Μια ομόσπονδη χρήστη είναι ζητούνται επανειλημμένα πιστοποιήσεις κατά τη σύνδεση στο Office 365, Azure ή Intune

Η υποστήριξη για τα Windows XP έχει διακοπεί

Η Microsoft διέκοψε την υποστήριξη για τα Windows XP στις 8 Απριλίου 2014. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 2461628
Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες που σας δείχνουν τον τρόπο μείωσης των ρυθμίσεων ασφαλείας ή τον τρόπο απενεργοποίησης των δυνατοτήτων ασφαλείας σε έναν υπολογιστή. Μπορείτε να κάνετε αυτές τις αλλαγές για να αντιμετωπίσετε ένα συγκεκριμένο πρόβλημα. Πριν να κάνετε αυτές τις αλλαγές, συνιστάται να εκτιμήσετε τους κινδύνους που σχετίζονται με την εφαρμογή αυτή εναλλακτικού τρόπου αντιμετώπισης στο συγκεκριμένο περιβάλλον. Εάν εφαρμόσετε αυτόν τον εναλλακτικό τρόπο αντιμετώπισης, λαμβάνουν τα κατάλληλα πρόσθετα μέτρα για την προστασία του υπολογιστή.
ΤΟ ΠΡΌΒΛΗΜΑ
Μια ομόσπονδη χρήστη ζητείται επανειλημμένα πιστοποιήσεις όταν ο χρήστης επιχειρεί να ελέγχουν την ταυτότητα του τελικού σημείου εξυπηρέτησης υπηρεσίες Ομοσπονδία Active Directory (AD ΛΕ) κατά τη σύνδεση σε μια υπηρεσία νέφους Microsoft όπως Office 365, Microsoft Azure ή Intune της Microsoft. Όταν ο χρήστης ακυρώσει, ο χρήστης λαμβάνει το ακόλουθο μήνυμα λάθους:
Δεν επιτρέπεται η πρόσβαση
ΑΙΤΊΑ
Το σύμπτωμα αυτό δηλώνει κάποιο ζήτημα με τα Windows ο ενσωματωμένος έλεγχος ταυτότητας με AD FS. Αυτό το ζήτημα μπορεί να προκύψει αν ισχύει μία ή περισσότερες από τις ακόλουθες συνθήκες είναι αληθής:
  • Χρησιμοποιήθηκε ένα εσφαλμένο όνομα χρήστη ή ο κωδικός πρόσβασης.
  • Ρυθμίσεις ελέγχου ταυτότητας Internet Information Services (IIS) έχουν οριστεί λανθασμένα σε AD FS.
  • Το κύριο όνομα υπηρεσίας (SPN) που είναι συσχετισμένος με το λογαριασμό της υπηρεσίας που χρησιμοποιείται για την εκτέλεση του συμπλέγματος διακομιστών Ομοσπονδία AD FS χαθεί ή καταστραφεί.

    Σημείωση Αυτό συμβαίνει μόνο όταν AD FS υλοποιείται ως ένα σύμπλεγμα διακομιστών Ομοσπονδία και δεν έχει υλοποιηθεί σε μια αυτόνομη ρύθμιση παραμέτρων.
  • Ένα ή περισσότερα από τα παρακάτω αναγνωρίζονται από την εκτεταμένη προστασία για έλεγχο ταυτότητας ως προέλευση μιας επίθεσης στη μέση:
    • Ορισμένα προγράμματα περιήγησης στο Internet τρίτων κατασκευαστών
    • Το τείχος προστασίας εταιρικό δίκτυο, η μονάδα εξισορρόπησης φόρτου δικτύου ή άλλη συσκευή δικτύου γίνεται δημοσίευση από την ομοσπονδιακή υπηρεσία AD FS στο Internet έτσι ότι ενδεχομένως μπορεί να επανεγγραφή δεδομένων το ωφέλιμο φορτίο IP. Αυτό πιθανώς περιλαμβάνει τα ακόλουθα είδη δεδομένων:
      • Secure Sockets Layer (SSL) γεφύρωσης
      • Μείωση φόρτου SSL
      • Φιλτράρισμα πακέτων με κατάσταση

        Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
        2510193Υποστηριζόμενα σενάρια για τη χρήση AD FS για να ορίσετε καθολικής σύνδεσης στο Office 365, Azure ή Intune
    • Μια παρακολούθηση ή μια εφαρμογή αποκρυπτογράφησης SSL είναι εγκατεστημένο ή είναι ενεργοποιημένη στον υπολογιστή-πελάτη
  • Ανάλυση Name System (DNS) του τομέα της απόληξης υπηρεσία AD FS πραγματοποιήθηκε μέσω αναζήτησης εγγραφή CNAME αντί μέσω μιας αναζήτησης εγγραφών A.
  • Windows Internet Explorer δεν είναι ρυθμισμένη για τη μεταβίβαση των Windows ο ενσωματωμένος έλεγχος ταυτότητας διακομιστή AD FS.

Πριν να ξεκινήσετε την αντιμετώπιση προβλημάτων

Ελέγξτε ότι το όνομα χρήστη και ο κωδικός πρόσβασης δεν είναι η αιτία του ζητήματος.
  • Βεβαιωθείτε ότι το σωστό όνομα χρήστη χρησιμοποιείται και είναι σε μορφή κύριου ονόματος (UPN) χρήστη. Johnsmith@contoso.com για παράδειγμα.
  • Βεβαιωθείτε ότι χρησιμοποιείται το σωστό κωδικό πρόσβασης. Για να ελέγξετε ξανά ότι χρησιμοποιείται το σωστό κωδικό πρόσβασης, ίσως χρειαστεί να επαναφέρετε τον κωδικό πρόσβασης του χρήστη. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο του Microsoft TechNet:
  • Βεβαιωθείτε ότι ο λογαριασμός δεν είναι κλειδωμένος, λήξει ή χρησιμοποιείται εκτός σύνδεσης καθορισμένες ώρες. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο του Microsoft TechNet:

Επιβεβαιώσετε την αιτία

Για να ελέγξετε ότι Kerberos προβλήματα προκαλούν το ζήτημα, να παρακάμψετε προσωρινά τον έλεγχο ταυτότητας Kerberos, δίνοντας τη δυνατότητα ελέγχου ταυτότητας που βασίζεται σε φόρμες στο σύμπλεγμα διακομιστών Ομοσπονδία AD FS. Για να γίνει αυτό, ακολουθήστε τα εξής βήματα:

Βήμα 1: Επεξεργασία του αρχείου web.config σε κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS
  1. Στην Εξερεύνηση των Windows, εντοπίστε το φάκελο C:\inetpub\adfs\ls\ και, στη συνέχεια, κάντε ένα αντίγραφο ασφαλείας του αρχείου web.config.
  2. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Όλα τα προγράμματα, κατόπιν στην επιλογή Βοηθήματα, κάντε δεξιό κλικ στο Σημειωματάριο (Notepad)και, στη συνέχεια, κάντε κλικ στην εντολή Εκτέλεση ως διαχειριστής.
  3. Σχετικά με το αρχείο μενού, κάντε κλικ στο κουμπί Άνοιγμα. Με το όνομα αρχείου , πληκτρολογήστεC:\inetpub\adfs\ls\web.config, και στη συνέχεια κάντε κλικ στο κουμπί Άνοιγμα.
  4. Στο αρχείο web.config, ακολουθήστε τα εξής βήματα:
    1. Εντοπίστε τη γραμμή που περιέχει <authentication mode=""> </authentication>, και στη συνέχεια αλλάξτε τον σε <authentication mode="Forms"> </authentication>.
    2. Εντοπίστε την ενότητα που ξεκινά με <localAuthenticationTypes> </localAuthenticationTypes>, και στη συνέχεια αλλάξτε την ενότητα έτσι ώστε το <add name="Forms"></add> εγγραφή παρατίθεται πρώτα, ως εξής:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Σχετικά με το αρχείο μενού, κάντε κλικ στο κουμπί Αποθήκευση.
  6. Σε μια αναβαθμισμένη γραμμή εντολών, κάντε επανεκκίνηση των υπηρεσιών IIS, χρησιμοποιώντας την εντολή iisreset .
Βήμα 2: Δοκιμή AD FS λειτουργικότητα
  1. Σε έναν υπολογιστή-πελάτη που συνδέθηκε και με έλεγχο ταυτότητας σε εγκαταστάσεις περιβάλλον AD DS, είσοδος στην πύλη υπηρεσία νέφους.

