Behandeln von Problemen mit der Ad FS-Endpunktverbindung, wenn sich Benutzer bei Microsoft 365, Intune oder Azure anmelden
Problem
Wenn sich Benutzer mit einem Verbundbenutzerkonto bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Intune oder Microsoft Azure anmelden, schlägt die Verbindung mit dem AD FS-Dienst (Active Directory-Verbunddienste (AD FS)) nur fehl, wenn Benutzer versuchen, die folgenden Aktionen auszuführen:
- Herstellen einer Verbindung von einem Remote-Internetstandort
- Verwenden von E-Mail-Verbindungen zum Anmelden
Diese Situation führt auch dazu, dass SSO-Tests, die die Remotekonnektivitätsanalyse durchführt, fehlschlagen.
Weitere Informationen zum Ausführen der Remotekonnektivitätsanalyse zum Testen der SSO-Authentifizierung in Microsoft 365 finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
- 2650717 Verwenden der Remotekonnektivitätsanalyse zum Beheben von Problemen mit dem einmaligen Anmelden für Microsoft 365, Azure oder Intune
- 2466333 Verbundbenutzer können keine Verbindung mit einem Exchange Online-Postfach herstellen
Ursache
Diese Fehler können auftreten, wenn der AD FS-Dienst nicht ordnungsgemäß im Internet verfügbar gemacht wird. In der Regel wird zu diesem Zweck der AD FS-Proxyserver verwendet, und Probleme mit dem AD FS-Proxyserver führen zu diesen Symptomen. Häufige Probleme sind die folgenden:
Abgelaufenes SSL-Zertifikat, das dem AD FS-Proxyserver zugewiesen ist
Häufig wird dasselbe SSL-Zertifikat verwendet, um die Kommunikation (HTTPS) sowohl für den AD FS-Verbunddienst als auch für den AD FS-Proxyserver zu sichern. Wenn dieses Zertifikat abgelaufen ist und das Zertifikat in der AD FS-Verbunddienstfarm erneuert oder aktualisiert wird, muss das SSL-Zertifikat auch auf allen AD FS-Proxyservern aktualisiert werden. Wenn das SSL-Zertifikat des AD FS-Proxyservers in diesem Fall nicht aktualisiert wird, können Internetverbindungen mit dem AD FS-Dienst fehlschlagen, obwohl der AD FS-Verbunddienst fehlerfrei ist.
Falsche Konfiguration von IIS-Authentifizierungsendpunkten
Die Rolle des AD FS-Proxyservers besteht darin, Internetkommunikation zu empfangen, die an AD FS gerichtet ist, und diese Kommunikation an den AD FS-Verbunddienst weiterzu leiten. Daher ist es wichtig, dass die IIS-Authentifizierungseinstellung des AD FS-Verbunddiensts und des Proxyservers komplementär ist. Wenn die IIS-Authentifizierungseinstellungen des AD FS-Proxyservers nicht so festgelegt sind, dass sie die IIS-Authentifizierungseinstellungen des AD FS-Verbunddiensts ergänzen, kann die Anmeldung fehlschlagen oder mehrere unerwartete Eingabeaufforderungen generieren.
Unterbrochene Vertrauensstellung zwischen dem AD FS-Proxyserver und dem AD FS-Verbunddienst
Der AD FS-Proxydienst ist für die Installation auf einem Computer konzipiert, der nicht in die Domäne eingebunden ist. Daher kann die Kommunikation zwischen dem AD FS-Proxyserver und dem AD FS-Verbunddienst nicht auf einer Active Directory-Vertrauensstellung oder -Anmeldeinformationen basieren. Stattdessen wird die Kommunikation zwischen diesen beiden Serverrollen mithilfe eines Tokens hergestellt, das vom AD FS-Verbunddienst an den AD FS-Proxyserver ausgestellt und vom AD FS-Tokensignaturzertifikat signiert wird. Wenn diese Vertrauensstellung abgelaufen oder ungültig ist, kann der AD FS-Proxydienst keine AD FS-Anforderungen weiterleiten, und die Vertrauensstellung muss neu erstellt werden, um die Funktionalität wiederherzustellen.
Lösung
Um dieses Problem zu beheben, verwenden Sie je nach Situation eine der folgenden Methoden auf allen fehlerhaften AD FS-Proxyservern.
Methode 1: Beheben von Problemen mit dem AD FS-SSL-Zertifikat auf dem AD FS-Server
Gehen Sie dazu wie folgt vor:
Behandeln von SSL-Zertifikatproblemen im AD FS-Verbunddienst (nicht im Proxydienst) mithilfe des folgenden Microsoft Knowledge Base-Artikels:
2523494 Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie versuchen, sich bei Microsoft 365, Azure oder Intune
Wenn das SSL-Zertifikat des AD FS-Verbunddiensts ordnungsgemäß funktioniert, aktualisieren Sie das SSL-Zertifikat auf dem AD FS-Proxyserver mithilfe der Export- und Importfunktionen des Zertifikats. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:
179380 Entfernen, Importieren und Exportieren digitaler Zertifikate
Methode 2: Zurücksetzen der IIS-Authentifizierungseinstellungen des AD FS-Proxyservers auf den Standardwert
Führen Sie dazu die Schritte aus, die in Lösung 1 des folgenden Microsoft Knowledge Base-Artikels für den AD FS-Proxyserver beschrieben sind:
2461628 Ein Verbundbenutzer wird während der Anmeldung bei Microsoft 365, Azure oder Intune wiederholt zur Eingabe von Anmeldeinformationen aufgefordert.
Methode 3: Erneutes Ausführen des AD FS-Proxykonfigurations-Assistenten
Führen Sie hierzu den Assistenten für die Konfiguration des AD FS-Verbundserverproxys über die Verwaltungstools-Schnittstelle aller betroffenen AD FS-Proxyserver erneut aus.
Hinweis
Es ist üblich, eine Warnung aus dem Schritt "Browseranmeldungswebsite bereitstellen" zu erhalten, wenn Sie den Konfigurations-Assistenten erneut ausführen. Dies ist kein Hinweis darauf, dass der Assistent die Vertrauensstellung zwischen dem AD FS-Proxyserver und dem AD FS-Verbunddienst nicht neu erstellt hat.
Weitere Informationen
Weitere Informationen zum Verfügbarmachen des AD FS-Diensts im Internet mithilfe eines AD FS-Proxyservers finden Sie auf der folgenden Microsoft-Website:
Planen und Bereitstellen von AD FS 2.0 für die Verwendung mit einmaligem Anmelden
Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für