Behandeln von Problemen beim Einrichten des einmaligen Anmeldens in Office 365, Intune oder Azure

Einrichtungsleitfaden

Besuchen Sie folgende Microsoft-Website:

Vorbereiten des einmaligen Anmeldens

Überprüfung für Schritt 1

Verwenden Sie den Diagnose-Assistenten zum Auswerten der Verzeichnissynchronisierung, um Active Directory auf Probleme zu überprüfen, die zu Problemen bei der Verzeichnissynchronisierung führen können.

Behandeln von Problemen mit der Überprüfung für Schritt 1

1. Hinweis Eine falsche Vorbereitung von Active Directory oder fehler beim Beheben von Problemen, die das Tool identifiziert, kann zu Problemen bei der Verzeichnissynchronisierung führen. Befolgen Sie die Anleitung zur Problembehandlung, die vom Diagnose-Assistenten zum Auswerten der Verzeichnissynchronisierung bereitgestellt wird, um die Probleme zu beheben, und stellen Sie sicher, dass der Diagnose-Assistent ohne Fehler ausgeführt wird. Dadurch wird verhindert, dass die folgenden Probleme später in der Implementierung auftreten:

   • 2392130 Behandeln von Problemen mit dem Benutzernamen, die bei Verbundbenutzern auftreten, wenn sie sich bei Office 365, Azure oder Intune

   • 2001616 Die Office 365 E-Mail-Adresse eines Benutzers enthält nach der Verzeichnissynchronisierung unerwartet einen Unterstrich.

   • 2643629 Ein oder mehrere Objekte synchronisieren nicht, wenn Azure Active Directory Sync-Tool verwendet wird

2. Führen Sie den Diagnose-Assistenten erneut aus, um zu überprüfen, ob das Problem behoben wurde.

Einrichtungsleitfaden

Besuchen Sie folgende Microsoft-Website:

Installieren von Windows PowerShell für einmaliges Anmelden mit AD FS

Überprüfung für Schritt 3

Führen Sie die folgenden Schritte aus, um das Azure Active Directory-Modul für Windows PowerShell für SSO zu überprüfen:

1. Führen Sie das Azure Active Directory-Modul für Windows PowerShell als Administrator aus.

2. Geben Sie die folgenden Befehle ein, und stellen Sie sicher, dass Sie die EINGABETASTE drücken, nachdem Sie die einzelnen Befehle eingegeben haben:

   1. $cred=Get-Credential
      Hinweis Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anmeldeinformationen für den Clouddienstadministrator ein.

   2. Connect-MsolService -Credential $cred 

      
      Hinweis Dieser Befehl stellt eine Verbindung mit Azure AD her. Sie müssen einen Kontext erstellen, der Sie mit Azure AD verbindet, bevor Sie eines der zusätzlichen Cmdlets ausführen, die vom Azure Active Directory-Modul für Windows PowerShell installiert werden.

   3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      
      
      Notizen

      • Wenn Sie das Azure Active Directory-Modul für Windows PowerShell auf dem primären AD FS-Server (Active Directory-Verbunddienste (AD FS)) installiert haben, müssen Sie dieses Cmdlet nicht ausführen.

      • In diesem Befehl stellt der Platzhalter <primären AD FS 2.0-Server> den internen vollqualifizierten Domänennamen (FQDN) des primären AD FS-Servers dar. Dieser Befehl erstellt einen Kontext, der Sie mit AD FS verbindet.

   4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      
      Hinweis In diesem Befehl stellt der Platzhalter <Namen der Verbunddomäne> den Domänennamen dar, der in den Setupschritten als Verbund verwendet wurde.

3. Vergleichen Sie die erste Hälfte (Quelle: AD FS-Server) und die letzte Hälfte (Quelle: Microsoft Office 365) der Ausgabe des Get-MSOLFederationProperty-Befehls, den Sie in Schritt 2D ausgeführt haben. Alle Einträge mit Ausnahme von Source und FederationServiceDisplayName sollten übereinstimmen. Wenn sie nicht übereinstimmen, verwenden Sie den Abschnitt "Lösung" des folgenden Microsoft Knowledge Base-Artikels, um die Vertrauensstellungsdaten der vertrauenden Seite zu aktualisieren:
   
   2647020 "Leider haben wir Probleme bei der Anmeldung" und "80041317" oder "80043431", wenn ein Verbundbenutzer versucht, sich bei Office 365, Azure oder Intune

Behandeln von Problemen mit der Überprüfung für Schritt 3

Führen Sie zur Problembehandlung die folgenden Schritte aus:

1. Behandeln Sie häufig auftretende Validierungsprobleme anhand der folgenden Microsoft Knowledge Base-Artikel, die für Ihre Situation geeignet sind:

   • 2461873 Sie können das Azure Active Directory-Modul für Windows PowerShell nicht öffnen.

