Applies ToAzure Active Directory Microsoft Intune Azure Backup Identity Management

ΠΡΌΒΛΗΜΑ

Όταν προσπαθείτε να αποκτήσετε πρόσβαση σε μια υπηρεσία cloud της Microsoft, όπως το Office 365, το Microsoft Azure ή το Microsoft Intune μέσω ενός προγράμματος-πελάτη που βασίζεται στο Web ή μιας εφαρμογής εμπλουτισμένου προγράμματος-πελάτη χρησιμοποιώντας έναν λογαριασμό ομόσπονδη, ο έλεγχος ταυτότητας αποτυγχάνει από έναν συγκεκριμένο υπολογιστή-πελάτη. Όταν χρησιμοποιείτε ένα πρόγραμμα περιήγησης Web για να αποκτήσετε πρόσβαση στην πύλη υπηρεσίας cloud από τον ίδιο υπολογιστή χρησιμοποιώντας έναν λογαριασμό ομόσπονδη, ενδέχεται να αντιμετωπίσετε ένα από τα ακόλουθα συμπτώματα:

  • Όταν συνδέεστε με το τελικό σημείο της πύλης, λαμβάνετε ένα από τα ακόλουθα μηνύματα σφάλματος:

    Ο Internet Explorer δεν μπορεί να εμφανίσει την ιστοσελίδα.

    η σελίδα του 403 δεν βρέθηκε

  • Όταν συνδέεστε με το τελικό σημείο των υπηρεσιών Ομοσπονδία υπηρεσίας καταλόγου Active Directory (AD FS), λαμβάνετε ένα από τα ακόλουθα μηνύματα σφάλματος:

    Ο Internet Explorer δεν μπορεί να εμφανίσει την ιστοσελίδα

    η σελίδα του 403 δεν βρέθηκε

  • Λαμβάνετε μια προειδοποίηση πιστοποιητικού όταν συνδέεστε με το τελικό σημείο AD FS.

  • Όταν συνδέεστε με το τελικό σημείο AD FS ενώ είστε συνδεδεμένοι στον εταιρικό τομέα, λαμβάνετε ένα μόνο μήνυμα διαπιστευτηρίων. Αυτό το μήνυμα για τα διαπιστευτήριά σας δεν χρησιμοποιεί έλεγχο ταυτότητας που βασίζεται σε φόρμες.

  • Όταν συνδέεστε με το τελικό σημείο AD FS χρησιμοποιώντας ένα πρόγραμμα περιήγησης Web άλλου κατασκευαστή, λαμβάνετε μηνύματα ελέγχου ταυτότητας βρόχου. Αυτά τα μηνύματα δεν χρησιμοποιούν έλεγχο ταυτότητας που βασίζεται σε φόρμες.

  • Όταν συνδέεστε με το τελικό σημείο login.microsoftonline.com, λαμβάνετε το ακόλουθο μήνυμα σφάλματος:

    Δεν επιτρέπεται η πρόσβαση

ΑΙΤΊΑ

Συνήθως, αυτό το πρόβλημα παρουσιάζεται σε έναν υπολογιστή-πελάτη ή σε μια ομάδα συσκευών υπολογιστή-πελάτη. Αυτό το πρόβλημα μπορεί να προκύψει για όλους τους χρήστες και τους υπολογιστές-πελάτες, εάν η καθολική σύνδεση (SSO) δεν είναι πλήρως λειτουργική. Ο SSO μπορεί να μην είναι πλήρως λειτουργικός εάν οι ρυθμίσεις του προγράμματος-πελάτη δεν έχουν ρυθμιστεί σωστά. Οι ακόλουθες καταστάσεις συσκευής προγράμματος-πελάτη ενδέχεται να προκαλέσουν αυτό το πρόβλημα:

  • Η συνδεσιμότητα δικτύου μπορεί να είναι περιορισμένη.

  • Η συσκευή προγράμματος-πελάτη λαμβάνει εσφαλμένη ανάλυση ονομάτων για την υπηρεσία AD FS Ομοσπονδία από την εσωτερική εφαρμογή split-brain DNS.

