AD FS Problembehandlung in Active Directory Azure und Office 365

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3079872
Workflow für Authentifizierungsprobleme für Föderationsbenutzer in Azure Active Directory oder Office 365 Problembehandlung erläutert.
Problembeschreibung
  • Föderationsbenutzer können Microsoft Azure zu Office 365 anmelden, auch wenn verwaltete Cloud nur Benutzer mit domainxx.onmicrosoft.com Benutzerprinzipalnamen-Suffix problemlos anmelden können.
  • Umleitung zu Active Directory Federation Services (AD FS) oder STS nicht für Föderationsbenutzer auftreten. Oder eine Fehlermeldung "Seite kann nicht angezeigt werden" ausgelöst.
  • Sie erhalten eine Warnung zertifikatbasierte Browser beim Authentifizierung mit AD FS. Gibt an, dass Validierungsfehler Zertifikat oder das Zertifikat nicht vertrauenswürdig ist.
  • "Unbekannte Auth-Methode" Fehler oder Fehler für AuthnContext nicht unterstützt wird. Auch Fehler auf AD FS oder STS aus Office 365 umgeleitet werden.
  • AD FS löst einen Fehler "Zugriff verweigert".
  • AD FS löst eine Fehlermeldung, dass ein Problem auf die Site zugreifen. Dabei wird eine ID-Nummer.
  • Der Benutzer ist wiederholt aufgefordert, Anmeldeinformationen auf AD FS.
  • Föderationsbenutzer können nicht von einem externen Netzwerk authentifizieren oder bei Verwendung eine Anwendung, die die Route externen Netzwerk (z. B. Outlook).
  • Föderationsbenutzer können anmelden, nachdem ein Tokensignaturzertifikat für AD FS geändert wird.
  • "Tut mir leid, aber wir haben Anmeldung Probleme" Fehler wird ausgelöst, wenn Föderationsbenutzer Office 365 in Microsoft Azure anmeldet. Dieser Fehler enthält Fehlercodes wie 8004786 C, 80041034, 80041317, 80043431, 80048163, 80045C-06 8004789A oder SCHLECHT anfordern.

Problembehandlung bei Workflows
  1. Zugriff https://Login.microsoftonline.com, und geben Sie dann die Verbundbenutzer Login Name (eine Person@Beispiel.com). Nach dem Drücken von Tab den Fokus vom Feld entfernen überprüfen Sie sind Seitenwechsel "Umleiten" und dann der Status der Active Directory-Verbunddienst (AD FS)-Anmeldung weitergeleitet.

    Umleitung auftritt, sehen Sie die folgende Seite:

    Screenshot für Schritt 1
    1. Wenn keine Umleitung auftritt und Sie aufgefordert werden, ein Passwort auf derselben Seite, dadurch Azure Active Directory (AD) oder Office 365 nicht dem Benutzer oder der Domäne des Benutzers verbunden sein erkennt. Überprüfen, ob es eine Föderation Vertrauensstellung zwischen Azure AD oder Office 365 und dem AD FS-Server die Get-msoldomain Cmdlet Azure AD PowerShell. Wenn eine Domäne verbunden ist, wird die Eigenschaft als "Verbundene" wie im folgenden Screenshot angezeigt:

      Schritt zur föderierten Domäne
    2. Wenn Umleitung auftritt, obwohl Sie nicht auf Ihre AD FS-Server-Anmeldung umgeleitet, überprüfen Sie, ob der AD FS-Dienstname IP- und TCP-Port 443, IP-Verbindung kann den richtigen behebt.

      Wenn die Domäne als "Verbundene" angezeigt wird, erhalten Sie Informationen Vertrauens Föderation durch Ausführen der folgenden Befehle:
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      Überprüfen Sie URI, URL und Zertifikat Verbundpartner, der von Office 365 oder Azure AD konfiguriert ist.
  2. Nachdem Sie AD FS umgeleitet, Browser kann einen Zertifikat vertrauen-bezogener Fehler auslöst und für einige Clients und Geräte möglicherweise verhindert, dass eine SSL-Sitzung mit AD FS. Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
    1. Stellen Sie sicher, dass das AD FS-Kommunikation Dienstzertifikat, das die dem Client angezeigt wird, der gleiche ist, die auf AD FS konfiguriert.