    Αντί για μια εμπειρία χωρίς προβλήματα ελέγχου ταυτότητας, ένα συμπληρωματικό σύμβολο βασίζεται σε φόρμες πρέπει να προκύψουν. Εάν η είσοδος είναι επιτυχής, χρησιμοποιώντας έλεγχο ταυτότητας που βασίζεται σε φόρμες, αυτό επιβεβαιώνει ότι υπάρχει κάποιο πρόβλημα με το Kerberos με την ομοσπονδιακή υπηρεσία AD FS.
  2. Επαναφέρει τη ρύθμιση παραμέτρων του κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS στις προηγούμενες ρυθμίσεις ελέγχου ταυτότητας, πριν να ακολουθήσετε τα βήματα στην ενότητα "Προτεινόμενη αντιμετώπιση". Για να επαναφέρετε τη ρύθμιση παραμέτρων του κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS, ακολουθήστε τα εξής βήματα:
    1. Στην Εξερεύνηση των Windows, εντοπίστε το φάκελο C:\inetpub\adfs\ls\ και, στη συνέχεια, διαγράψτε το αρχείο web.config.
    2. Μετακινήσετε το αντίγραφο ασφαλείας του αρχείου web.config που έχετε δημιουργήσει στο το "βήμα 1: επεξεργασία του αρχείου web.config σε κάθε διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS" ενότητα στο φάκελο C:\inetpub\adfs\ls\.
  3. Σε μια αναβαθμισμένη γραμμή εντολών, κάντε επανεκκίνηση των υπηρεσιών IIS, χρησιμοποιώντας την εντολή iisreset .
  4. Ελέγξτε ότι η συμπεριφορά ελέγχου ταυτότητας AD FS επαναφέρει το αρχικό ζήτημα.
ΛΎΣΗ
Για να επιλύσετε το ζήτημα του Kerberos που περιορίζει AD FS ελέγχου ταυτότητας, χρησιμοποιήστε μία ή περισσότερες από τις ακόλουθες μεθόδους, ανάλογα με την κατάσταση.

Προτεινόμενη αντιμετώπιση 1: Ρυθμίσεις ελέγχου ταυτότητας FS AD επαναφορά στις προεπιλεγμένες τιμές

Εάν οι ρυθμίσεις ελέγχου ταυτότητας AD FS IIS είναι εσφαλμένες ή δεν ταιριάζουν με τις ρυθμίσεις ελέγχου ταυτότητας IIS AD FS Ομοσπονδία υπηρεσιών και των υπηρεσιών του διακομιστή μεσολάβησης, μια λύση είναι να επαναφέρετε όλες τις ρυθμίσεις ελέγχου ταυτότητας IIS τις προεπιλογές AD FS.