  • Εάν ένας διακομιστής μεσολάβησης Internet έχει ρυθμιστεί στον υπολογιστή, το όνομα της υπηρεσίας AD FS Ομοσπονδία δεν μπορεί να προστεθεί στη λίστα παράκαμψης του διακομιστή μεσολάβησης.

  • Το όνομα της υπηρεσίας Ομοσπονδία FS AD δεν μπορεί να προστεθεί στη ζώνη ασφαλείας του τοπικού intranet στις ρυθμίσεις επιλογών Internet.

  • Ο υπολογιστής-πελάτης δεν έχει ελεγχθεί με έλεγχο ταυτότητας στις υπηρεσίες τομέα της υπηρεσίας καταλόγου Active Directory.

  • Το πρόγραμμα περιήγησης Web τρίτων κατασκευαστών δεν υποστηρίζει την εκτεταμένη προστασία για έλεγχο ταυτότητας στην υπηρεσία AD FS Ομοσπονδία.

  • Το τελικό σημείο μετα-δεδομένων Ομοσπονδίας μπορεί να είναι κωδικοποιημένο στο μητρώο εξαιτίας μιας προηγούμενης εγκατάστασης beta του Office 365 του εργαλείου διαχείρισης SSO.

  • Το απαιτούμενο τελικό σημείο υπηρεσίας AD FS που απαιτείται για μια συγκεκριμένη εφαρμογή προγράμματος-πελάτη είναι απενεργοποιημένο.

Πριν να συνεχίσετε, βεβαιωθείτε ότι ισχύουν οι ακόλουθες συνθήκες:

  • Τα προβλήματα της Access δεν περιορίζονται σε εφαρμογές εμπλουτισμένου προγράμματος-πελάτη στον υπολογιστή-πελάτη. Εάν μόνο ο εμπλουτισμένος έλεγχος ταυτότητας υπολογιστή-πελάτη (σε αντίθεση με τον έλεγχο ταυτότητας που βασίζεται σε πρόγραμμα περιήγησης) δεν λειτουργεί, το πιθανότερο είναι ότι υποδηλώνει ένα εμπλουτισμένο ζήτημα ελέγχου ταυτότητας υπολογιστή-πελάτη. Για παράδειγμα, μπορεί να είναι ένα ζήτημα που σχετίζεται με τις προϋποθέσεις ή τη ρύθμιση παραμέτρων της εφαρμογής εμπλουτισμένου προγράμματος-πελάτη. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

    2637629  Τρόπος αντιμετώπισης προβλημάτων εφαρμογών εκτός προγράμματος περιήγησης που δεν μπορούν να εισέλθετε στο Office 365, Azure ή Intune

  • Ο έλεγχος ταυτότητας SSO δεν αποτυγχάνει για όλους τους λογαριασμούς χρηστών με δυνατότητα SSO. Εάν όλοι οι χρήστες με δυνατότητα SSO αντιμετωπίσουν τα ίδια συμπτώματα, το πιθανότερο είναι ότι υποδηλώνει ένα πρόβλημα Ομοσπονδίας. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για προβολή του άρθρου στη Γνωσιακή Βάση της Microsoft:

    2530569  Αντιμετώπιση προβλημάτων εγκατάστασης καθολικής σύνδεσης στο Office 365, το Intune ή το Azure

  • Ο έλεγχος ταυτότητας SSO για το λογαριασμό χρήστη επιτυγχάνει σε άλλους υπολογιστές-πελάτες. Εάν ο λογαριασμός χρήστη δεν μπορεί να συνδεθεί με κανένα πρόγραμμα-πελάτη υπηρεσιών cloud, ανατρέξτε στις αναλύσεις παρακάτω σε αυτό το άρθρο που αφορούν τον υπολογιστή-πελάτη. Επίσης, Εξερευνήστε την πιθανότητα ότι υπάρχει κάποιο πρόβλημα με το λογαριασμό χρήστη και όχι με τον υπολογιστή-πελάτη. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για προβολή του άρθρου στη Γνωσιακή Βάση της Microsoft:

    2530590  Αντιμετώπιση προβλημάτων λογαριασμού για εξωτερικούς χρήστες στο Office 365, Azure ή Intune

  • Το πληκτρολόγιο του υπολογιστή-πελάτη λειτουργεί σωστά και το όνομα χρήστη και ο κωδικός πρόσβασης, όπου είναι απαραίτητο, έχουν εισαχθεί σωστά.