      Schritt A Screenshot

      Idealerweise sollte das Zertifikat des AD FS-Kommunikation das SSL-Zertifikat übereinstimmen, die dem Client angezeigt wird, wenn er versucht, einen SSL-Tunnel mit dem AD FS-Dienst hergestellt.

      In AD FS 2.0:

      • Binden Sie das Zertifikat an IIS-> erster Standardstandort.
      • Das AD FS-Snap-in hinzufügen desselben Zertifikats als das Dienstzertifikat Kommunikation verwenden.

      In AD FS 2012 R2:

      • Verwenden der AD FS-Snap-in oder Hinzufügen adfscertificate Befehl ein Dienstzertifikat Kommunikation hinzufügen.
      • Verwenden der Adfssslcertificate festlegen Befehl dasselbe Zertifikat für SSL-Bindung festgelegt.

    2. Sicherstellen Sie, dass dieser AD FS-Kommunikation Zertifikat der Client als vertrauenswürdig anerkennt.
    3. Herstellen einer SSL-Sitzung mit AD FS oder WAP 2.12 R2 nicht SNI-fähige Clients versuchen, kann der Versuch fehlschlagen. In diesem Fall sinnvoll, einen Fallback Eintrag auf AD FS oder WAP-Servern zur Unterstützung von Clients nicht SNI. Weitere Informationen finden Sie im folgenden Blogbeitrag:
  3. Möglicherweise Fehler "Unbekannte Auth-Methode" oder Fehler AuthnContext auf AD FS oder STS unterstützt wird, wenn Sie von Office 365 umgeleitet werden. Dies kommt besonders häufig bei Office 365 und Azure AD leitet zu AD FS bzw. STS mit einem Parameter, der eine Authentifizierungsmethode erzwingt. Um eine Authentifizierungsmethode zu erzwingen, verwenden Sie eine der folgenden Methoden:
    • Für WS-Verbund, eine Abfragezeichenfolge WAUTH zwingen bevorzugte Authentifizierungsmethode verwenden.
    • Für SAML2.0, verwenden Sie Folgendes:
      <saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext>
    Erzwungene Authentifizierungsmethode mit dem falschen Wert gesendet wird oder diese Authentifizierungsmethode auf AD FS bzw. STS nicht unterstützt wird, erhalten Sie eine Fehlermeldung noch nicht authentifiziert werden.

    Die folgende Tabelle zeigt den Authentifizierungstyp URIs, die per AD FS für erkannt werden WS-Verbund passive Authentifizierung.
    Authentifizierungsmethode möchtenWauth URI
    Benutzerauthentifizierung und KennwortUrn: Oasis: Namen: Tc: SAML:1.0:am:password
    SSL-ClientauthentifizierungUrn: ietf:rfc:2246
    Integrierte Windows-AuthentifizierungUrn: Federation: Authentifizierung: windows

    Unterstützt SAML Authentifizierung Kontextklassen

    Authentifizierungsmethode Authentifizierung Kontextklasse URI
    Benutzername und KennwortUrn: Oasis: Namen: Tc: SAML:2.0:ac:classes:Password
    Kennwortgeschützte transportUrn: Oasis: Namen: Tc: SAML:2.0:ac:classes:PasswordProtectedTransport
    Transport Layer Security (TLS)-clientUrn: Oasis: Namen: Tc: SAML:2.0:ac:classes:TLSClient
    X. 509-ZertifikatUrn: Oasis: Namen: Tc: SAML:2.0:ac:classes:X 509
    Integrierte Windows-AuthentifizierungUrn: Federation: Authentifizierung: windows
    KerberosUrn: Oasis: Namen: Tc: SAML:2.0:ac:classes:Kerberos

    Überprüfen Sie die folgenden Schritte aus, um sicherzustellen, dass die Authentifizierungsmethode auf AD FS unterstützt wird.

    AD FS 2.0

    Unter /ADFS/ls/Web.config, stellen Sie sicher, dass der Eintrag für den Authentifizierungstyp vorhanden ist.