Οι προεπιλεγμένες ρυθμίσεις ελέγχου ταυτότητας παρατίθενται στον ακόλουθο πίνακα.
Εικονικών εφαρμογώνΤα επίπεδα ελέγχου ταυτότητας
Προεπιλεγμένη τοποθεσία Web/adfsΟ ανώνυμος έλεγχος ταυτότητας
Προεπιλεγμένη τοποθεσία Web/adfs/lsΟ ανώνυμος έλεγχος ταυτότητας
Έλεγχος ταυτότητας των Windows
Σε κάθε διακομιστή Ομοσπονδία AD FS και σε κάθε μεσολάβησης AD FS Ομοσπονδία διακομιστή, χρησιμοποιήστε τις πληροφορίες στο ακόλουθο άρθρο της Microsoft TechNet για να επαναφέρετε τις εικονικές εφαρμογές AD FS IIS στις προεπιλεγμένες ρυθμίσεις ελέγχου ταυτότητας:Για περισσότερες πληροφορίες σχετικά με την επίλυση αυτού του σφάλματος, ανατρέξτε στα ακόλουθα άρθρα της Γνωσιακής Βάσης της Microsoft:
907273 Αντιμετώπιση σφαλμάτων HTTP 401 στις υπηρεσίες IIS

871179 Λαμβάνετε ένα "σφάλμα HTTP 401.1 - μη εξουσιοδοτημένη πρόσβαση: η πρόσβαση απορρίφθηκε λόγω μη έγκυρων διαπιστευτηρίων" μήνυμα λάθους όταν προσπαθείτε να αποκτήσετε πρόσβαση σε μια τοποθεσία Web που είναι μέρος ενός χώρου συγκέντρωσης εφαρμογών IIS 6.0

Προτεινόμενη αντιμετώπιση 2: Διόρθωση της συστοιχίας διακομιστών Ομοσπονδία AD FS SPN

Σημείωση Δοκιμάστε αυτήν την επίλυση μόνο όταν AD FS υλοποιείται ως ένα σύμπλεγμα διακομιστών Ομοσπονδία. Μην επιχειρήσετε αυτήν την ανάλυση σε μια αυτόνομη ρύθμιση παραμέτρων AD FS.

Για να επιλύσετε το ζήτημα, εάν το SPN για την υπηρεσία AD FS χαθεί ή καταστραφεί στο λογαριασμό υπηρεσίας AD FS, ακολουθήστε τα εξής βήματα σε ένα διακομιστή στη συστοιχία διακομιστών Ομοσπονδία AD FS:
  1. Ανοίξτε το συμπληρωματικό πρόγραμμα Διαχείριση των υπηρεσιών. Για να γίνει αυτό, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Όλα τα προγράμματα, κάντε κλικ στην επιλογή Εργαλεία διαχείρισηςκαι, στη συνέχεια, κάντε κλικ στην επιλογή υπηρεσίες.
  2. Κάντε διπλό κλικ στην υπηρεσία του AD FS (2.0) των Windows.
  3. Σχετικά με το Log On καρτέλα, σημειώστε το λογαριασμό της υπηρεσίας που εμφανίζεται σε Αυτό το λογαριασμό.
  4. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στην επιλογή Όλα τα προγράμματα, κατόπιν στην επιλογή Βοηθήματα, κάντε δεξιό κλικ στο στοιχείο γραμμή εντολώνκαι, στη συνέχεια, κάντε κλικ στην εντολή Εκτέλεση ως διαχειριστής.
  5. Τύπος Κεντρικός υπολογιστής-q-f SetSPN /<AD fs="" service="" name=""></AD>, και στη συνέχεια πιέστε το πλήκτρο Enter.

