Single Sign-On Unternehmensbenutzer in Office 365 können sich Skype für Business Online aus in das Unternehmensnetzwerk anmelden

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 2839539
PROBLEM
Betrachten Sie das folgende Szenario:
  • Ein Office 365 für Unternehmen, Office 365 für Bildungseinrichtungen oder Office 365 für mittelständische Unternehmenskunden richtet einmaliges Anmelden (SSO) in Active Directory Federation Services (AD FS) 2.0.
  • Föderierte Benutzer in ihrem Unternehmensnetzwerk verbinden nicht anmelden Skype für Business Online(formerly Lync Online) von Lync 2013, und sie erhalten die folgende Fehlermeldung angezeigt:
    Kann nicht anmelden, da der Server vorübergehend nicht verfügbar ist.
Hinweis Dieses Problem gilt nur für Enterprise-SSO-Benutzer, die Skype für Business Online melden Sie sich mit Lync 2013 aus in das Unternehmensnetzwerk. Das Problem gilt nicht für Benutzer auf Microsoft Lync 2010, Benutzern, die nicht über Skype für Online-Business oder Benutzer, die von außerhalb des Netzwerks des Unternehmens herstellen.
LÖSUNG
Wichtig Befolgen Sie die Schritte in diesem Abschnitt sorgfältig. Wenn Sie die Registrierung nicht ordnungsgemäß ändern, können schwerwiegende Probleme auftreten. Bevor Sie diese bearbeiten, Sichern Sie die Registrierung für die Wiederherstellung für den Fall, dass Probleme auftreten.

Da gibt es viele mögliche Ursachen, ist es am besten durch folgenden Lösungen arbeiten, und überprüfen die Konfiguration.
  1. Bei der Bereitstellung einer AD FS 2.0-Verbundserver Farm vorhanden sind, müssen eine domänenbasierte Dienstkonto, die einen registrierten SPN So aktivieren Sie die Kerberos-Authentifizierung ordnungsgemäß angeben. Weitere Informationen finden Sie im folgenden TechNet-Wiki:Die Gründe möglicherweise müssen Sie den SPN für das AD FS 2.0-Dienstkonto manuell einstellen lauten wie folgt:
    • SPN-Registrierung während der Erstkonfiguration der Farm ist fehlgeschlagen.
    • Der Verbunddienst wurde umbenannt.
    • Das Dienstkonto wurde geändert.
  2. Stellen Sie sicher, dass das AD FS 2.0-Dienst wird unter dem Domänen-DFS-Dienstkonto, das im vorherigen Schritt erwähnt wurde ausgeführt. In der folgenden Abbildung TRLABV3 interner Hostname ist, und ADFSSvc ist das Dienstkonto aus:

    Abbildung des AD FS 2.0 Windows Service-Eigenschaft, wobei die Domänenkonten
  3. Konfigurieren Sie das AD FS 2.0-Servers auf Anfrage-Header zu akzeptieren, die größer als 40 KB (Kilobyte). Sie müssen dies tun, wenn der Benutzer Mitglied vieler Gruppen der Active Directory-Domänendienste (AD DS) Benutzer ist. Wenn ein Benutzer Mitglied mehrerer Gruppen von AD DS ist, erhöht sich die Größe des Tokens mit Kerberos-Authentifizierung für den Benutzer.

