzer wird wiederholt Anmeldeinformationen aufgefordert, wenn der Benutzer bei der Anmeldung an einen Microsoft Cloud-Dienst wie Office 365, Microsoft Azure oder Microsoft Intune Dienstendpunkt Active Directory Federation Services (AD FS) authentifizieren. Wenn der Benutzer abbricht, erhält der Benutzer die folgende Fehlermeldung angezeigt:
Zugriff verweigert
URSACHE
Das Symptom gibt ein Problem mit der integrierten Windows-Authentifizierung mit AD FS. Dieses Problem kann auftreten, wenn eine oder mehrere der folgenden Umstände zutreffen:
  • Ein falscher Benutzername oder Kennwort wurde verwendet.
  • Einstellung für Internet Information Services (IIS) werden in AD FS nicht ordnungsgemäß eingerichtet.
  • Der Dienstprinzipalnamen (SPN), der das Dienstkonto zugeordnet ist, mit der der Verbundserverfarm AD FS ausführen, verloren geht oder beschädigt wird.

    Hinweis Dies tritt nur bei AD FS als eine Verbundserverfarm implementiert ist und in einer eigenständigen Konfiguration nicht implementiert.
  • Eine oder mehrere der folgenden werden als Quelle eines Man-in-the-Middle-Angriffs von erweiterter Schutz für die Authentifizierung identifiziert:
    • Einige Drittanbieter-Internetbrowser
    • Unternehmensnetzwerk-Firewall, Netzwerklastenausgleich und anderen Netzwerkgeräten ist der AD FS-Verbunddienst im Internet so veröffentlicht, dass IP-Nutzdaten potenziell umgeschrieben werden können. Dazu gehören möglicherweise die folgenden Arten von Daten:
      • Secure Sockets Layer (SSL)-bridging
      • SSL-Verschiebung
      • Statusbehafteter Paketfilter

        Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
        2510193Unterstützte Szenarios für die Verwendung von AD FS, um einmaliges Anmelden in Office 365, Azure oder Intune einzurichten
    • Ein monitoring SSL-Entschlüsselung-Anwendung installiert ist oder auf dem Client-computer
  • Domain Name System (DNS) Auflösung des Dienstendpunkts AD FS erfolgte durch CNAME-Datensatz-Lookup statt durch A-Einträgen gesucht.
  • Windows Internet Explorer ist nicht so konfiguriert, dass integrierte Windows-Authentifizierung an den AD FS-Server übergeben.

Vor der Problembehandlung

Überprüfen Sie den Benutzernamen und das Kennwort nicht die Ursache des Problems.
  • Stellen Sie sicher, dass der richtige Benutzername und User principal Name (UPN) Format. Beispielsweise die johnsmith@contoso.com.
  • Stellen Sie sicher, dass das richtige Kennwort verwendet wird. Um zu überprüfen, dass das richtige Kennwort verwendet wird, müssen Sie das Kennwort zurücksetzen. Weitere Informationen finden Sie auf des folgenden Microsoft TechNet-Artikels:
  • Stellen Sie sicher, dass das Konto nicht gesperrt, abgelaufen oder außerhalb der festgelegten Anmeldezeiten verwendet. Weitere Informationen finden Sie auf des folgenden Microsoft TechNet-Artikels:

Überprüfen Sie die Ursache

Um sicherzustellen, dass Probleme mit Kerberos das Problem verursachen, zeitweise übergehen Sie, Kerberos-Authentifizierung aktivieren Sie die formularbasierte Authentifizierung auf dem AD FS-Verbundserverfarm. Gehen Sie hierzu folgendermaßen vor:

Schritt 1: Bearbeiten der Datei web.config auf jedem Server in der Verbundserverfarm AD FS
  1. Suchen Sie in Windows Explorer den Ordner C:\inetpub\adfs\ls\, und erstellen Sie eine Sicherungskopie der Datei web.config.
  2. Klicken Sie auf Start, klicken Sie auf Alle Programme, auf Zubehör, Maustaste Editorund klicken Sie dann auf als Administrator ausführen.
  3. Auf die Datei Menü klicken Sie auf Öffnen. In den Namen GebenC:\inetpub\adfs\ls\web.config, und klicken Sie dann auf Öffnen.
  4. Folgendermaßen Sie in der Datei web.config vor:
    1. Suchen Sie die Zeile mit <authentication mode=""> </authentication>, und ändern Sie sie in <authentication mode="Forms"> </authentication>.
    2. Suchen Sie den Abschnitt, der mit <localAuthenticationTypes> </localAuthenticationTypes>, und ändern Sie den Abschnitt, der <add name="Forms"></add> zunächst, wie folgt aufgelistet:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Auf die Datei Menü klicken Sie auf Speichern.
  6. Starten Sie in einem Eingabeaufforderungsfenster mit erhöhten Rechten IIS mithilfe des Befehls Iisreset .
Schritt 2: Test AD FS-Funktionen
  1. Auf einem Clientcomputer, der angeschlossen und lokalen authentifiziert AD DS-Umgebung Cloud Service Portal anmelden.

    Statt eine nahtlose Authentifizierung Erfahrung sollte eine formularbasierte Anmelden auftreten können. Ist-in erfolgreich mit Formularauthentifizierung, bestätigt dies, dass ein Problem mit Kerberos im AD FS-Verbunddienst vorhanden ist.
  2. Wiederherstellen der Konfigurations von Servern der Verbundserverfarm AD FS, der vorherigen Einstellungen die Schritte im Abschnitt "Lösung". Gehen Sie folgendermaßen vor, um die Konfiguration von Servern der Verbundserverfarm AD FS wiederherzustellen:
    1. Suchen Sie in Windows Explorer den Ordner C:\inetpub\adfs\ls\, und löschen Sie die Datei web.config.
    2. Verschieben die Sicherung im erstellten web.config-Datei der "Schritt 1: Bearbeiten die Datei web.config auf jedem Server in der Verbundserverfarm AD FS" Abschnitt in den Ordner C:\inetpub\adfs\ls\.
  3. Starten Sie in einem Eingabeaufforderungsfenster mit erhöhten Rechten IIS mithilfe des Befehls Iisreset .
  4. Überprüfen Sie, das Verhalten der AD FS-Authentifizierung das ursprüngliche Problem wieder.
LÖSUNG
Um Kerberos-Problem zu beheben, das AD FS-Authentifizierung beschränkt, verwenden Sie eine oder mehrere der folgenden Methoden an, je nach der Situation.

Lösung 1: Zurücksetzen AD FS Einstellungen auf die Standardwerte

AD FS IIS-Authentifizierung sind falsch oder IIS-Authentifizierung für Federation Services, AD FS und Proxydienste nicht übereinstimmt, ist eine Lösung, die alle IIS-Authentifizierung auf die Standardeinstellungen AD FS Einstellungen.

Die Standardeinstellungen für die Authentifizierung werden in der folgenden Tabelle aufgeführt.
Virtuelle AnwendungAuthentication-Level
Standardmäßige Website/adfsAnonyme Authentifizierung
Standardmäßige Website/Adfs/lsAnonyme Authentifizierung
Windows-Authentifizierung
Auf jedem AD FS-Verbundserver und jeder Verbundserverproxy AD FS anhand der Informationen in den folgenden Microsoft TechNet-Artikel AD FS IIS virtual Applikationen Authentifizierung Standardeinstellungen zurücksetzen:Weitere Informationen zur Behebung dieses Fehlers finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
907273 Problembehandlung bei HTTP-Fehlern 401 in IIS

871179 Sie erhalten eine "HTTP 401.1 - nicht autorisiert: Zugriff aufgrund ungültiger Anmeldeinformationen verweigert" Fehlermeldung, wenn Sie versuchen auf eine Website zuzugreifen, die Teil eines IIS 6.0-Anwendungspools ist

Lösung 2: Korrigieren der AD FS-Verbundserverfarm SPN

Hinweis Versuchen Sie diese Lösung nur bei AD FS als eine Verbundserverfarm implementiert wird. Versuchen Sie nicht diese Auflösung in eine eigenständige AD FS-Konfiguration.