   • 2494043Sie können keine Verbindung mit dem Azure Active Directory-Modul für Windows PowerShell

   • 2587730 Fehler "Fehler bei der Verbindung mit <ServerName> Active Directory-Verbunddienste (AD FS) 2.0", wenn Sie das Cmdlet Set-MsolADFSContext verwenden

   • 2279117 Ein Administrator kann keine Domäne zu einem Office 365-Konto hinzufügen.

   • Fehler beim zweiten Ausführen des Cmdlets New-MsolFederatedDomain, da die Domänenüberprüfung fehlschlägt. Weitere Informationen zu diesem Szenario finden Sie im folgenden Knowledge Base-Artikel:

     2515404 Behandeln von Problemen mit der Domänenüberprüfung in Office 365

   • 2618887 Fehler "Der im AD FS 2.0-Server angegebene Verbunddienstbezeichner wird bereits verwendet." beim Versuch, eine andere Verbunddomäne in Office 365, Azure oder Intune

   • Zeitprobleme verursachen Probleme mit dem Cmdlet New-MSOLFederatedDomain oder dem Cmdlet Convert-MSOLDomainToFederated.

2. Führen Sie die Überprüfungsschritte erneut aus, um zu überprüfen, ob das Problem behoben wurde.

Einrichtungsleitfaden

Wechseln Sie zu den folgenden Microsoft-Websites:

• Roadmap für die Verzeichnissynchronisierung

• Verzeichnissynchronisierung und Autoritätsquelle

Überprüfung für Schritt 4

Führen Sie zum Überprüfen die folgenden Schritte aus:

1. Führen Sie das Azure Active Directory-Modul für Windows PowerShell als Administrator aus.

2. Geben Sie die folgenden Befehle ein. Stellen Sie sicher, dass Sie nach jedem eingegebenen Befehl die Eingabetaste drücken.

   1. $cred=Get-Credential
      
      Hinweis Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anmeldeinformationen für den Clouddienstadministrator ein.

   2. Connect-MsolService -Credential $cred
      
      Hinweis Dieser Befehl stellt eine Verbindung mit Azure AD her. Sie müssen einen Kontext erstellen, der Sie mit Azure AD verbindet, bevor Sie eines der zusätzlichen Cmdlets ausführen, die vom Azure Active Directory-Modul für Windows PowerShell installiert werden.

   3. Get-MSOLCompanyInformation

3. Überprüfen Sie den LastDirSyncTime-Wert aus der Ausgabe der vorherigen Befehle, und stellen Sie sicher, dass nach der Installation des Azure Active Directory-Synchronisierungstools eine Synchronisierung angezeigt wird.
   
   Hinweis Der Datums- und Zeitstempel für diesen Wert wird unter Koordinierte Weltzeit (Greenwich Mean Time) angezeigt.

4. Wenn LastDirSyncTime nicht aktualisiert wird, überwachen Sie das Anwendungsprotokoll des Servers, auf dem das Azure Active Directory-Synchronisierungstool installiert ist, für das folgende Ereignis:

   • Quelle: Verzeichnissynchronisierung

   • Ereignis-ID: 4

   • Ebene: Informationen

   Dieses Ereignis gibt an, dass die Verzeichnissynchronisierung auf dem Server abgeschlossen wurde. Führen Sie in diesem Fall diese Schritte erneut aus, um sicherzustellen, dass der LastDirSyncTime-Wert ordnungsgemäß aktualisiert wurde.

Behandeln von Problemen mit der Überprüfung für Schritt 4

Behandeln Sie häufig auftretende Validierungsprobleme anhand der folgenden Microsoft Knowledge Base-Artikel, die für Ihre Situation geeignet sind:

• 2508225 "LogonUser() Failed with error code: 1789" (LogonUser() failed with error code: 1789", nachdem Sie die Anmeldeinformationen des Unternehmensadministrators im Konfigurations-Assistenten für das Azure Active Directory-Synchronisierungstool eingegeben haben

• 2502710 Fehler "Unbekannter Fehler beim Microsoft Online Services-Anmelde-Assistenten" beim Ausführen des Konfigurations-Assistenten für das Azure Active Directory-Synchronisierungstool

• 2419250 Fehler "Der Computer muss einer Domäne beigetreten sein" beim Installieren des Azure Active Directory-Synchronisierungstools

• 2643629 Ein oder mehrere Objekte synchronisieren nicht, wenn Azure Active Directory Sync-Tool verwendet wird

• 2641663 Verwenden des SMTP-Abgleichs zum Abgleichen lokaler Benutzerkonten mit Office 365 Benutzerkonten für die Verzeichnissynchronisierung

• 2492140 Sie können einem Benutzer im Office 365 Portal keine Verbunddomäne zuweisen.