    Σημείωση Σε αυτήν την εντολή, <AD fs="" service="" name=""></AD> αντιπροσωπεύει το όνομα της υπηρεσίας ονόματος (FQDN) έγκυρου τομέα AD FS τελικού σημείου υπηρεσίας. Αντιπροσωπεύει το όνομα του κεντρικού υπολογιστή των Windows του διακομιστή AD FS.
    • Εάν περισσότερες από μία καταχωρήσεις επιστρέφεται για την εντολή, και το αποτέλεσμα είναι συσχετισμένη με ένα λογαριασμό χρήστη διαφορετικό από αυτό που σημειώσατε στο βήμα 3, να καταργήσετε αυτή τη συσχέτιση. Για να γίνει αυτό, εκτελέστε την ακόλουθη εντολή:
      Κεντρικός υπολογιστής – d SetSPN /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Εάν περισσότερες από μία καταχωρήσεις επιστρέφεται για την εντολή και το SPN χρησιμοποιεί το ίδιο όνομα με το όνομα υπολογιστή του διακομιστή AD FS στα Windows, το όνομα τελικού σημείου Ομοσπονδία AD FS είναι εσφαλμένη. AD FS πρέπει να εφαρμοστεί ξανά. Το FQDN του συμπλέγματος διακομιστών Ομοσπονδία AD FS δεν πρέπει να είναι ίδιο με το όνομα κεντρικού υπολογιστή Windows υπάρχοντος διακομιστή.
    • Εάν τα SPN δεν υπάρχει ήδη, εκτελέστε την ακόλουθη εντολή:
      SetSPN – ένας κεντρικός υπολογιστής /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Σημείωση Σε αυτήν την εντολή, <username of="" service="" account=""></username> αντιπροσωπεύει το όνομα χρήστη που αναφέρθηκε στο βήμα 3.
  6. Μετά από αυτά τα βήματα πραγματοποιούνται σε όλους τους διακομιστές του συμπλέγματος διακομιστών Ομοσπονδία AD FS, κάντε δεξιό κλικ στο Υπηρεσία AD FS (2.0) των Windows με το συμπληρωματικό πρόγραμμα Διαχείριση των υπηρεσιών και, στη συνέχεια, κάντε κλικ στην επιλογή επανεκκίνηση.

Προτεινόμενη αντιμετώπιση 3: Επίλυση εκτεταμένη προστασία για έλεγχο ταυτότητας αφορά

Για να επιλύσετε το ζήτημα, εάν η εκτεταμένη προστασία για έλεγχο ταυτότητας δεν επιτρέπει την επιτυχή έλεγχο ταυτότητας, χρησιμοποιήστε μία από τις ακόλουθες προτεινόμενες μεθόδους:
  • Μέθοδος 1: χρήση Windows Internet Explorer 8 (ή νεότερη έκδοση του προγράμματος), για να εισέλθετε.
  • Μέθοδος 2: δημοσίευση AD FS υπηρεσιών στο Internet έτσι ότι δεν επανεγγραφή γεφύρωση SSL, μείωση φόρτου SSL ή το πακέτο φιλτράρισμα δεδομένων το ωφέλιμο φορτίο IP. Η σύσταση βέλτιστων πρακτικών για το σκοπό αυτό είναι να χρησιμοποιήσετε ένα διακομιστή μεσολάβησης FS AD.
  • Μέθοδος 3: Κλείσιμο ή απενεργοποίηση παρακολούθησης ή εφαρμογές αποκρυπτογράφησης SSL.
Εάν δεν μπορείτε να χρησιμοποιήσετε οποιαδήποτε από αυτές τις μεθόδους, για να επιλύσετε αυτό το ζήτημα, η εκτεταμένη προστασία για έλεγχο ταυτότητας μπορεί να απενεργοποιηθεί για υπολογιστές-πελάτες παθητικών και ενεργητικών.

Επίλυση: Απενεργοποίηση εκτεταμένη προστασία για έλεγχο ταυτότητας

Προειδοποίηση Δεν συνιστάται να χρησιμοποιήσετε αυτή τη διαδικασία ως μακροπρόθεσμη λύση. Απενεργοποίηση της εκτεταμένης προστασίας για έλεγχο ταυτότητας εξασθενεί το προφίλ ασφαλείας υπηρεσία AD FS εντοπίζοντας δεν ορισμένες επιθέσεις στο μέσο στις απολήξεις ο ενσωματωμένος έλεγχος ταυτότητας των Windows.