    <microsoft.identityServer.web></microsoft.identityServer.web>
    <localAuthenticationTypes></localAuthenticationTypes>
    Namen hinzufügen "Forms" page="FormsSignIn.aspx =" / &gt;
    <add name="Integrated" page="auth/integrated/"></add>
    <add name="TlsClient" page="auth/sslclient/"></add>
    <add name="Basic" page="auth/basic/"></add>


    AD FS 2.0: Wie die lokale Authentifizierung ändern

    AD FS 2012 R2

    Unter AD FS-Verwaltung, klicken Sie auf Authentifizierungsrichtlinien in AD FS-Snap-in.

    In der Authentifizierung auf Bearbeiten Weiter Globale Standardeinstellungen. Sie können auch mit der rechten Maustaste Authentifizierungsrichtlinien und wählen Sie dann Globale Authentifizierung bearbeiten. Oder in den Aktionen Bereich Globale Authentifizierung bearbeiten.

    In der Globale Authentifizierungsrichtlinie bearbeiten Fenster, die Primäre Registerkarte können Sie als Teil der Authentifizierungsrichtlinie für globale Einstellungen konfigurieren. Beispielsweise können für die Authentifizierung, verfügbaren Authentifizierungsmethoden unter Auswahl Extranet und Intranet.

    * Stellen Sie sicher, dass das Kontrollkästchen erforderliche Authentifizierung aktiviert ist.
  4. Wenn Sie zu AD FS und geben Sie Anmeldeinformationen Sie nicht authentifiziert werden kann, überprüfen Sie folgende Probleme.
    1. Active Directory-Replikationsproblem

      Wenn Active Directory-Replikation beschädigt ist, können auf den Benutzer oder die Gruppe nicht auf Domänencontrollern synchronisiert. Zwischen den Domänencontrollern möglicherweise ein UPN, GroupMembership, oder ProxyAddress Konflikt, die AD FS-Antwort (Authentifizierung und Ansprüche) betrifft. Starten Sie die Domänencontroller am selben Standort wie AD FS betrachten. Ausführen einer Repadmin/showreps oder DCdiag/v Befehl sollte zeigen, ob der Domänencontroller AD FS wahrscheinlich ist an ein Problem vorliegt.

      Sie können auch eine AD Replication Zusammenfassung um sicherzustellen, dass AD Änderungen korrekt auf allen Domänencontrollern repliziert sammeln. Die Repadmin/showrepl * / CSV &gt; showrepl.csv Ausgabe ist hilfreich zum Überprüfen des Replikationsstatus. Weitere Informationen finden Sie unter Problembehandlung bei der Active Directory-Replikation.
    2. Konto gesperrt oder in Active Directory deaktiviert

      Wenn ein Endbenutzer über ADFS authentifiziert wird, erhalten Sie keine Fehlermeldung, dass das Konto gesperrt oder deaktiviert ist. Von AD FS und Überwachung anmelden sollten Sie feststellen, ob die Authentifizierung aufgrund eines falschen Kennworts fehlgeschlagen, ob das Konto deaktiviert oder gesperrt ist und so weiter.

      Gehen Sie folgendermaßen vor, um AD FS und Überwachung von AD FS-Servern anmelden zu aktivieren:
      1. Verwenden Sie lokalen bzw. der Domänenrichtlinie Erfolg und Fehler die folgenden Richtlinien:
        • Überwachen Sie Logon-Ereignis im Computer Configuration\Windows Settings\Security Setting\Local Richtlinie Objektzugriffsversuche"
        • Überwachen des Objektzugriffs befindet sich im Computer Configuration\Windows Settings\Security Setting\Local überwacht Policy"
        Screenshot zu den Richtlinien
      2. Deaktivieren Sie die folgende Richtlinien:

        Überprüfung: Force unterkategorieeinstellungen (Windows Vista oder höher) kategorieeinstellungen überschreiben

        Diese Richtlinie befindet sich Computer Configuration\Windows Settings\Security Setting\Local Sicherheitsoption.

        Screenshot über Richtlinie

        Wenn Sie dies mit erweiterter Überwachung konfigurieren möchten, klicken Sie auf Hier.
      3. Konfigurieren von AD FS für Überwachung:
        1. Öffnen der AD FS 2.0-Snap-Ins.
        2. Klicken Sie im Aktionsbereich auf Verbund-Eigenschaften bearbeiten.
        3. In der Föderation Eigenschaften das Dialogfeld klicken Sie auf die Ereignisse Registerkarte.
        4. Wählen Sie die erfolgreichen und Failure audits Kontrollkästchen.