Zur Behebung des Problems der SPN für den AD FS-Dienst verloren oder beschädigt AD FS-Dienstkonten auf einem Server die AD FS-Verbundserverfarm folgendermaßen Sie vor:
  1. Öffnen Sie das Dienste-Snap-in. Dazu klicken Sie auf Start, klicken Sie auf Alle Programme, klicken Sie auf Verwaltungund klicken Sie dann auf Dienste.
  2. Doppelklicken Sie auf AD FS (2.0) Windows-Dienst.
  3. Auf der Anmeldung Registerkarte, beachten Sie das Dienstkonto, das in Dieses Kontoangezeigt wird.
  4. Klicken Sie auf Start, klicken Sie auf Alle Programme, auf Zubehör, BefehlszeileMaustaste und klicken Sie dann auf als Administrator ausführen.
  5. Typ SetSPN – f – Q Host /<AD fs="" service="" name=""></AD>, und drücken Sie dann die EINGABETASTE.

    Hinweis In diesem Befehl <AD fs="" service="" name=""></AD> vollqualifizierte Domänennamen-Dienstnamen der AD FS-Endpunkt darstellt. Es stellt keine Windows-Host-Name des AD FS-Server dar.
    • Wenn mehrere Einträge für den Befehl zurückgegeben wird und das Ergebnis wird mit dem Benutzerkonto, das in Schritt 3 notiert, entfernen Sie diese Zuordnung. Führen Sie hierzu den folgenden Befehl aus:
      SetSPN-d Host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Wenn mehrere Einträge für den Befehl zurückgegeben wird und der SPN denselben Namen wie den Namen des AD FS-Server in Windows verwendet ist Föderation Endpunktnamen für AD FS falsch. AD FS muss erneut implementiert werden. Der FQDN des AD FS-Verbundserverfarm muss nicht Windows Host-Namen eines vorhandenen Servers identisch sein.
    • Wenn der SPN nicht bereits vorhanden ist, führen Sie den folgenden Befehl ein:
      SetSPN-a Host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Hinweis In diesem Befehl <username of="" service="" account=""></username> Gibt den Benutzernamen, der in Schritt 3 notiert.
  6. Nachdem diese Schritte auf allen Servern der Verbundserverfarm AD FS ausgeführt werden, klicken Sie auf AD FS (2.0) Windows-Dienst in das Dienste-Snap-in und dann auf Starten.

Lösung 3: Auflösen erweiterter Schutz für die Authentifizierung betreffen

Empfohlen, wenn erweiterter Schutz für die Authentifizierung eine erfolgreiche Authentifizierung verhindert das Problem beheben, verwenden Sie eine der folgenden Methoden:
  • Methode 1: verwenden Windows Internet Explorer 8 (oder eine höhere Version des Programms) anmelden.
  • Methode 2: AD FS-Dienste im Internet so, dass SSL-bridging, SSL-Verschiebung und statusbehafteter Filterung IP-Nutzdaten Schreiben nicht veröffentlichen. Best Practice-Empfehlung für diesen Zweck ist ein AD FS-Proxyserver.
  • Methode 3: Schließen oder Überwachung deaktivieren oder SSL-Entschlüsselung Applications.
Wenn Sie eine dieser Methoden verwenden können, dieses Problem zu umgehen, kann erweiterter Schutz für die Authentifizierung bei passiven und aktiven Clients deaktiviert.

Abhilfemaßnahme: Erweiterten Schutz für die Authentifizierung deaktivieren

Warnung Dieses Vorgehen als langfristige Lösung wird nicht empfohlen. Erweiterter Schutz für die Authentifizierung deaktivieren schwächt AD FS-Sicherheit Dienstprofil bestimmte Man-in-the-Middle-Angriffe auf integrierte Windows-Authentifizierung Endpunkte nicht erkennen.