ΛΎΣΗ

Για να αντιμετωπίσετε αυτό το πρόβλημα, χρησιμοποιήστε μία ή περισσότερες από τις ακόλουθες μεθόδους, ανάλογα με την αιτία του ζητήματος.

Προτεινόμενη αντιμετώπιση 1: δεν είναι δυνατή η σύνδεση με την πύλη υπηρεσίας cloud ή με το AD FS 

Προσπαθήστε να περιηγηθείτε στο http://www.MSN.com. Εάν αυτό δεν έχει αποτέλεσμα, αντιμετωπίστε προβλήματα συνδεσιμότητας δικτύου. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

  1. Στη γραμμή εντολών, χρησιμοποιήστε τα εργαλεία ipconfig και ping για την αντιμετώπιση προβλημάτων συνδεσιμότητας IP. Για περισσότερες πληροφορίες, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

    169790 Τρόπος αντιμετώπισης βασικών προβλημάτων TCP/IP.

  2. Στη γραμμή εντολών, πληκτρολογήστε nslookup www.MSN.com για να προσδιορίσετε εάν το DNS επιλύει ονόματα διακομιστών Internet.

  3. Βεβαιωθείτε ότι οι ρυθμίσεις του διακομιστή μεσολάβησης επιλογές Internet αντικατοπτρίζουν τον κατάλληλο διακομιστή μεσολάβησης, εάν χρησιμοποιείται διακομιστής μεσολάβησης στο τοπικό δίκτυο.

  4. Εάν ένα τείχος προστασίας του Forefront απειλή Management Gateway (TMG) είναι εγκατεστημένο στο όριο του δικτύου και το τείχος προστασίας απαιτεί έλεγχο ταυτότητας υπολογιστή-πελάτη, ίσως χρειαστεί να εγκαταστήσετε ένα πρόγραμμα-πελάτη του Forefront TMG στη συσκευή προγράμματος-πελάτη για πρόσβαση στο Internet. Επικοινωνήστε με τον διαχειριστή της υπηρεσίας cloud για βοήθεια σχετικά με αυτό.

Προτεινόμενη αντιμετώπιση 2: δεν είναι δυνατή η σύνδεση στο AD FS

Για να επιλύσετε αυτό το πρόβλημα, ακολουθήστε τα παρακάτω βήματα:

  1. Κατάργηση προβλημάτων συνδεσιμότητας IP με χρήση της επίλυσης 1.

  2. Στη γραμμή εντολών, πληκτρολογήστε nslookup <AD fs 2,0 FQDN>και, στη συνέχεια, πατήστε το πλήκτρο ENTER για να προσδιορίσετε εάν το DNS επιλύει σωστά το όνομα της ΥΠΗΡΕΣΊΑς AD FS.Σημείωση Σε αυτήν την εντολή, <> FQDN του AD FS αντιπροσωπεύει το πλήρως προσδιορισμένο όνομα τομέα (FQDN) του ονόματος υπηρεσίας AD FS. Δεν αντιπροσωπεύει το όνομα κεντρικού υπολογιστή των Windows του διακομιστή AD FS.

    1. Εάν το πρόγραμμα-πελάτης είναι συνδεδεμένο με το εταιρικό δίκτυο, βεβαιωθείτε ότι η διεύθυνση IP που έχει επιλυθεί είναι μια ιδιωτική διεύθυνση IP. Η διεύθυνση IP πρέπει να ταιριάζει με ένα από τα παρακάτω μοτίβα:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    2. Εάν το πρόγραμμα-πελάτης βρίσκεται εκτός του εταιρικού δικτύου, βεβαιωθείτε ότι η διεύθυνση IP που έχει επιλυθεί είναι μια δημόσια διεύθυνση IP. Βεβαιωθείτε ότι δεν συμφωνεί με ένα από τα παρακάτω μοτίβα:

      • 10.x.x.x

      • 172.16.x.x

      • 192.168.x.x

    3. Εάν η διεύθυνση IP που έχει επιλυθεί είναι εσφαλμένη με βάση το βήμα 1 και το βήμα 2 και άλλοι υπολογιστές-πελάτες δεν αντιμετωπίζουν την ίδια συμπεριφορά, κάντε τα εξής:

      1. Στη γραμμή εντολών, πληκτρολογήστε ipconfig/allκαι, στη συνέχεια, βεβαιωθείτε ότι η καταχώρηση του πρωτεύοντος διακομιστή DNS είναι κατάλληλη για το δίκτυο στο οποίο είναι συνδεδεμένο το πρόγραμμα-πελάτη.