    Die HTTP-Anforderung an den Server (Internet Information Services, IIS) der Benutzer gesendeten enthält das Kerberos-Token im WWW Authenticate-Header. Daher nimmt die Größe der Kopfzeile als Gruppen mit steigender Anzahl an. Wenn die HTTP-Header oder Paketgröße über die Grenzen hinaus, die in IIS konfiguriert sind erhöht, kann IIS die Anforderung abzulehnen und Fehler als Antwort senden. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2020943 "HTTP 400 - Anforderung fehlerhaft (Anfrage-Header zu lang)" Fehlermeldung in Internet Information Services (IIS)
    Um dieses Problem zu umgehen, verwenden Sie eine der folgenden Methoden:
    1. Verringern Sie die Anzahl der AD DS-Benutzergruppen, denen der Benutzer angehört.
    2. Ändern Sie die MaxFieldLength und die Registrierungswerte "MaxRequestBytes" auf dem Server auf der IIS ausgeführt wird, damit der Benutzer Anforderungsheader sind nicht lang angesehen. Diese beiden Registrierungswerte befinden sich unter dem folgenden Registrierungsunterschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
  4. Wenn Sie mehrere AD bereitgestellt haben FS 2.0-Server in einer Farm und lassen sie die Nutzlast ausgeglichen, der Lync 2013-Client möglicherweise nicht direkt die Anforderung an die AD FS 2.0-Servers. Hinzufügen eines Eintrags für AD FS 2.0-Servers zur Hosts-Datei auf dem Client, die direkt auf dem AD FS 2.0 Server verweist die virtuelle IP-Adresse des Lastenausgleich umgangen wird.
  5. Die vorherigen Lösungen nicht beheben Sie das Problem und Herunterstufen auf Lync 2010 keine Option, gehen Sie folgendermaßen vor, um das Problem zu umgehen.

    Hinweis Wenn ein lokales Administratorkonto auf dem Computer bereits vorhanden ist, müssen Sie für diese Lösung zu erstellen.
    1. Besuchen Sie die Lync 2013 ausführbare Datei in Windows Explorer:
       C:\Program Files\Microsoft Office 15\root\office15
    2. Halten Sie die UMSCHALTTASTE gedrückt, und anschließend mit der Maustaste Lync.exe.
    3. Klicken Sie auf als anderer Benutzer ausführen.
    4. Geben Sie die Anmeldeinformationen für ein lokales Administratorkonto auf dem Computer, und drücken Sie dann die EINGABETASTE.
Weitere Informationen
Dieses Problem tritt in der Regel aufgrund einer Fehlkonfiguration im AD FS 2.0. Andere Dienste wie Microsoft Exchange Online funktioniert trotz dieser Konfiguration ordnungsgemäß. Die üblichen Ursachen sind hier aufgeführt:
  • Der ServicePrincipalName (SPN) ist nicht richtig konfiguriert. Die Gründe dafür sind die folgenden:
    • SPN-Registrierung während der Erstkonfiguration der Farm ist fehlgeschlagen.
    • Der Verbunddienst wurde umbenannt.
    • Das Dienstkonto wurde geändert.
  • Der AD FS 2.0-Dienst wird nicht ausgeführt, unter dem richtigen Service-Konto.
  • Der Anfrage-Header von Lync 2013 ist zurückgewiesen von IIS und AD FS 2.0 Server der Header zu groß ist. Dieses Problem kann auftreten, weil das Benutzerkonto Mitglied zu viele AD DS-Benutzergruppen ist.
  • Die AD FS 2.0-Serverfarm ist Lastenausgleich, und die Anforderung ist nicht erreichen das AD FS 2.0-Servers.
Weitere Unterstützung bei der Bereitstellung von AD FS 2.0 für die Verwendung mit SSO in Office 365 finden Sie auf der folgenden TechNet-Website:Im Fall, wenn der Benutzer zu viele AD DS-Gruppen angehört wird der folgende Eintrag in die Microsoft Online Services Sign-In Assistant-Ablaufverfolgungsprotokolle eingegeben (diese Protokolle befinden sich normalerweise in C:\ MSOSSPTrace):
##TestHook: URL-https://<ADFSServer>/adfs/services/trust/2005/windowstransport@transport.cpp_245..........<HTML><HEAD><TITLE>Bad Request</TITLE><META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD><BODY><h2>Bad Request - Request Too Long</h2><hr><p>HTTP Error 400. The size of the request headers is too long.</p></BODY></HTML>

Benötigen Sie weitere Hilfe? Klicken Sie auf der Office 365-Community Website.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 2839539 – Letzte Überarbeitung: 05/01/2015 18:55:00 – Revision: 11.0

Skype for Business Online

  • o365022013 o365 o365e o365a o365m kbgraphxlink kbgraphic kbmt KB2839539 KbMtde
Feedback