Σημείωση Όταν εφαρμόζεται αυτή η λύση για τις λειτουργίες εφαρμογών τρίτων, θα πρέπει να καταργήσετε επίσης επείγουσες επιδιορθώσεις για το λειτουργικό σύστημα του υπολογιστή-πελάτη για εκτεταμένη προστασία για έλεγχο ταυτότητας. Για περισσότερες πληροφορίες σχετικά με τις επείγουσες επιδιορθώσεις, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
968389 Η εκτεταμένη προστασία για έλεγχο ταυτότητας
Για παθητική υπολογιστές-πελάτες
Για να απενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας για παθητική υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία για τις ακόλουθες εφαρμογές εικονικό των υπηρεσιών IIS σε όλους τους διακομιστές του συμπλέγματος διακομιστών Ομοσπονδία AD FS:
  • Προεπιλεγμένη τοποθεσία Web/adfs
  • Προεπιλεγμένη τοποθεσία Web/adfs/ls
Για να γίνει αυτό, ακολουθήστε τα εξής βήματα:
  1. Ανοίξτε τη διαχείριση των υπηρεσιών IIS και περιήγηση στο επίπεδο που θέλετε να διαχειριστείτε. Για πληροφορίες σχετικά με το άνοιγμα της διαχείρισης των υπηρεσιών IIS, ανατρέξτε στο θέμα Ανοίξτε τη διαχείριση των υπηρεσιών IIS (IIS 7).
  2. Στην προβολή "χαρακτηριστικά", κάντε διπλό κλικ στο ελέγχου ταυτότητας.
  3. Στη σελίδα ελέγχου ταυτότητας, επιλέξτε Έλεγχος ταυτότητας των Windows.
  4. Στο παράθυρο ενεργειών , κάντε κλικ στο κουμπί " Ρυθμίσεις για προχωρημένους".
  5. Όταν εμφανιστεί το παράθυρο διαλόγου Ρυθμίσεις για προχωρημένους , επιλέξτε Απενεργοποίησηαπό τοεκτεταμένη προστασία αναπτυσσόμενο μενού.
Για ενεργοί υπολογιστές-πελάτες
Για να απενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας για ενεργοί υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία στον πρωτεύοντα διακομιστή AD FS:
  1. Ανοίξτε το Windows PowerShell.
  2. Εκτελέστε την ακόλουθη εντολή για να φορτώσετε το Windows PowerShell για συμπληρωματικό πρόγραμμα AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Εκτελέστε την ακόλουθη εντολή για να απενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Εκ νέου ενεργοποίηση της εκτεταμένης προστασίας για έλεγχο ταυτότητας