Einrichtungsleitfaden

1. Überprüfen Sie die Clientvoraussetzungen für Office 365. Weitere Informationen zu den Systemanforderungen für Office 365 findest du unter Office 365 Systemanforderungen.

2. Führen Sie Office 365 Desktop-Setup auf allen Clientcomputern aus, die Rich-Clientanwendungen verwenden. Rich-Client-Anwendungen umfassen Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory-Modul für Windows PowerShell. Office-Desktopanwendungen und Microsoft SharePoint-Integrationsanwendungen.

3. Wenn für in die Domäne eingebundene und mit der Domäne verbundene Clientcomputer eine nahtlose, keine Eingabeaufforderungen erwartet werden, fügen Sie die AD FS-Verbunddienst-URL der lokalen Intranetzone in Windows Internet Explorer hinzu. Gehen Sie beispielsweise wie folgt vor:

   1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.

   2. Klicken Sie auf die Registerkarte Sicherheit , klicken Sie auf Lokales Intranet, klicken Sie auf Standorte, und klicken Sie dann auf Erweitert.

   3. Geben Sie https://sts.contoso.com in das Feld Diese Website zur Zone hinzufügen ein, und klicken Sie dann auf Hinzufügen.
      
      Hinweis "sts.contoso.com" stellt den FQDN des AD FS-Verbunddiensts dar.

   Weitere Informationen zu dieser Konfiguration finden Sie im folgenden Microsoft Knowledge Base-Artikel:

   2535227 Ein Verbundbenutzer wird unerwartet aufgefordert, die Anmeldeinformationen für sein Geschäfts-, Schul- oder Unikonto einzugeben.

4. Wenn in die Domäne eingebundene und mit der Domäne verbundene Clientcomputer auf Internetressourcen zugreifen, indem sie einen Proxyserver verwenden, der Internetadressen mithilfe von öffentlichen DNS-Abfragen (und nicht mit internem Split-Brain-DNS) auflöst, fügen Sie die AD FS-Verbunddienst-URL der Liste hinzu, für die Internet Explorer die Proxyfilterung umgehen wird. Im Folgenden finden Sie ein Beispiel für das Hinzufügen der URL zur Internet Explorer-Ausnahmeliste:

   1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen.

   2. Klicken Sie auf der Registerkarte Verbindungen auf LAN-Einstellungen und dann auf Erweitert.

   3. Geben Sie im Feld Ausnahmen den Wert ein, indem Sie den vollqualifizierten DNS-Namen des AD FS-Dienstendpunktnamens verwenden. Geben Sie beispielsweise sts.contoso.com ein.

Überprüfung für Schritt 5

Führen Sie zum Überprüfen die folgenden Schritte aus:

1. Stellen Sie sicher, dass der Microsoft Online Services-Anmelde-Assistent installiert ist und ausgeführt wird. Gehen Sie dazu wie folgt vor:

   1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Services.msc ein, und klicken Sie dann auf OK.

   2. Suchen Sie den Eintrag Microsoft Online Services-Anmelde-Assistent, und stellen Sie dann sicher, dass der Dienst ausgeführt wird.

   3. Wenn der Dienst nicht ausgeführt wird, klicken Sie mit der rechten Maustaste auf den Eintrag, und wählen Sie dann Starten aus.

2. Wechseln Sie zur AD FS MEX-Website, um sicherzustellen, dass der Endpunkt Teil der Internet Explorer-Intranetsicherheitszone ist. Gehen Sie zu diesem Zweck folgendermaßen vor:

   1. Starten Sie Internet Explorer, und navigieren Sie dann zur Website des AD FS-Dienstendpunkts. Im Folgenden finden Sie ein Beispiel für eine Dienstendpunktwebsite:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

   2. Überprüfen Sie die Statusleiste am unteren Rand des Fensters, um sicherzustellen, dass die für diese URL angegebene Sicherheitszone Lokales Intranet ist.