Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Un usuario federado se pide repetidamente las credenciales durante el inicio de sesión en Office 365, Azure o Intune

Ha finalizado el soporte técnico para Windows XP

Microsoft puso fin al soporte técnico para Windows XP el 8 de abril de 2014. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 2461628
Importante: Este artículo contiene información que muestra cómo reducir la configuración de seguridad o desactivar las características de seguridad en un equipo. Puede realizar estos cambios para solucionar un problema específico. Antes de realizar estos cambios, le recomendamos que evalúe los riesgos asociados con la implementación de esta solución en su entorno concreto. Si decide implementar esta solución, tome las medidas adicionales oportunas para ayudar a proteger el equipo.
PROBLEMA
Un usuario federado se pide repetidamente las credenciales cuando el usuario intenta autenticarse en el extremo de servicio de los servicios de federación de Active Directory (AD FS) durante el inicio de sesión en un servicio de nube de Microsoft, como Office 365, Microsoft Azure o Microsoft Intune. Cuando el usuario cancela, el usuario recibe el siguiente mensaje de error:
Acceso denegado
CAUSA
El síntoma indica un problema con la autenticación integrada de Windows con AD FS. Este problema puede producirse si uno o más de las siguientes condiciones son verdaderas:
  • Se utilizó un nombre de usuario incorrecto o la contraseña.
  • Configuración de autenticación de servicios de Internet Information Server (IIS) se configura incorrectamente en AD FS.
  • El nombre principal de servicio (SPN) que está asociado con la cuenta de servicio que se utiliza para ejecutar el conjunto de servidores de federación de AD FS está perdido o dañado.

    Nota: Esto ocurre sólo cuando AD FS se implementa como un conjunto de servidores de federación y no se implementa en una configuración independiente.
  • Uno o más de los siguientes se identifican mediante protección ampliada para la autenticación como origen de un ataque de intermediario:
    • Algunos exploradores de Internet de terceros
    • El servidor de seguridad de la red corporativa, equilibrador de carga de red u otro dispositivo de red está publicando el servicio de federación de AD FS en Internet de tal manera que potencialmente pueden reescribir datos de la carga IP. Esto posiblemente incluye los siguientes tipos de datos:
      • Secure Sockets Layer (SSL) de puente
      • Descarga de SSL
      • El filtrado de paquetes con seguimiento de estado

        Para obtener más información, consulte el siguiente artículo de Microsoft Knowledge Base:
        2510193Escenarios admitidos para el uso de AD FS para configurar un inicio de sesión único de Office 365, Azure o Intune
    • Una aplicación de descifrado de SSL o supervisión está instalado o está activo en el equipo cliente
  • Resolución de sistema de nombres (DNS) del dominio del extremo de servicio de AD FS se realizó a través de la búsqueda de registro CNAME en lugar de a través de una búsqueda de registros.
  • Windows Internet Explorer no está configurado para pasar la autenticación integrada de Windows en el servidor de AD FS.

Antes de iniciar la solución de problemas

Compruebe que el nombre de usuario y la contraseña no son la causa del problema.
  • Asegúrese de que el nombre de usuario correcto se utiliza y está en formato de nombre principal (de usuario UPN) del usuario. Por ejemplo, se johnsmith@contoso.com.
  • Asegúrese de que se utiliza la contraseña correcta. Para comprobar que se utiliza la contraseña correcta, tendrá que restablecer la contraseña de usuario. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:
  • Asegúrese de que la cuenta no está bloqueada, caducada o usada fuera de las horas de inicio de sesión designado. Para obtener más información, consulte el siguiente artículo de Microsoft TechNet:

Compruebe la causa

Para comprobar que los problemas de Kerberos están causando el problema, omitir temporalmente la autenticación Kerberos al habilitar la autenticación basada en formularios en la granja de servidores de federación de AD FS. Para ello, siga estos pasos:

Paso 1: Editar el archivo web.config en cada servidor de la granja de servidores de federación de AD FS
  1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, haga una copia de seguridad del archivo web.config.
  2. Haga clic en Inicio, haga clic en Todos los programas, Accesorios, haga clic en Bloc de notasy, a continuación, haga clic en Ejecutar como administrador.
  3. En el archivo menú, haga clic en Abrir. En el nombre de archivo , escribaC:\inetpub\adfs\ls\web.configy, a continuación, haga clic en Abrir.
  4. En el archivo web.config, siga estos pasos:
    1. Busque la línea que contiene <authentication mode=""> </authentication>y, a continuación, cámbielo a <authentication mode="Forms"> </authentication>.
    2. Busque la sección que comienza con <localAuthenticationTypes> </localAuthenticationTypes>y, a continuación, cambie la sección para que la <add name="Forms"></add> entrada aparece en primer lugar, como sigue:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. En el archivo menú, haga clic en Guardar.
  6. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
Paso 2: Funcionalidad prueba de AD FS
  1. En un equipo cliente que se ha conectado y autenticado a los locales en el entorno de AD DS, iniciar sesión en el portal de servicio de nube.

    En lugar de una experiencia de la autenticación transparente, un signo de basada en formularios debe ser experimentado. Si el inicio de sesión es correcta mediante la autenticación basada en formularios, Esto confirma que existe un problema con Kerberos en el servicio de federación de AD FS.
  2. Revertir la configuración de cada servidor de la granja de servidores de federación de AD FS para la configuración de autenticación anteriores antes de seguir los pasos descritos en la sección "Solución". Para revertir la configuración de cada servidor de la granja de servidores de federación de AD FS, siga estos pasos:
    1. En el Explorador de Windows, busque la carpeta C:\inetpub\adfs\ls\ y, a continuación, elimine el archivo web.config.
    2. Mover la copia de seguridad del archivo web.config que creó en el "paso 1: editar el archivo web.config en cada servidor de la granja de servidores de federación de AD FS" sección a la carpeta C:\inetpub\adfs\ls\.
  3. En un símbolo del sistema con privilegios elevados, reiniciar IIS utilizando el comando iisreset .
  4. Compruebe que el comportamiento de autenticación de AD FS vuelve al problema original.
SOLUCIÓN
Para resolver el problema de Kerberos que limita la autenticación de AD FS, utilice uno o varios de los métodos siguientes, según la situación.

Resolución 1: Configuración de autenticación de AD FS de restablecimiento a los valores predeterminados

Si la configuración de autenticación IIS de AD FS es incorrectas o no coinciden con la configuración de autenticación de IIS para los servicios de federación de AD FS y servicios Proxy, una solución consiste en Restablecer todas las configuraciones de autenticación de IIS para la configuración predeterminada de AD FS.

La configuración de autenticación predeterminada se enumeran en la tabla siguiente.
Aplicación virtualNiveles de autenticación
Sitio Web de predeterminado/adfsAutenticación anónima
Sitio Web de predeterminado/adfs/lsAutenticación anónima
Autenticación de Windows
En cada servidor de federación de AD FS y en cada proxy de servidor de federación de AD FS, utilice la información en el siguiente artículo de Microsoft TechNet para restablecer las aplicaciones virtuales de IIS de AD FS para la configuración de autenticación predeterminada:Para obtener más información acerca de cómo resolver este error, consulte los siguientes artículos de Microsoft Knowledge Base:
907273 Solución de errores HTTP 401 en IIS

871179 Recibe un "HTTP Error 401.1 - no autorizado: acceso denegado debido a credenciales no válidas" mensaje de error cuando intenta tener acceso a un sitio Web que forma parte de un grupo de aplicaciones IIS 6.0

Resolución 2: Corregir la granja de servidores de federación de AD FS SPN

Nota: Pruebe esta solución sólo cuando AD FS se implementa como un conjunto de servidores de federación. No intente esta resolución en una configuración independiente de AD FS.

Para resolver el problema si el SPN del servicio AD FS está perdido o dañado en la cuenta de servicio de AD FS, siga estos pasos en un servidor de la granja de servidores de federación de AD FS:
  1. Abra el complemento Administración de servicios. Para ello, haga clic en Inicio, seleccione Todos los programas, haga clic en Herramientas administrativasy, a continuación, haga clic en Servicios.
  2. Haga doble clic en servicio de Windows (2.0) de AD FS.
  3. En el iniciar sesión ficha, tenga en cuenta la cuenta de servicio que se muestra en Esta cuenta.
  4. Haga clic en Inicio, haga clic en Todos los programas, Accesorios, haga clic en símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.
  5. Escriba el Host de SetSPN – f – q /<AD fs="" service="" name=""></AD>, y, a continuación, presione ENTRAR.

    Nota: En este comando, <AD fs="" service="" name=""></AD> representa el nombre de dominio completo (FQDN) del nombre servicio del extremo de servicio de AD FS. No representa el nombre de host de Windows del servidor de AD FS.
    • Si se devuelve más de una entrada para el comando y el resultado está asociado a una cuenta de usuario distinta de la que se anotó en el paso 3, quitar dicha asociación. Para ello, ejecute el siguiente comando:
      SetSPN – d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Si se devuelve más de una entrada para el comando y el SPN utiliza el mismo nombre como nombre de equipo del servidor de AD FS en Windows, el nombre del extremo de federación de AD FS es incorrecto. AD FS tiene que implementar de nuevo. El FQDN de la granja de servidores de federación de AD FS no debe ser idéntico al nombre de host de Windows de un servidor existente.
    • Si no existe ya el SPN, ejecute el siguiente comando:
      SetSPN – a host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Nota: En este comando, <username of="" service="" account=""></username> representa el nombre de usuario que se anotó en el paso 3.
  6. Después de realizan estos pasos en todos los servidores de la granja de servidores de federación de AD FS, haga clic en El servicio de Windows de AD FS (2.0) en el complemento Administración de servicios y, a continuación, haga clic en reiniciar.

Solución 3: Se refiere resolver la protección ampliada para la autenticación

Para resolver el problema si la autenticación correcta impide la protección ampliada para la autenticación, utilice uno de los siguientes métodos recomendados:
  • Método 1: usar Windows Internet Explorer 8 (o una versión posterior del programa) para iniciar sesión en.
  • Método 2: publicar servicios de AD FS en Internet de forma que el puente SSL, descarga SSL o filtrado de paquetes con estado no volver a escribir datos de la carga IP. La recomendación de mejores prácticas para este propósito es utilizar un servidor de Proxy de AD FS.
  • Método 3: cerrar o deshabilitar supervisión o aplicaciones de descifrado de SSL.
Si no puede utilizar cualquiera de estos métodos para evitar este problema, puede deshabilitar protección ampliada para la autenticación para clientes pasivos y activos.

Solución: Deshabilite protección extendida para la autenticación

Advertencia Es recomendable que se utilice este procedimiento como una solución a largo plazo. Deshabilitar protección ampliada para la autenticación debilita el perfil de seguridad de servicio de AD FS no detectando ciertos ataques de intermediario en los extremos de la autenticación de Windows integrada.

Nota: Cuando se aplica esta solución provisional para la funcionalidad de las aplicaciones de terceros, también debe desinstalar las revisiones en el sistema operativo de cliente para protección ampliada para la autenticación. Para obtener más información acerca de las revisiones, consulte el siguiente artículo de Microsoft Knowledge Base:
968389 Protección extendida para la autenticación
Para que los clientes pasivos
Para deshabilitar la protección ampliada para la autenticación de clientes pasivos, realice el siguiente procedimiento para las siguientes aplicaciones virtuales de IIS en todos los servidores de la granja de servidores de federación de AD FS:
  • Sitio Web de predeterminado/adfs
  • Sitio Web de predeterminado/adfs/ls
Para ello, siga estos pasos:
  1. Abra el Administrador IIS y desplácese hasta el nivel que desea administrar. Para obtener información acerca de cómo abrir el Administrador de IIS, vea Abra el Administrador de IIS (IIS 7).
  2. En la vista de características, haga doble clic en autenticación.
  3. En la página autenticación, seleccione Autenticación de Windows.
  4. En el panel acciones , haga clic en Configuración avanzada.
  5. Cuando aparezca el cuadro de diálogo Configuración avanzada , seleccione desactivardesde laprotección ampliada menú desplegable.
Para clientes activos
Para deshabilitar la protección ampliada para la autenticación de clientes activos, realice el siguiente procedimiento en el servidor principal de AD FS:
  1. Abrir Windows PowerShell.
  2. Ejecute el comando siguiente para cargar el Windows PowerShell para el complemento AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Ejecute el siguiente comando para deshabilitar protección ampliada para la autenticación:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Volver a habilitar la protección extendida para la autenticación

Para que los clientes pasivos
Para volver a habilitar la protección ampliada para la autenticación de clientes pasivos, realice el procedimiento siguiente para las siguientes aplicaciones virtuales de IIS en todos los servidores de la granja de servidores de federación de AD FS:
  • Sitio Web de predeterminado/adfs
  • Sitio Web de predeterminado/adfs/ls
Para ello, siga estos pasos:
  1. Abra el Administrador IIS y desplácese hasta el nivel que desea administrar. Para obtener información acerca de cómo abrir el Administrador de IIS, vea Abra el Administrador de IIS (IIS 7).
  2. En la vista de características, haga doble clic en autenticación.
  3. En la página autenticación, seleccione Autenticación de Windows.
  4. En el panel acciones , haga clic en Configuración avanzada.
  5. Cuando aparezca el cuadro de diálogo Configuración avanzada , seleccione Aceptaren el menú desplegable de Protección ampliada .
Para clientes activos
Para volver a habilitar la protección ampliada para la autenticación de clientes activos, realice el procedimiento siguiente en el servidor principal de AD FS:
  1. Abrir Windows PowerShell.
  2. Ejecute el comando siguiente para cargar el Windows PowerShell para el complemento AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Ejecute el siguiente comando para habilitar la protección ampliada para la autenticación:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Resolución 4: Reemplazar registros CNAME con registros de AD FS

Utilice las herramientas de administración de DNS para reemplazar cada registro de Alias DNS (CNAME) que se utiliza para el servicio de federación con una dirección DNS registro (A). También, compruebe o considere la posibilidad de configuración de DNS corporativa cuando se implementa una configuración de DNS Brain. Para obtener más información acerca de cómo administrar los registros DNS, visite el siguiente sitio Web de Microsoft TechNet:

Resolución 5: Configurar Internet Explorer como cliente de AD FS para el inicio de sesión único (SSO)

Para obtener más información acerca de cómo configurar Internet Explorer para el acceso de AD FS, consulte el siguiente artículo de Microsoft Knowledge Base:
2535227Un usuario federado se solicita inesperadamente que escriba su trabajo o la escuela de credenciales de la cuenta
MÁS INFORMACIÓN
Para ayudar a proteger una red, AD FS usa protección ampliada para la autenticación. Protección extendida para la autenticación puede ayudar a evitar los ataques de man in the middle en el que un atacante intercepta las credenciales de un cliente y los reenvía a un servidor. Protección contra este tipo de ataques es posible mediante el uso de obras de enlace de canal (CBT). CBT puede ser necesario, permitido o no requerido por el servidor cuando se establecen comunicaciones con los clientes.

La configuración de ExtendedProtectionTokenCheck AD FS especifica el nivel de protección extendida para la autenticación que es compatible con el servidor de federación. Estos son los valores disponibles para esta configuración:
  • Requerir: el servidor está totalmente consolidado. Se exige la protección extendida.
  • Permitir: ésta es la configuración predeterminada. El servidor está parcialmente reforzado. Se exige la protección extendida para sistemas implicados que se cambian para admitir esta característica.
  • Ninguno: el servidor es vulnerable. No se exige la protección extendida.
Las siguientes tablas describen cómo funciona la autenticación para los tres sistemas operativos y exploradores, dependiendo de las diferentes opciones de protección ampliada que están disponibles en AD FS con IIS.

Nota: Sistemas operativos de cliente de Windows debe tener actualizaciones específicas que se instalan para utilizar eficazmente las funciones de protección ampliada. De forma predeterminada, se habilitan las características de AD FS. Estas actualizaciones están disponibles en el siguiente artículo de Microsoft Knowledge Base:
968389 Protección extendida para la autenticación
De forma predeterminada, Windows 7 incluye los binarios apropiados para utilizar la protección extendida.

Windows 7 (o versiones actualizadas correctamente de Windows Vista o Windows XP)
ConfiguraciónRequierenPermitir (predeterminado)Ninguno
Comunicación de Windows
Cliente Foundation (WCF) (todos los extremos)
WorksWorksWorks
8y Internet Explorer versiones posterioresWorksWorksWorks
3.6 de FirefoxSe produce un errorSe produce un errorWorks
Safari 4.0.4Se produce un errorSe produce un errorWorks
Windows Vista sin actualizaciones adecuadas
ConfiguraciónRequierenPermitir (predeterminado)Ninguno
Cliente de WCF (todos los extremos)Se produce un errorWorksWorks
8y Internet Explorer versiones posterioresWorksWorksWorks
3.6 de FirefoxSe produce un errorWorks Works
Safari 4.0.4Se produce un errorWorks Works
Windows XP sin actualizaciones adecuadas
ConfiguraciónRequierenPermitir (predeterminado)Ninguno
8y Internet Explorer versiones posterioresWorksWorksWorks
3.6 de FirefoxSe produce un errorWorks Works
Safari 4.0.4Se produce un errorWorks Works
Para obtener más información acerca de la protección ampliada para la autenticación, consulte los siguientes recursos de Microsoft:
968389 Protección extendida para la autenticación
Para obtener más información acerca del cmdlet Set-ADFSProperties , visite el siguiente sitio Web de Microsoft:

¿Sigue necesitando ayuda? Vaya a la Comunidad de Office 365 sitio Web o el Foros de Azure de Active Directory .

Los productos de terceros que analiza este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 2461628 - Última revisión: 01/14/2016 02:15:00 - Revisión: 24.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtes
Comentarios
html>