Για παθητική υπολογιστές-πελάτες
Για να ενεργοποιήσετε ξανά την εκτεταμένη προστασία για έλεγχο ταυτότητας για παθητική υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία για τις ακόλουθες εφαρμογές εικονικό των υπηρεσιών IIS σε όλους τους διακομιστές του συμπλέγματος διακομιστών Ομοσπονδία AD FS:
  • Προεπιλεγμένη τοποθεσία Web/adfs
  • Προεπιλεγμένη τοποθεσία Web/adfs/ls
Για να γίνει αυτό, ακολουθήστε τα εξής βήματα:
  1. Ανοίξτε τη διαχείριση των υπηρεσιών IIS και περιήγηση στο επίπεδο που θέλετε να διαχειριστείτε. Για πληροφορίες σχετικά με το άνοιγμα της διαχείρισης των υπηρεσιών IIS, ανατρέξτε στο θέμα Ανοίξτε τη διαχείριση των υπηρεσιών IIS (IIS 7).
  2. Στην προβολή "χαρακτηριστικά", κάντε διπλό κλικ στο ελέγχου ταυτότητας.
  3. Στη σελίδα ελέγχου ταυτότητας, επιλέξτε Έλεγχος ταυτότητας των Windows.
  4. Στο παράθυρο ενεργειών , κάντε κλικ στο κουμπί " Ρυθμίσεις για προχωρημένους".
  5. Όταν εμφανιστεί το παράθυρο διαλόγου Ρυθμίσεις για προχωρημένους , επιλέξτε Αποδοχήαπό το αναπτυσσόμενο μενού Εκτεταμένης προστασίας .
Για ενεργοί υπολογιστές-πελάτες
Για να ενεργοποιήσετε ξανά την εκτεταμένη προστασία για έλεγχο ταυτότητας για ενεργοί υπολογιστές-πελάτες, ακολουθήστε την παρακάτω διαδικασία στον πρωτεύοντα διακομιστή AD FS:
  1. Ανοίξτε το Windows PowerShell.
  2. Εκτελέστε την ακόλουθη εντολή για να φορτώσετε το Windows PowerShell για συμπληρωματικό πρόγραμμα AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Εκτελέστε την ακόλουθη εντολή για να ενεργοποιήσετε την εκτεταμένη προστασία για έλεγχο ταυτότητας:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Προτεινόμενη αντιμετώπιση 4: Αντικαταστήστε τις εγγραφές CNAME με ένα καρτέλες για AD FS

Χρησιμοποιήστε τα εργαλεία διαχείρισης DNS για να αντικαταστήσετε κάθε εγγραφή ψευδωνύμου DNS (CNAME) που έχει χρησιμοποιηθεί για την ομοσπονδιακή υπηρεσία με μια διεύθυνση DNS (Α) την εγγραφή. Επίσης, ελέγξτε ή εξετάστε το ενδεχόμενο να εταιρικές ρυθμίσεις DNS όταν εφαρμόζεται μια split-brain ρύθμιση παραμέτρων DNS. Για περισσότερες πληροφορίες σχετικά με τη διαχείριση των εγγραφών DNS, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft TechNet στο Web:

Προτεινόμενη αντιμετώπιση 5: Ρυθμίσετε τον Internet Explorer με ένα πρόγραμμα-πελάτη AD FS για καθολικής σύνδεσης (SSO)

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης του Internet Explorer για πρόσβαση AD FS, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
2535227Μια ομόσπονδη χρήστη ζητείται απροσδόκητα να εισαγάγετε την εργασία τους ή σχολείο πιστοποιήσεις λογαριασμού
ΠΕΡΙΣΣΟΤΕΡΕΣ ΠΛΗΡΟΦΟΡΙΕΣ
Για να προστατεύσετε το δίκτυο, AD FS χρησιμοποιεί εκτεταμένη προστασία για έλεγχο ταυτότητας. Εκτεταμένη προστασία για έλεγχο ταυτότητας μπορεί να σας βοηθήσει να αποτρέψετε επιθέσεις στο μέσο στο οποίο ένας εισβολέας διακόπτει τις πιστοποιήσεις του υπολογιστή-πελάτη και τα προωθεί σε ένα διακομιστή. Παρέχει δυνατότητα προστασίας από τέτοιες επιθέσεις με χρήση έργων σύνδεσης καναλιού (CBT). CBT μπορεί να απαιτούνται, επιτρέπεται ή δεν απαιτείται από το διακομιστή όταν δημιουργούνται επικοινωνίες με υπολογιστές-πελάτες.

