Μια ομόσπονδη χρήστη είναι ζητούνται επανειλημμένα πιστοποιήσεις κατά τη σύνδεση στο Office 365, Azure ή Intune

Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες που σας δείχνουν τον τρόπο μείωσης των ρυθμίσεων ασφαλείας ή τον τρόπο απενεργοποίησης των δυνατοτήτων ασφαλείας σε έναν υπολογιστή. Μπορείτε να κάνετε αυτές τις αλλαγές για να αντιμετωπίσετε ένα συγκεκριμένο πρόβλημα. Πριν κάνετε αυτές τις αλλαγές, συνιστάται να εκτιμήσετε τους κινδύνους που σχετίζονται με την εφαρμογή αυτού του εναλλακτικού τρόπου αντιμετώπισης στο συγκεκριμένο περιβάλλον. Εάν εφαρμόσετε αυτόν τον εναλλακτικό τρόπο αντιμετώπισης, λάβετε τα κατάλληλα πρόσθετα μέτρα για την προστασία του υπολογιστή.

ΤΟ ΠΡΌΒΛΗΜΑ

Μια ομόσπονδη χρήστη ζητείται επανειλημμένα πιστοποιήσεις όταν ο χρήστης επιχειρεί να ελέγχουν την ταυτότητα του τελικού σημείου εξυπηρέτησης υπηρεσίες Ομοσπονδία Active Directory (AD ΛΕ) κατά τη σύνδεση σε μια υπηρεσία νέφους Microsoft όπως Office 365, Microsoft Azure ή Microsoft Intune. Όταν ο χρήστης ακυρώσει, ο χρήστης λαμβάνει το ακόλουθο μήνυμα λάθους:
Δεν επιτρέπεται η πρόσβαση

ΑΙΤΊΑ

Το σύμπτωμα αυτό δηλώνει κάποιο ζήτημα με τα Windows ο ενσωματωμένος έλεγχος ταυτότητας με AD FS. Αυτό το ζήτημα μπορεί να προκύψει αν ισχύει μία ή περισσότερες από τις ακόλουθες συνθήκες είναι αληθής:
  • Χρησιμοποιήθηκε ένα εσφαλμένο όνομα χρήστη ή ο κωδικός πρόσβασης.
  • Ρυθμίσεις ελέγχου ταυτότητας Internet Information Services (IIS) έχουν οριστεί λανθασμένα σε AD FS.
  • Το κύριο όνομα υπηρεσίας (SPN) που είναι συσχετισμένος με το λογαριασμό της υπηρεσίας που χρησιμοποιείται για την εκτέλεση του συμπλέγματος διακομιστών Ομοσπονδία AD FS χαθεί ή καταστραφεί.

    Σημείωση Αυτό συμβαίνει μόνο όταν AD FS υλοποιείται ως σύμπλεγμα διακομιστών Ομοσπονδία και δεν έχει υλοποιηθεί σε μια αυτόνομη ρύθμιση παραμέτρων.
  • Ένα ή περισσότερα από τα παρακάτω αναγνωρίζονται από την εκτεταμένη προστασία για έλεγχο ταυτότητας ως προέλευση μιας επίθεσης στη μέση:
    • Ορισμένα προγράμματα περιήγησης στο Internet τρίτων κατασκευαστών
    • Το τείχος προστασίας εταιρικό δίκτυο, η μονάδα εξισορρόπησης φόρτου δικτύου ή άλλη συσκευή δικτύου γίνεται δημοσίευση από την ομοσπονδιακή υπηρεσία AD FS στο Internet έτσι ότι δεδομένα ωφέλιμου φορτίου IP μπορεί πιθανώς να γραφούν ξανά. Αυτό πιθανώς περιλαμβάνει τα ακόλουθα είδη δεδομένων:
      • Secure Sockets Layer (SSL) γεφύρωσης
      • Μείωση φόρτου SSL
      • Φιλτράρισμα πακέτων με κατάσταση

        Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
        2510193 υποστηριζόμενες σενάρια για τη χρήση AD FS για να ορίσετε καθολικής σύνδεσης στο Office 365, Azure ή Intune
    • Μια παρακολούθηση ή μια εφαρμογή αποκρυπτογράφησης SSL είναι εγκατεστημένο ή είναι ενεργοποιημένη στον υπολογιστή-πελάτη
  • Ανάλυση Name System (DNS) του τομέα του τελικού σημείου εξυπηρέτησης AD FS πραγματοποιήθηκε μέσω αναζήτησης εγγραφή CNAME αντί μέσω μιας αναζήτησης εγγραφών A.
  • Windows Internet Explorer δεν είναι ρυθμισμένη για τη μεταβίβαση των Windows ο ενσωματωμένος έλεγχος ταυτότητας στο διακομιστή AD FS.

