PROBLEEM
Kui proovite juurde pääseda mõnele Microsofti pilvepõhisesse teenusele (nt Office 365, Microsoft Azure või Microsoft Intune ' i veebipõhise kliendi kaudu või rikkaliku klientrakenduse kaudu välise konto kaudu, nurjub autentimine teatud klientarvutist. Kui kasutate veebibrauserit, et pääseda samast arvutist juurde pilveteenuse portaali kaudu, võite kokku puutuda ühega järgmistest sümptomitest.
-
Kui loote ühenduse portaali lõpp-punktiga, kuvatakse mõni järgmistest tõrketeadetest.
Internet Explorer ei saa veebilehte kuvada.
403 lehekülge ei leitud
-
Kui loote ühenduse Active Directory Federation Services (AD FS) lõpp-punktiga, kuvatakse mõni järgmistest tõrketeadetest.
Internet Explorer ei saa veebilehte kuvada
403 lehekülge ei leitud
-
Kui loote ühenduse AD FS-i lõpp-punktiga, kuvatakse serdi hoiatus.
-
Kui loote ühenduse AD FS-i lõpp-punktiga, kui olete sisse logitud ettevõtte domeeni, kuvatakse ühe mandaadi viip. See viip teie mandaati ei kasuta vorme-põhiseid autentimine.
-
Kui loote ühenduse AD FS-i lõpp-punktiga kolmanda osapoole veebibrauseri kaudu, kuvatakse teile korduvate autentimise viip. Need viiped ei kasuta vormidel põhinevat autentimist.
-
Kui loote ühenduse login.microsoftonline.com lõpp-punktiga, kuvatakse järgmine tõrketeade:
Juurdepääs on keelatud
PÕHJUSTADA
Tavaliselt ilmneb see probleem klientarvutis või klientarvutite rühmas. See probleem võib ilmneda kõigi kasutajate ja klientarvutite puhul, kui Ühekordne sisselogimine (SSO) pole täielikult töökorras. SSO ei pruugi olla täielikult toimiv, kui kliendi sätted pole õigesti häälestatud. See probleem võib põhjustada järgmisi klientarvutite olukordi.
-
Võrguühendus võib olla piiratud.
-
Klientarvuti saab AD FS-i teenusest vale nime lahendamiseks teha sisemist Split-Brain DNS-i rakendamist.
-
Kui arvutis on konfigureeritud Interneti-puhverserver, ei pruugita AD FS-i Föderatsiooni teenuse nime lisada puhverserveri bypass loendisse.
-
AD FS-i Föderatsiooni teenuse nime ei tohi lisada kohaliku sisevõrgu turvatsooni Interneti-suvandite sätetes.
-
Klientarvuti pole autenditud Active Directory Domain Services.
-
Kolmanda osapoole veebibrauser ei toeta autentimise pikendatud kaitset AD FS-i Föderatsiooni teenusele.
-
Föderatsiooni metaandmete lõpp-punkt võib olla registris kõva, sest SSO halduse tööriista varasem Office 365 beetaversioon.
-
Nõutav AD FS-i teenuse lõpp-punkt, mida on vaja konkreetse klientrakenduse jaoks, on keelatud.
Enne jätkamist veenduge, et järgmised tingimused on täidetud.
-
Accessi probleemid pole klientarvutis piiratud rikkaliku kliendi rakendustega. Kui ainult rikkaliku kliendi autentimine (erinevalt brauseril põhinev autentimine) ei tööta, viitab see tõenäoliselt rikkaliku kliendi autentimise probleemile. Näiteks võib see olla probleemiks, mis on seotud eeltingimuste või RTF-rakenduse konfiguratsiooniga. Lisateavet leiate järgmisest Microsofti teabebaasi artiklist.