          Sceenshot zum Aktivieren der Überwachung von AD FS
        5. Ausführen GPupdate/Force auf dem Server.
    3. Service Principal Name (SPN) nicht korrekt registriert

      Möglicherweise doppelte SPN oder SPN unter einem anderen Konto als Dienstkonto AD FS registriert ist. Für AD FS Farm-Setup sicher, dass SPN HOST AD FSservicename wird unter dem Dienstkonto hinzugefügt, die den AD FS-Dienst ausgeführt wird. Für eine eigenständige Installation AD FS, unter dem der Dienst ausgeführt wird Netzwerkdienst, der SPN muss unter dem Server-Computerkonto, das Hosten von AD FS.

      Screenshot für AD FS-Dienstname

      Prüfen Sie, dass keine doppelte SPN für den AD FS-Dienst dadurch möglicherweise zeitweise Authentifizierungsfehler AD FS. Liste der SPNs ausführen SETSPN – L<ServiceAccount></ServiceAccount>.

      Screenshot zur Liste SPN

      Ausführen SETSPN-a HOST AD FSservicename ServiceAccount den SPN hinzufügen.

      Ausführen SETSPN – X -F Suchen nach doppelten SPN.
    4. Doppelte Benutzerprinzipalnamen in Active Directory

      Ein Benutzer kann über ADFS authentifiziert, wenn sie verwenden. SAMAccountName aber authentifizieren beim UPN verwenden. In diesem Szenario enthalten Active Directory zwei Benutzer denselben UPN haben. Ende mit zwei Benutzer haben denselben UPN Wenn Benutzer hinzugefügt oder geändert werden kann über Skripts (z. B. ADSIedit).

      UPN für die Authentifizierung in diesem Szenario wird der doppelten Benutzer der Benutzer authentifiziert. Daher werden die bereitgestellten Anmeldeinformationen nicht überprüft.

      Abfragen wie folgt können Sie überprüfen, ob mehrere Objekte in Active Directory, die dieselben Werte für ein Attribut haben:
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      Unbedingt der UPN der doppelten Benutzer umbenannt wird, damit die richtigen Objekte Authentifizierungsanfrage den Benutzerprinzipalnamen überprüft wird.
    5. In einem Szenario verwenden Sie Ihre e-Mail-Adresse als Benutzername in Office 365, wobei Sie dieselbe e-Mail-Adresse eingeben, wenn Sie ADFS zur Authentifizierung umgeleitet werden, kann die Authentifizierung mit dem Fehler "NO_SUCH_USER" in den Überwachungsprotokollen scheitern. Um ADFS zu eines Benutzers für die Authentifizierung mit einem Attribut als UPN oder SAMaccountname aktivieren, konfigurieren Sie AD FS unterstützen eine alternative Login-ID Weitere Informationen finden Sie unter Konfigurieren von alternative Login-ID.

      AD FS 2012 R2

      1. Installieren 2919355 aktualisieren.
      2. Die AD FS-Konfiguration aktualisieren, indem Sie das folgende PowerShell-Cmdlet auf den Verbundservern in der Farm ausgeführt (haben Sie eine Farm Aid, führen Sie diesen Befehl auf dem primären AD FS-Server in Ihrer Farm):

        Set-AdfsClaimsProviderTrust - TargetIdentifier "AD Behörde" - AlternateLoginID <attribute>- LookupForests <forest domain=""></forest> </attribute>

        HinweisAlternateLoginID ist der LDAP-Name des Attributs, das Sie für die Anmeldung verwenden möchten. Und LookupForests ist die Liste der Gesamtstrukturen DNS-Einträge die Benutzer gehören.

        Um alternative Login-ID-Funktion zu aktivieren, müssen Sie beide Konfigurieren der AlternateLoginID und LookupForests Parameter mit einem Wert ungleich Null, gültig.

    6. AD FS-Dienstkonto Lesezugriff auf die AD FS-Sicherheitstoken keinen, der private Schlüssel des Zertifikats signieren. Gehen Sie folgendermaßen vor, um diese Berechtigung hinzuzufügen:
      1. Beim Hinzufügen einer neuen Tokensignaturzertifikat wird Ihnen die folgende Warnung: "Dass der private Schlüssel für das ausgewählte Zertifikat für das Dienstkonto für diesen Verbunddienst auf jedem Server in der Farm ist."
      2. Klicken Sie auf Startund auf Ausführen, geben MMC.exe, und drücken Sie dann die EINGABETASTE.
      3. Klicken Sie auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.
      4. Doppelklicken Sie auf Zertifikate.
      5. Wählen Sie das betreffende Computerkonto, und klicken Sie auf Weiter.
      6. Wählen Sie Lokaler Computer, und klicken Sie auf Fertig stellen.
      7. Erweitern Sie Zertifikate (lokaler Computer) <b00> </b00>Rollel und wählen Sie dann Zertifikate.
      8. Die neue Tokensignaturzertifikat Maustaste, wählen Sie Alle Tasks, und wählen Sie Privatschlüssel verwalten.

        Sceenshot zu Schritt 8
      9. Fügen Sie Lesezugriff für das AD FS 2.0 Service-Konto hinzu, und klicken Sie dann auf OK.
      10. Schließen Sie die MMC-Zertifikate.
    7. Der Erweiterte Schutz für Windows-Authentifizierung für das virtuelle Verzeichnis AD FS oder LS aktiviert ist. Dies kann zu Problemen mit bestimmten Browsern führen. Manchmal sehen AD FS wiederholt Anmeldeinformationen anzufordern, und dies kann mit der Erweiterter Schutz Einstellung für AD FS oder LS-Anwendung in IIS für die Windows-Authentifizierung aktiviert ist.

      Sceenshot zu Schritt 8
      Wenn Erweiterter Schutz für die Authentifizierung aktiviert ist, sind Authentifizierungsanfragen an beide die Dienstprinzipalnamen (SPN) des Servers auf dem Client eine Verbindung herstellen möchte und die integrierte Windows-Authentifizierung wird der äußeren Transport Layer Security (TLS)-Kanal gebunden. Erweiterter Schutz verbessert die Funktionalität von Windows-Authentifizierung um Authentifizierung Relays oder "Man in the Middle"-Angriffe zu verringern. Jedoch bestimmten Browsern funktionieren nicht mit dem Erweiterter Schutz Einrichten; Stattdessen wiederholt aufgefordert, Anmeldeinformationen und Zugriff verweigern. Deaktivieren Erweiterter Schutz unterstützt dieses Szenario ist.

      Weitere Informationen finden Sie unter AD FS 2.0: Kontinuierlich aufgefordert, Anmeldeinformationen beim Fiddler Web Debugger verwenden.

      Für AD FS 2012 R2

      Führen Sie das folgende Cmdlet Extendedprotection deaktivieren:

      Set-ADFSProperties-ExtendedProtectionTokenCheck None

    8. Ausstellung von Autorisierungsregeln in der Partei verlassen (RP) können Benutzern den Zugriff verweigern. AD FS Relying Party vertrauen können Sie die Ausgabe Autorisierungsregeln konfigurieren, die steuern, ob ein authentifizierter Benutzer ein Token für abhängige Seite ausgegeben werden soll. Administratoren können die Ansprüche, die ausgegeben werden, um zu entscheiden, ob ein Benutzer Zugriff verweigern, die Mitglied einer Gruppe ist, die als ein abgerufen wird.

      Wenn bestimmte Föderationsbenutzer über ADFS authentifizieren können, sollten zu Office 365 RP Ausstellung Autorisierungsregeln überprüfen, ob die Gewähren von Zugriff für alle Benutzer Regel konfiguriert.

      Screenshot zu Regeln
      Wenn diese Regel nicht konfigurieren, gehen Sie benutzerdefinierte Autorisierungsregeln zu überprüfen, ob die Bedingung in der Regel für den betreffenden Benutzer "true" ergibt. Weitere Informationen finden Sie in den folgenden Ressourcen:
      Wenn Sie erfolgen authentifizieren können, wenn AD FS-Server direkt zugreifen, aber Sie können nicht beim Zugriff auf AD FS über einen AD FS-Proxy authentifizieren, überprüfen Sie Folgendes:
      • Zeit Sync-Problem auf AD FS-Servern und AD FS-proxy