Πριν να ξεκινήσετε την αντιμετώπιση προβλημάτων

Ελέγξτε ότι το όνομα χρήστη και ο κωδικός πρόσβασης δεν είναι η αιτία του ζητήματος.
  • Βεβαιωθείτε ότι το σωστό όνομα χρήστη χρησιμοποιείται και είναι σε μορφή κύριου ονόματος (UPN) χρήστη. Για παράδειγμα, johnsmith@contoso.com.
  • Βεβαιωθείτε ότι χρησιμοποιείται το σωστό κωδικό πρόσβασης. Για να ελέγξετε ξανά ότι χρησιμοποιείται το σωστό κωδικό πρόσβασης, ίσως χρειαστεί να επαναφέρετε τον κωδικό πρόσβασης του χρήστη. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο του Microsoft TechNet:
  • Βεβαιωθείτε ότι ο λογαριασμός δεν είναι κλειδωμένος, λήξει ή χρησιμοποιείται εκτός σύνδεσης καθορισμένες ώρες. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο του Microsoft TechNet:

Επιβεβαιώσετε την αιτία

Για να ελέγξετε ότι Kerberos προβλήματα προκαλούν το ζήτημα, να παρακάμψετε προσωρινά τον έλεγχο ταυτότητας Kerberos με την ενεργοποίηση του ελέγχου ταυτότητας που βασίζεται σε φόρμες στο σύμπλεγμα διακομιστών Ομοσπονδία AD FS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

Βήμα 1: Επεξεργασία του αρχείου web.config σε κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS
  1. Στην Εξερεύνηση των Windows, εντοπίστε το φάκελο C:\inetpub\adfs\ls\ και, στη συνέχεια, να δημιουργήσετε αντίγραφο ασφαλείας του αρχείου web.config.
  2. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Όλα τα προγράμματα, κατόπιν στην επιλογή Βοηθήματα, κάντε δεξιό κλικ στο Σημειωματάριο (Notepad)και, στη συνέχεια, κάντε κλικ στην εντολή Εκτέλεση ως διαχειριστής.
  3. Στο μενού αρχείο , κάντε κλικ στο " Άνοιγμα". Στο πλαίσιο Όνομα αρχείου , πληκτρολογήστε C:\inetpub\adfs\ls\web.configκαι, στη συνέχεια, κάντε κλικ στο κουμπί Άνοιγμα.
  4. Στο αρχείο web.config, ακολουθήστε τα εξής βήματα:
    1. Εντοπίστε τη γραμμή που περιέχει < λειτουργία ελέγχου ταυτότητας =, και στη συνέχεια αλλάξτε τον σε < λειτουργία ελέγχου ταυτότητας = "Φόρμες" / >.
    2. Εντοπίστε την ενότητα που ξεκινά με < localAuthenticationTypes >και, στη συνέχεια, αλλάξτε την ενότητα έτσι ώστε το < Προσθήκη ονόματος = "Φόρμες" εγγραφή παρατίθεται πρώτα, ως εξής:
      <localAuthenticationTypes>
      < Προσθήκη ονόματος = "Φόρμες" page="FormsSignIn.aspx" / >
      < Προσθήκη ονόματος = σελίδας "Ολοκληρωμένα" = "/ ενσωματωμένος έλεγχος ταυτότητας /" / >
      < Προσθήκη ονόματος = "TlsClient" σελίδα = "Έλεγχος ταυτότητας/sslclient /" / >
      < Προσθήκη ονόματος = "Βασική" σελίδα = "Έλεγχος ταυτότητας/basic /" / >
  5. Στο μενού αρχείο , κάντε κλικ στο κουμπί " Αποθήκευση".
  6. Σε μια αναβαθμισμένη γραμμή εντολών, κάντε επανεκκίνηση των υπηρεσιών IIS, χρησιμοποιώντας την εντολή iisreset .
Βήμα 2: Δοκιμή AD FS λειτουργικότητα
  1. Σε έναν υπολογιστή-πελάτη που συνδέθηκε και έλεγχος ταυτότητας για τους σε χώρους περιβάλλον AD DS, είσοδος στην πύλη υπηρεσία νέφους.