      2. Ανοίξτε το αρχείο%windir%\system32\drivers\etc\hosts στο σημειωματάριο και, στη συνέχεια, καταργήστε τις καταχωρήσεις για το FQDN του AD FS. Στη συνέχεια, αποθηκεύστε το αρχείο.

      3. Στη γραμμή εντολών, πληκτρολογήστε ipconfig/flushdns για να καταργήσετε την εκκαθάριση του cache DNS.

    Σημείωση Εάν οι συσκευές-πελάτες είναι συνδεδεμένες μόνο στο εταιρικό δίκτυο, μεταβείτε στο βήμα 3.

  3. Προσθέστε το FQDN του AD FS στη λίστα παράκαμψης του διακομιστή μεσολάβησης. Για να το κάνετε αυτό, ακολουθήστε τα βήματα στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

    262981 Ο Internet Explorer χρησιμοποιεί το διακομιστή μεσολάβησης για την τοπική διεύθυνση IP, ακόμα και αν είναι ενεργοποιημένη η επιλογή "Παράκαμψη διακομιστή μεσολάβησης για τοπικές διευθύνσεις"

Προτεινόμενη αντιμετώπιση 3: προειδοποίηση πιστοποιητικού όταν συνδέεστε με το τελικό σημείο AD FS

Για να επιλύσετε αυτό το πρόβλημα, αντιμετωπίστε προβλήματα με το πιστοποιητικό Secure Sockets Layer (SSL), χρησιμοποιώντας το ακόλουθο άρθρο στη Γνωσιακή βάση της Microsoft:

2523494 Λαμβάνετε μια προειδοποίηση πιστοποιητικού από το AD FS όταν προσπαθείτε να πραγματοποιήσετε είσοδο στο Office 365, Azure ή Intune

Προτεινόμενη αντιμετώπιση 4: λαμβάνετε ένα μοναδικό, μη αναμενόμενο μήνυμα διαπιστευτηρίων όταν συνδέεστε από έναν υπολογιστή-πελάτη που είναι συνδεδεμένος στο εταιρικό δίκτυο

Για να επιλύσετε αυτό το πρόβλημα, ακολουθήστε τα παρακάτω βήματα:

  1. Βεβαιωθείτε ότι ο υπολογιστής-πελάτης έχει συνδεθεί με επιτυχία στον τομέα.

    1. Κάντε κλικ στην επιλογή Έναρξη, επιλέξτε εκτέλεση, πληκτρολογήστε %LOGONSERVER%\Sysvolκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK.

    2. Εάν εμφανιστεί ένα μήνυμα διαπιστευτηρίων, αποσυνδεθείτε και, στη συνέχεια, συνδεθείτε ξανά χρησιμοποιώντας εταιρικά διαπιστευτήρια.

  2. Προσθέστε το FQDN του AD FS στη ζώνη τοπικού intranet.

    1. Στην καρτέλα ασφάλεια , κάντε κλικ στην επιλογή τοπικό intranetκαι, στη συνέχεια, κάντε κλικ στην επιλογή τοποθεσίες.

    2. Κάντε κλικ στην επιλογή για προχωρημένουςκαι, στη συνέχεια, εξετάστε την καταχώρηση τοποθεσιών Web για το πλήρως προσδιορισμένο όνομα DNS του τελικού σημείου υπηρεσίας AD FS (για παράδειγμα, STS.contoso.com). Σημείωση Μια τιμή μπαλαντέρ, όπως "*. consoto.com" θα λειτουργεί επίσης σε αυτήν τη ρύθμιση παραμέτρων.