Η ρύθμιση ExtendedProtectionTokenCheck AD FS Καθορίζει το επίπεδο της εκτεταμένης προστασίας για έλεγχο ταυτότητας που υποστηρίζεται από το διακομιστή Ομοσπονδία. Αυτές είναι οι διαθέσιμες τιμές για αυτήν τη ρύθμιση:
  • Απαιτούν: Ο διακομιστής δεν είναι πλήρως υψηλό επίπεδο ασφαλείας. Είναι επιβεβλημένη η εκτεταμένη προστασία.
  • Αποδοχή: Αυτή είναι η προεπιλεγμένη ρύθμιση. Ο διακομιστής είναι εν μέρει υψηλό επίπεδο ασφαλείας. Εκτεταμένη προστασία επιβάλλεται για τα συστήματα που εμπλέκονται που αλλάζουν για να υποστηρίζει αυτήν τη δυνατότητα.
  • Κανένα: Ο διακομιστής δεν είναι ευπαθή. Εκτεταμένη προστασία δεν εφαρμόζεται.
Οι παρακάτω πίνακες περιγράφουν τον τρόπο λειτουργίας του ελέγχου ταυτότητας για τρία λειτουργικά συστήματα και προγράμματα περιήγησης, ανάλογα με τις διάφορες επιλογές εκτεταμένης προστασίας που είναι διαθέσιμες στην AD FS με τις υπηρεσίες IIS.

Σημείωση Λειτουργικά συστήματα υπολογιστών-πελατών των Windows, πρέπει να έχετε συγκεκριμένες ενημερωμένες εκδόσεις που έχουν εγκατασταθεί για την αποτελεσματική χρήση δυνατοτήτων εκτεταμένης προστασίας. Από προεπιλογή, οι δυνατότητες είναι ενεργοποιημένες στο AD FS. Αυτές οι ενημερωμένες εκδόσεις είναι διαθέσιμες στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:
968389 Η εκτεταμένη προστασία για έλεγχο ταυτότητας
Από προεπιλογή, τα Windows 7 περιλαμβάνουν τα κατάλληλα δυαδικά αρχεία για να χρησιμοποιήσετε την εκτεταμένη προστασία.

Τα Windows 7 (ή κατάλληλα ενημερωμένες εκδόσεις των Windows Vista ή των Windows XP)
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Επικοινωνίας των Windows
Πρόγραμμα-πελάτης Foundation (WCF) (όλες τις απολήξεις)
ΈργωνΈργωνΈργων
8and Internet Explorer νεότερες εκδόσειςΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΑποτυγχάνειΈργων
Safari 4.0.4ΑποτυγχάνειΑποτυγχάνειΈργων
Τα Windows Vista χωρίς τις κατάλληλες ενημερωμένες εκδόσεις
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
Υπολογιστή-πελάτη WCF (όλες τις απολήξεις)ΑποτυγχάνειΈργωνΈργων
8and Internet Explorer νεότερες εκδόσειςΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΈργων Έργων
Safari 4.0.4ΑποτυγχάνειΈργων Έργων
Στα Windows XP χωρίς τις κατάλληλες ενημερωμένες εκδόσεις
ΡύθμισηΑπαιτείταιΝα επιτρέπεται (προεπιλογή)Καμία
8and Internet Explorer νεότερες εκδόσειςΈργωνΈργωνΈργων
Το Firefox 3.6ΑποτυγχάνειΈργων Έργων
Safari 4.0.4ΑποτυγχάνειΈργων Έργων
Για περισσότερες πληροφορίες σχετικά με την εκτεταμένη προστασία για έλεγχο ταυτότητας, ανατρέξτε στους παρακάτω πόρους της Microsoft:
968389 Η εκτεταμένη προστασία για έλεγχο ταυτότητας
Για περισσότερες πληροφορίες σχετικά με τα cmdlet Σύνολο ADFSProperties , επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Εξακολουθείτε να χρειάζεστε βοήθεια; Μεταβείτε το Κοινότητα του Office 365 τοποθεσία Web ή το Φόρουμ Azure υπηρεσίας καταλόγου Active Directory τοποθεσία Web.

Τα προϊόντα τρίτων κατασκευαστών που περιγράφει αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητες της Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 2461628 - Τελευταία αναθεώρηση: 01/14/2016 02:14:00 - Αναθεώρηση: 23.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtel
Σχόλια