        Stellen Sie sicher, dass die Zeit auf dem AD FS-Server und die Zeit auf dem Proxy synchronisiert sind. Wenn die Zeit auf dem AD FS-Server mehr als fünf Minuten von der Uhrzeit auf dem Domänencontroller deaktiviert ist, auftreten Authentifizierungsfehler. Wenn die Zeit auf AD FS-Proxy nicht mit AD FS synchronisiert, wird Proxy-Trust betroffen und aufgeteilt. Daher kann eine Anforderung, die über den AD FS-Proxy.
      • Überprüfen Sie, ob der Proxy AD FS Vertrauensstellung mit der AD FS-Dienst ordnungsgemäß funktioniert. Die Proxykonfiguration erneut, wenn Sie vermuten, dass die Proxy-Vertrauensstellung unterbrochen.
  5. AD FS gibt ein token, Azure AD oder Office 365 löst einen Fehler aus. Überprüfen Sie in diesem Fall Folgendes:
    • Die Ansprüche, die per AD FS im Token ausgestellt werden sollten die jeweiligen Attribute des Benutzers in Azure AD übereinstimmen. Das Token für Azure AD oder Office 365 die folgenden Angaben sind erforderlich.

      WSFED:
      UPN: Der Wert dieses Anspruchs sollte in Azure AD Benutzerprinzipalnamen der Benutzer entsprechen.
      ImmutableID: Der Wert dieses Anspruchs sollte SourceAnchor oder ImmutableID des Benutzers auf Azure AD übereinstimmen.

      Führen Sie die folgende Befehlszeile, um Benutzer-Attributwert in Azure AD erhalten: Get-MsolUser – UserPrincipalName<UPN></UPN>

      SAML 2.0:
      IDPEmail: Der Wert dieses Anspruchs sollten Benutzerprinzipalname Benutzer in Azure AD übereinstimmen.
      NAMEID: Wert dieses Anspruchs sollte SourceAnchor oder ImmutableID des Benutzers auf Azure AD übereinstimmen.

      Weitere Informationen finden Sie unter Verwenden Sie ein Identitätsprovider SAML 2.0 SSO-Implementierung.

      Beispiele:
      Dieses Problem kann auftreten, wenn UPN synchronisierte Benutzer in Active Directory ohne Aktualisierung online-Verzeichnis geändert wird. In diesem Szenario können korrigieren Sie entweder UPN des Benutzers in Active Directory (entsprechend der zugehörigen Benutzeranmeldename) oder führen Sie das folgende Cmdlet um den Anmeldenamen des Benutzers verknüpfte Online-Verzeichnis zu ändern:

      Set-MsolUserPrincipalName - UserPrincipalName [ExistingUPN] - NewUserPrincipalName [DomainUPN-AD]

      Es könnte auch sein, dass Sie AADsync für die Synchronisierung verwenden Nachricht als UPN und EMPID als SourceAnchor, aber die Relying Party behaupten Regeln auf AD FS nicht wurden aktualisiert, um senden Nachricht als UPN und EMPID als ImmutableID.
    • Tokensignaturzertifikat Zertifikat überein AD FS Office 365 besteht.

      Dies ist eines der häufigsten Probleme. AD FS verwendet das Tokensignaturzertifikat Token signiert, das an den Benutzer oder die Anwendung gesendet wird. Die Vertrauensstellung zwischen AD FS und Office 365 ist eine Vertrauensstellung, die auf diese Tokensignaturzertifikat (z. B. Office 365 überprüft, ob mit einem Tokensignaturzertifikat des Forderungsanbieters [AD FS-Service], die ihr vertraut erhaltene Token signiert ist).

      Wenn das Tokensignaturzertifikat auf AD FS durch automatische Zertifikat Rollover oder ein Administrator eingreifen nach oder vor Ablauf des Zertifikats, die Details des neuen Zertifikats geändert wird muss auf Office 365 Pächter für die Föderationsdomäne aktualisiert werden.

      Office 365 oder Azure AD versuchen AD FS Service erreichen bereitgestellt, der aus dem öffentlichen Netzwerk erreichbar. Wir versuchen, in regelmäßigen Abständen alle Änderungen ADFS hauptsächlich das Tokensignaturzertifikat ziehen die ADFS-Verbundmetadaten abrufen. Wenn dieser Vorgang nicht funktioniert, sollten globaler Administrator eine Benachrichtigung Office 365-Portal finden Sie unter Warnung über Ablauf Zertifikat Tokensignaturzertifikat und Aktionen zu aktualisieren.

      Sie können Get-MsolFederationProperty - DomainName<domain></domain> anzuzeigende Eigenschaft Föderation AD FS und Office 365. Hier können Sie den Fingerabdruck TokenSigningCertificate überprüfen, ob Office 365 Mieter Konfiguration für die Föderationsdomäne mit AD FS ist vergleichen. Wenn Sie einen Konflikt in Zertifikatkonfiguration Tokensignaturzertifikat finden, führen Sie den folgenden Befehl zu aktualisieren:
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      Sie können auch das folgende Tool zum Planen eines Tasks auf dem AD FS-Server, die für das Zertifikat automatisch Rollover Tokensignaturzertifikat Zertifikat und Update Office 365 Mieter automatisch überwacht ausführen.

      Microsoft Office 365 Föderation Metadaten Update Automation Installationstool

      Überprüfen Sie und verwalten Sie einmaliges Anmelden mit AD FS
    • Ausstellung Transformation Forderung Regeln für Office 365 RP sind nicht richtig konfiguriert.

      In einem Szenario mehrere TLDs (Top Level Domains kommen) möglicherweise Anmeldeprobleme Wenn die Supportmultipledomain Switch wurde nicht verwendet, wenn die RP Vertrauensstellung erstellt und aktualisiert wurde. Weitere Informationen finden Sie Hier.
    • Stellen Sie sicher, dass token verschlüsselt werden nicht vom verwendeten AD FS oder STS bei Azure AD oder Office 365 ein Token.
  6. Veraltete zwischengespeicherte Anmeldeinformationen sind Windows Credential Manager.

    Manchmal bei der Anmeldung in von einer Arbeitsstation aus dem Portal (oder bei Verwendung von Outlook) Anmeldeinformationen der Benutzer aufgefordert, die Anmeldeinformationen für das Ziel (Office 365 oder AD FS Service) in der Windows-Anmeldeinformations-Manager (Control Panel\User Accounts\Credential Manager) gespeichert werden können. Dies verhindert, dass Anmeldeinformationen aufgefordert für einige Zeit, aber dies kann ein Problem verursachen, nachdem das Kennwort geändert hat und der Anmeldeinformations-Manager nicht aktualisiert. In diesem Szenario veraltete Anmeldeinformationen an den AD FS-Dienst gesendet werden und daher schlägt die Authentifizierung fehl. Entfernen oder Aktualisieren von Anmeldeinformationen in Windows Credential Manager helfen.
  7. Stellen Sie sicher, dass Secure Hash Algorithm, die auf das Verlassen von Vertrauen für Office 365 konfiguriert ist auf SHA1 gesetzt.

    Wenn die Vertrauensstellung zwischen den STS-AD FS und Azure AD-Office 365 SAML 2.0-Protokoll verwendet, sollte für die digitale Signatur konfiguriert Secure Hash Algorithm SHA1.
  8. Wenn keine vorherigen Ursachen auf Ihre Situation zutrifft, erstellen Sie eine Support-Anfrage mit Microsoft und bitten zu überprüfen, ob das Benutzerkonto unter Office 365 Mieter einheitlich angezeigt wird. Weitere Informationen finden Sie in den folgenden Ressourcen:

    AD FS 2.0 Wenn Föderationsbenutzer meldet sich bei Office 365 Fehlermeldung: "Fehler auf der Website"

    Ein Partnerbenutzer wird wiederholt nach Anmeldeinformationen gefragt, wenn Sie AD FS 2.0-Dienstendpunkt während der Office 365-Anmeldung eine Verbindung herstellt
  9. Abhängig von der Cloud-Dienst (in Azure AD integriert) Sie zugreifen möchten, die an AD FS Authentifizierungsanfrage variieren. Beispiel: bestimmte Anfragen enthalten zusätzliche Parameter wie Wauth oder: Wfresh, und diese Parameter möglicherweise anders auf AD FS.

    Wir empfehlen AD FS Binärdateien gehören Fixes für bekannte Probleme immer aktualisiert werden. Weitere Informationen über die neuesten Updates finden Sie in der folgenden Tabelle.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3079872 – Letzte Überarbeitung: 08/10/2015 07:34:00 – Revision: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbmt KB3079872 KbMtde
Feedback