Hinweis Wenn diese Abhilfe für Drittanbieter-Anwendungsfunktionen angewendet wird, sollten Sie Updates auf dem Client-Betriebssystem für den erweiterten Schutz für die Authentifizierung deinstallieren. Weitere Informationen zu Hotfixes finden Sie in den folgenden Microsoft Knowledge Base:
968389 Erweiterter Schutz für die Authentifizierung
Passive Clients
Erweiterter Schutz für die Authentifizierung für passive Clients So deaktivieren Sie das folgende Verfahren für die folgenden virtuellen IIS-Programme auf allen Servern der Verbundserverfarm AD FS:
  • Standardmäßige Website/adfs
  • Standardmäßige Website/Adfs/ls
Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie IIS-Manager, und navigieren Sie zu der Ebene, die Sie verwalten möchten. Informationen zum Öffnen von IIS-Manager finden Sie unter Öffnen Sie IIS-Manager (IIS 7).
  2. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
  3. Wählen Sie auf der Seite Authentifizierung die Windows-Authentifizierung.
  4. Klicken Sie im Aktionsbereich auf Erweitert.
  5. Das Dialogfeld Erweiterte Einstellungen wählen Sie Deaktivierenaus demerweiterten Schutz Dropdown-Menü.
Aktive Clients
Deaktivieren erweiterter Schutz für die Authentifizierung für aktive Clients führen Sie das folgende Verfahren auf dem Primärserver AD FS:
  1. Öffnen Sie Windows PowerShell.
  2. Führen Sie den folgenden Befehl auf Windows PowerShell für AD FS-Snap-in laden:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Führen Sie den folgenden Befehl erweiterter Schutz für die Authentifizierung zu deaktivieren:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Erweiterten Schutz für die Authentifizierung wieder zu aktivieren

Passive Clients
Zum erneuten Aktivieren erweiterter Schutz für die Authentifizierung für passive Clients führen Sie die folgenden Schritte für die folgenden virtuellen IIS-Programme auf allen Servern der Verbundserverfarm AD FS:
  • Standardmäßige Website/adfs
  • Standardmäßige Website/Adfs/ls
Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie IIS-Manager, und navigieren Sie zu der Ebene, die Sie verwalten möchten. Informationen zum Öffnen von IIS-Manager finden Sie unter Öffnen Sie IIS-Manager (IIS 7).
  2. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
  3. Wählen Sie auf der Seite Authentifizierung die Windows-Authentifizierung.
  4. Klicken Sie im Aktionsbereich auf Erweitert.
  5. Das Dialogfeld Erweitert wählen Sie annehmen, Erweiterter Schutz Dropdown-Menü.
Aktive Clients
Zum erneuten Aktivieren erweiterter Schutz für die Authentifizierung für aktive Clients führen Sie das folgende Verfahren auf dem Primärserver AD FS:
  1. Öffnen Sie Windows PowerShell.
  2. Führen Sie den folgenden Befehl auf Windows PowerShell für AD FS-Snap-in laden:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Führen Sie den folgenden Befehl zum erweiterten Schutz für die Authentifizierung zu aktivieren:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Lösung 4: Ersetzen CNAME-Einträge mit Datensätzen für AD FS

Verwenden Sie DNS-Verwaltungstools jeden Datensatz DNS-Alias (CNAME) zu ersetzen, die für den Verbunddienst mit DNS-Adresse (A-Eintrag) verwendet wurde. Außerdem überprüfen oder genannten DNS-Konfiguration implementiert corporate DNS-Clienteinstellungen berücksichtigen. Weitere Informationen zum Verwalten von DNS-Datensätzen finden Sie auf der folgenden Microsoft TechNet-Website:

Lösung 5: Einrichten von Internet Explorer als AD FS-Client für einmaliges Anmelden (SSO)