    Αντί για μια εμπειρία χωρίς προβλήματα ελέγχου ταυτότητας, ένα συμπληρωματικό σύμβολο βασίζεται σε φόρμες πρέπει να προκύψουν. Εάν η είσοδος είναι επιτυχής, χρησιμοποιώντας έλεγχο ταυτότητας που βασίζεται σε φόρμες, αυτό επιβεβαιώνει ότι υπάρχει κάποιο πρόβλημα με το Kerberos στην υπηρεσία AD FS Ομοσπονδία.
  2. Επαναφέρει τη ρύθμιση παραμέτρων του κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS στις προηγούμενες ρυθμίσεις ελέγχου ταυτότητας, πριν να ακολουθήσετε τα βήματα στην ενότητα "Προτεινόμενη αντιμετώπιση". Για να επαναφέρετε τη ρύθμιση παραμέτρων του κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS, ακολουθήστε τα εξής βήματα:
    1. Στην Εξερεύνηση των Windows, εντοπίστε το φάκελο C:\inetpub\adfs\ls\ και, στη συνέχεια, διαγράψτε το αρχείο web.config.
    2. Μετακινήσετε το αντίγραφο ασφαλείας του αρχείου web.config που έχετε δημιουργήσει στο το "βήμα 1: επεξεργασία του αρχείου web.config σε κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS" ενότητα στο φάκελο C:\inetpub\adfs\ls\.
  3. Σε μια αναβαθμισμένη γραμμή εντολών, κάντε επανεκκίνηση των υπηρεσιών IIS, χρησιμοποιώντας την εντολή iisreset .
  4. Ελέγξτε ότι η συμπεριφορά ελέγχου ταυτότητας AD FS επιστρέφει το αρχικό ζήτημα.

ΛΎΣΗ

Για να επιλύσετε το ζήτημα του Kerberos που περιορίζει AD FS ελέγχου ταυτότητας, χρησιμοποιήστε μία ή περισσότερες από τις ακόλουθες μεθόδους, ανάλογα με την κατάσταση.
Προτεινόμενη αντιμετώπιση 1: Ρυθμίσεις ελέγχου ταυτότητας FS AD επαναφορά στις προεπιλεγμένες τιμές
Προτεινόμενη αντιμετώπιση 2: Διόρθωση της συστοιχίας διακομιστών Ομοσπονδία AD FS SPN
Προτεινόμενη αντιμετώπιση 3: Επίλυση εκτεταμένη προστασία για έλεγχο ταυτότητας αφορά
Προτεινόμενη αντιμετώπιση 4: Αντικαταστήστε τις εγγραφές CNAME με ένα καρτέλες για AD FS
Προτεινόμενη αντιμετώπιση 5: Ρυθμίσετε τον Internet Explorer με ένα πρόγραμμα-πελάτη AD FS για καθολικής σύνδεσης (SSO)

ΠΕΡΙΣΣΟΤΕΡΕΣ ΠΛΗΡΟΦΟΡΙΕΣ

Για να προστατεύσετε το δίκτυο, AD FS χρησιμοποιεί εκτεταμένη προστασία για έλεγχο ταυτότητας. Εκτεταμένη προστασία για έλεγχο ταυτότητας μπορεί να σας βοηθήσει να αποτρέψετε επιθέσεις στο μέσο στο οποίο ένας εισβολέας διακόπτει τις πιστοποιήσεις του υπολογιστή-πελάτη και τα προωθεί σε ένα διακομιστή. Παρέχει δυνατότητα προστασίας από τέτοιες επιθέσεις με χρήση έργων σύνδεσης καναλιού (CBT). CBT μπορεί να απαιτούνται, επιτρέπεται ή δεν απαιτείται από το διακομιστή όταν δημιουργούνται επικοινωνίες με υπολογιστές-πελάτες.