  3. Προσθέστε το FQDN του AD FS στη λίστα παράκαμψης του διακομιστή μεσολάβησης. Για να το κάνετε αυτό, ακολουθήστε τα βήματα στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

    262981 Ο Internet Explorer χρησιμοποιεί το διακομιστή μεσολάβησης για την τοπική διεύθυνση IP, ακόμα και αν είναι ενεργοποιημένη η επιλογή "Παράκαμψη διακομιστή μεσολάβησης για τοπικές διευθύνσεις"

Προτεινόμενη αντιμετώπιση 5: το πρόγραμμα περιήγησης Web άλλων κατασκευαστών δεν υποστηρίζει την εκτεταμένη προστασία για έλεγχο ταυτότητας και λαμβάνετε μηνύματα ελέγχου ταυτότητας βρόχου

Για να επιλύσετε αυτό το πρόβλημα, ακολουθήστε τα παρακάτω βήματα:

  1. Χρησιμοποιήστε τον Windows Internet Explorer (ο Internet Explorer υποστηρίζει την εκτεταμένη προστασία για έλεγχο ταυτότητας) αντί για ένα πρόγραμμα περιήγησης Web άλλου κατασκευαστή που δεν υποστηρίζει την εκτεταμένη προστασία για έλεγχο ταυτότητας.

  2. Εάν η χρήση του Internet Explorer δεν είναι επιλογή, χρησιμοποιήστε το ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft για να ρυθμίσετε τις παραμέτρους του AD FS ώστε να αποδέχεται αιτήσεις από προγράμματα περιήγησης Web που δεν υποστηρίζουν εκτεταμένη προστασία για έλεγχο ταυτότητας:

    2461628 Μια ομόσπονδη χρήστης ζητά επανειλημμένα διαπιστευτήρια κατά τη διάρκεια της εισόδου στο Office 365, Azure ή Intune

Προτεινόμενη αντιμετώπιση 6: μήνυμα σφάλματος "δεν επιτρέπεται η πρόσβαση" όταν προσπαθείτε να συνδεθείτε στο login.microsoftonline.com

Σημαντικό Αυτή η ενότητα περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα σε περίπτωση λανθασμένης τροποποίησης του μητρώου. Γι' αυτό, βεβαιωθείτε ότι ακολουθείτε με προσοχή τα σχετικά βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφο ασφαλείας του μητρώου, πριν να το τροποποιήσετε. Στη συνέχεια, εάν παρουσιαστεί πρόβλημα, μπορείτε να επαναφέρετε το μητρώο. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και τον τρόπο επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης (Knowledge Base) της Microsoft:

322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα WindowsΕνδέχεται να προκύψουν προβλήματα εάν το τελικό σημείο για το Azure Active Directory SSO που χρησιμοποιείται από το AD FS δεν είναι έγκυρο. Βεβαιωθείτε ότι το τελικό σημείο της Ομοσπονδίας δεν είναι κωδικοποιημένο στο μητρώο κάθε διακομιστή στο σύμπλεγμα υπηρεσιών Ομοσπονδία AD FS. Για να επιλύσετε αυτό το ζήτημα, χρησιμοποιήστε τον επεξεργαστή μητρώου για να διαγράψετε το ακόλουθο δευτερεύον κλειδί μητρώου:

HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationΤο AD FS θα επανέλθει στο σωστό τελικό σημείο με βάση την αξιοπιστία του αξιόπιστου μέρους του SSO.

Ανάλυση 7: Επαναφορά απενεργοποιημένη ρύθμιση τελικού σημείου υπηρεσίας AD FS στην προεπιλεγμένη ρύθμιση παραμέτρων

Για περισσότερες πληροφορίες σχετικά με τον τρόπο για να το κάνετε αυτό, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

2712957 Η είσοδος στο Office 365, το Azure ή το Intune αποτυγχάνει μετά την αλλαγή του τελικού σημείου υπηρεσίας Ομοσπονδία 

Εξακολουθείτε να χρειάζεστε βοήθεια; Μεταβείτε στην τοποθεσία Web Microsoft Community ή στην τοποθεσία φόρουμ του Azure Active Directory .

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.