Weitere Informationen zum Einrichten von Internet Explorer für den AD FS-Zugriff finden Sie in folgenden Artikel der Microsoft Knowledge Base:
2535227Föderationsbenutzer unerwartet ihre Arbeit oder Schule Anmeldeinformationen aufgefordert
Weitere Informationen
Um ein Netzwerk zu schützen, verwendet AD FS erweiterter Schutz für die Authentifizierung. Erweiterter Schutz für die Authentifizierung können Man-in-the-Middle-Angriffen in der Angreifer fängt die Anmeldeinformationen des Clients ab und leitet sie an einen Server. Schutz vor solchen Angriffen ist möglich mit Channel Bindung Works (CBT). CBT kann erforderlich, zugelassen oder vom Server nicht erforderlich, wenn Kommunikation mit Clients hergestellt werden.

ExtendedProtectionTokenCheck AD FS-Einstellung gibt die erweiterten Schutz für die Authentifizierung, die vom Verbundserver unterstützt wird. Die verfügbaren Werte für diese Einstellung sind:
  • Erforderlich: der Server vollständig geschützt ist. Erweiterter Schutz wird erzwungen.
  • Zulassen: Dies ist die Standardeinstellung. Der Server ist teilweise gehärtet. Erweiterter Schutz wird bei betroffenen Systemen erzwungen, die geändert werden, damit diese Funktion unterstützt.
  • None: der Server gefährdet ist. Erweiterter Schutz nicht durchgesetzt.
Die folgenden Tabellen beschreiben die Funktionsweise der Authentifizierung für drei Betriebssysteme und Browser abhängig von den erweiterten Schutz Optionen auf AD FS mit IIS.

Hinweis Windows-Clientbetriebssystemen müssen bestimmte Updates, die installiert werden, um erweiterte Funktionen effektiv zu verwenden. Die Funktionen sind in AD FS aktiviert. Diese Updates stehen die folgenden Microsoft Knowledge Base:
968389 Erweiterter Schutz für die Authentifizierung
Windows 7 enthält geeigneten Binärdateien zum erweiterten Schutz verwenden.

Windows 7 (oder entsprechend aktualisierten Versionen von Windows Vista oder Windows XP)
EinstellungErforderlichLassen Sie zu (Standard)Keine
Windows-Kommunikation
Foundation (WCF)-Clients (alle Endpunkte)
WorksWorksWorks
Internet Explorer 8und höherWorksWorksWorks
Firefox 3.6Schlägt fehlSchlägt fehlWorks
Safari 4.0.4Schlägt fehlSchlägt fehlWorks
Windows Vista ohne entsprechende updates
EinstellungErforderlichLassen Sie zu (Standard)Keine
WCF-Client (alle Endpunkte)Schlägt fehlWorksWorks
Internet Explorer 8und höherWorksWorksWorks
Firefox 3.6Schlägt fehlWorks Works
Safari 4.0.4Schlägt fehlWorks Works
Windows XP ohne entsprechende updates
EinstellungErforderlichLassen Sie zu (Standard)Keine
Internet Explorer 8und höherWorksWorksWorks
Firefox 3.6Schlägt fehlWorks Works
Safari 4.0.4Schlägt fehlWorks Works
Weitere Informationen zu erweiterten Schutz für die Authentifizierung finden Sie in den folgenden Microsoft-Ressourcen:
968389 Erweiterter Schutz für die Authentifizierung
Weitere Informationen zum Cmdlet Set-ADFSProperties finden Sie auf folgender Microsoft-Website:

Brauchen Sie Hilfe? Klicken Sie auf der Office 365-Community Website oder Active Directory Azure-Foren Website.

Die in diesem Artikel erörterten Produkte von Drittanbietern werden von Unternehmen hergestellt, die von Microsoft unabhängig sind. Microsoft übernimmt keine Garantie, weder konkludent noch anderweitig die Leistung oder Zuverlässigkeit dieser Produkte

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 2461628 – Letzte Überarbeitung: 01/14/2016 02:13:00 – Revision: 23.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtde
Feedback
/html>=">