2637629 Tõrkeotsing rakendustes, mis ei saa Office 365, Azure ' i või Intune ' i sisse logida
-
SSO autentimine ei toimi kõigi SSO-toega kasutajate kontode korral. Kui kõik SSO toega kasutajad kogevad samu sümptomeid, viitab see tõenäoliselt Föderatsiooni probleemile. Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
2530569 Office 365, Intune ' i või Azure ' i ühekordse sisselogimise installiprobleemide tõrkeotsing
-
SSO autentimine kasutajakonto jaoks on teiste klientarvutite jaoks edukas. Kui kasutajakonto ei saa sisse logida mis tahes pilveteenuse klienti, lugege selles artiklis olevaid resolutsioone, mis sisaldavad klientarvutit. Samuti saate uurida võimalust, et kasutajakontoga on midagi valesti, mitte klientarvutiga. Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
2530590 Office 365, Azure ' i või Intune ' i välise kasutaja kontoga seotud probleemide tõrkeotsing
-
Klientarvuti klaviatuur töötab õigesti ning kasutajanimi ja parool, kus see on vajalik, sisestati õigesti.
LAHENDUS
Selle probleemi tõrkeotsinguks kasutage olenevalt probleemi põhjusest ühte või mitut järgmistest meetoditest.
Lahendus 1: pilveteenuse portaali või AD FS-iga ei saa ühendust luua
Proovige sirvida http://www.MSN.com. Kui see ei toimi, siis võrguühenduse probleemide tõrkeotsing. Selleks toimige järgmiselt.
-
Käsureal käsureal tööriista ipconfig ja ping abil saate kasutada IP-ühenduvuse tõrkeotsingut. Lisateavet leiate järgmisest Microsofti teabebaasi artiklist.
169790 TCP/IP-probleemide tõrkeotsing.
-
Tippige käsureale käsk nslookup www.MSN.com , et teha kindlaks, kas DNS lahendab Interneti-serveri nimesid.
-
Veenduge, et Interneti-suvandid puhverserveri sätted kajastaksid vastavat puhverserverit, kui kohalikus võrgus kasutatakse puhverserverit.
-
Kui võrgu piirile on installitud Forefront Thread Management Gateway (TMG) tulemüür ja tulemüür nõuab kliendi autentimist, peate võib-olla installima Forefront TMG klientrakenduse Interneti-ühenduse jaoks. Abi saamiseks pöörduge oma pilveteenuse administraatori poole.
Lahendus 2: AD FS-iga ei saa ühendust luua
Selle probleemi lahendamiseks toimige järgmiselt.
-
IP-ühenduvuse probleemide kõrvaldamiseks kasutage eraldusvõimet 1.
-
Tippige käsureale käsk nslookup <ad fs 2,0 FQDN>ja seejärel vajutage sisestusklahvi (ENTER), et teha kindlaks, kas DNS LAHENDAB AD FS-i teenuse nime õigesti.Märkus. Selle käsuga <AD FS-i FQDN> kujutab endast AD FS-i teenuse nime täielikku domeeninime (FQDN). See ei kujuta endast AD FS serveri Windowsi hosti nime.
-
Kui klient on ühendatud ettevõtte võrku, veenduge, et lahendatud IP-aadress on privaatne IP-aadress. IP-aadress peaks ühtima ühega järgmistest viisidest.
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
Kui klient asub väljaspool ettevõtte võrku, veenduge, et lahendatud IP-aadress oleks avalik IP-aadress. Veenduge, et see ei vastaks mõnele järgmistest viisidest.
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
Kui IP-aadress, mis on lahendatud, on vale juhise 1 ja juhise 2 alusel, ning teistel klientarvutitel ei teki sama käitumist, tehke järgmist.
-
Tippige käsureale käsk ipconfig/allja seejärel kontrollige, kas esmane DNS-i serveri kirje on sobiv selle võrgu jaoks, millega klient on seotud.
-
Avage%windir%\system32\drivers\etc\hosts-failid Notepadis ja seejärel eemaldage kõik AD FS-i FQDN-i kirjed. Seejärel salvestage faili.
-
Tippige käsureale käsk ipconfig/flushdns DNS-i vahemälu tühjendamiseks.
-
Märkus. Kui kliendi seadmed on lisatud ainult ettevõtte võrku, jätkake juhisega 3.
-
-
Lisage AD FS-i FQDN loendisse puhverserveri ümbersõit. Selleks järgige Microsofti teabebaasi (Knowledge Base) artiklis kirjeldatud juhiseid.
262981 Internet Explorer kasutab kohaliku IP-aadressi jaoks puhverserverit isegi juhul, kui suvand "ümbersõit puhverserveri kohalike aadresside korral" on sisse lülitatud
Resolutsioon 3: serdi hoiatus, kui loote ühenduse AD FS-i lõpp-punktiga
Probleemi lahendamiseks tehke järgmist Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist.
2523494 Kui proovite Office 365, Azure ' i või Intune ' i sisse logida, saate AD FS-ist serdi hoiatuse.
Resolutsioon 4: kuvatakse üks ootamatu mandaatide viip, kui logite sisse klientarvutist, mis on ühendatud ettevõtte võrguga.
Selle probleemi lahendamiseks toimige järgmiselt.
-
Veenduge, et klientarvuti oleks edukalt domeeni sisse logitud.
-
Klõpsake nuppu Start, klõpsake käsku Käivita, tippige %Logonserver%\sysvolja seejärel klõpsake nuppu OK.
-
Kui kuvatakse mandaat, logige välja ja seejärel logige uuesti sisse, kasutades ettevõtte mandaati.
-
-
Lisage AD FS-i FQDN kohaliku sisevõrgu tsooni.
-
Klõpsake vahekaardil Turve nuppu Kohalik sisevõrkja seejärel nuppu saidid.
-
Klõpsake nuppu Täpsemaltja uurige, mis on loetletud ad FS-i teenuse lõpp-punkti DNS-i nime (nt STS.contoso.com) täielikuks kvalifitseerimiseks. Märkus. Selle konfiguratsiooniga töötab ka metamärkide väärtus (nt "*. consoto.com").
-
-
Lisage AD FS-i FQDN loendisse puhverserveri ümbersõit. Selleks järgige Microsofti teabebaasi (Knowledge Base) artiklis kirjeldatud juhiseid.
262981 Internet Explorer kasutab kohaliku IP-aadressi jaoks puhverserverit isegi juhul, kui suvand "ümbersõit puhverserveri kohalike aadresside korral" on sisse lülitatud
Lahendus 5: kolmanda osapoole veebibrauser ei toeta autentimise pikendatud kaitset ja kuvatakse teadete kinnitamine
Selle probleemi lahendamiseks toimige järgmiselt.
-
Kasutage Windows Internet Explorerit (Internet Explorer toetab autentimise pikendatud kaitset) selle asemel, et kolmanda osapoole veebibrauser ei toetaks autentimise pikendatud kaitset.
-
Kui Internet Exploreri kasutamine pole võimalik, kasutage funktsiooni AD FS konfigureerimiseks Microsofti teabebaasi (Knowledge Base) artiklit, et võtta vastu veebibrauserite taotlused, mis ei toeta autentimist laiendatud kaitse kaudu.
2461628 Välise kasutaja jaoks küsitakse korduvalt mandaati Office 365, Azure ' i või Intune ' i sisselogimise ajal
Kui proovite luua ühendust login.microsoftonline.com, kuvatakse tõrketeade "juurdepääs on keelatud".
NB! Selles jaotises kirjeldatakse toiminguid, mis õpetavad registrit muutma. Registri ekslik muutmine võib aga põhjustada tõsiseid probleeme. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitseks varundage register enne selle muutmist. Siis saate probleemide ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi asjakohase artikli kuvamiseks järgmist artiklinumbrit.
322756 Registri varundamine ja taastamine WindowsisProbleemid võivad ilmneda juhul, kui Azure Active Directory SSO, mida AD FS kasutab, ei kehti. Veenduge, et Föderatsiooni lõpp poleks AD FS-i Föderatsiooni teeninduskeskuse serveri registris kõva kood. Selle probleemi lahendamiseks kasutage registriredaktorit, et kustutada järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationAD FS kukub tagasi õigele lõpp-punktile, mis põhineb SSO tugineva osapoole usaldusel.
7. lahendus: lähtestage keelatud AD FS-i teenuse lõpp-punkti säte vaikimisi konfiguratsiooniks
Lisateavet selle kohta leiate järgmisest Microsofti teabebaasi artiklist.
2712957 Office 365, Azure ' i või Intune ' i sisselogimine nurjub pärast Föderatsiooni teenuse lõpp-punkti muutmist
Kas vajate veel abi? Avage veebisait Microsoft Community või Azure Active Directory Foorumid .