Η ρύθμιση ExtendedProtectionTokenCheck AD FS Καθορίζει το επίπεδο της εκτεταμένης προστασίας για έλεγχο ταυτότητας που υποστηρίζεται από το διακομιστή Ομοσπονδία. Αυτές είναι οι διαθέσιμες τιμές για αυτήν τη ρύθμιση:
  • Απαιτούν: Ο διακομιστής δεν είναι πλήρως υψηλό επίπεδο ασφαλείας. Εκτεταμένη προστασία τίθεται σε ισχύ.
  • Αποδοχή: Αυτή είναι η προεπιλεγμένη ρύθμιση. Ο διακομιστής είναι εν μέρει υψηλό επίπεδο ασφαλείας. Εκτεταμένη προστασία επιβάλλεται για τα συστήματα που εμπλέκονται που αλλάζουν για να υποστηρίζει αυτήν τη δυνατότητα.
  • Κανένα: Ο διακομιστής δεν είναι ευπαθή. Εκτεταμένη προστασία δεν εφαρμόζεται.
Οι παρακάτω πίνακες περιγράφουν τον τρόπο λειτουργίας του ελέγχου ταυτότητας για τρία λειτουργικά συστήματα και προγράμματα περιήγησης, ανάλογα με τις διάφορες επιλογές εκτεταμένης προστασίας που είναι διαθέσιμες στην AD FS με τις υπηρεσίες IIS.

Σημείωση Λειτουργικά συστήματα υπολογιστών-πελατών των Windows, πρέπει να έχετε συγκεκριμένες ενημερωμένες εκδόσεις που έχουν εγκατασταθεί για την αποτελεσματική χρήση δυνατοτήτων εκτεταμένης προστασίας. Από προεπιλογή, οι δυνατότητες είναι ενεργοποιημένες στο AD FS. Αυτές οι ενημερωμένες εκδόσεις είναι διαθέσιμες στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
968389 εκτεταμένη προστασία για έλεγχο ταυτότητας
Από προεπιλογή, τα Windows 7 περιλαμβάνουν τα κατάλληλα δυαδικά αρχεία για να χρησιμοποιήσετε την εκτεταμένη προστασία.

Τα Windows 7 (ή κατάλληλα ενημερωμένες εκδόσεις των Windows Vista ή των Windows XP)
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Επικοινωνίας των Windows
Πρόγραμμα-πελάτης Foundation (WCF) (όλες τις απολήξεις)
ΈργωνΈργωνΈργων
Internet Explorer 8 και νεότερες εκδόσειςΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΑποτυγχάνειΈργων
Σαφάρι 4.0.4ΑποτυγχάνειΑποτυγχάνειΈργων
Τα Windows Vista χωρίς τις κατάλληλες ενημερωμένες εκδόσεις
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Υπολογιστή-πελάτη WCF (όλες τις απολήξεις)ΑποτυγχάνειΈργωνΈργων
Internet Explorer 8 και νεότερες εκδόσειςΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΈργωνΈργων
Σαφάρι 4.0.4ΑποτυγχάνειΈργωνΈργων
Στα Windows XP χωρίς τις κατάλληλες ενημερωμένες εκδόσεις
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Internet Explorer 8 και νεότερες εκδόσειςΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΈργωνΈργων
Σαφάρι 4.0.4ΑποτυγχάνειΈργωνΈργων
Για περισσότερες πληροφορίες σχετικά με την εκτεταμένη προστασία για έλεγχο ταυτότητας, ανατρέξτε στους παρακάτω πόρους της Microsoft:
968389 εκτεταμένη προστασία για έλεγχο ταυτότητας
Για περισσότερες πληροφορίες σχετικά με τα cmdlet Σύνολο ADFSProperties , επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Εξακολουθείτε να χρειάζεστε βοήθεια; Μεταβείτε στην Κοινότητα της Microsoft ή την τοποθεσία Web του Active Directory Azure στο φόρουμ .

Τα προϊόντα τρίτων κατασκευαστών που περιγράφει αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες της Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων
Ιδιότητες

Αναγνωριστικό άρθρου: 2461628 - Τελευταία αναθεώρηση: 8 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια