Anda sedang offline saat ini, menunggu internet Anda untuk menyambung kembali

Pengguna Federasi berulang kali dimintai kredensial saat masuk ke Office 365, Azure, atau Intune

Dukungan untuk Windows XP telah berakhir

Microsoft mengakhiri dukungan untuk Windows XP pada 8 April 2014. Perubahan ini telah memengaruhi pemutakhiran perangkat lunak dan opsi keamanan Anda. Pelajari apa artinya ini bagi Anda dan cara untuk tetap terlindungi.

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

2461628
Penting Artikel ini berisi informasi yang menunjukkan pada Anda cara membantu menurunkan setelan keamanan atau cara mematikan fitur keamanan di komputer. Anda dapat membuat perubahan ini untuk mengatasi masalah khusus. Sebelum Anda membuat perubahan ini, kami sarankan Anda mengevaluasi risiko yang terkait dengan penerapan solusi masalah ini di lingkungan tertentu. Jika Anda ingin mengatasi masalah ini, lakukan langkah-langkah tambahan yang sesuai untuk melindungi komputer.
MASALAH
Pengguna Federasi berulang kali dimintai kredensial saat pengguna berusaha mengotentikasi ke titik akhir Layanan Active Directory Federation Services (AD FS) selama masuk ke layanan cloud Microsoft Office 365, Microsoft Azure atau Microsoft Intune. Setelah membatalkan pengguna, pengguna akan menerima pesan galat berikut:
Akses Ditolak
PENYEBAB
Gejala yang menunjukkan masalah dengan otentikasi Terpadu Windows dengan AD FS. Masalah ini dapat terjadi apabila satu atau lebih kondisi berikut ini benar:
  • Nama pengguna salah atau sandi yang digunakan.
  • Pengaturan otentikasi layanan informasi internet (IIS) ditetapkan dengan benar di AD FS.
  • Pimpinan nama Layanan (SPN) yang terkait dengan akun layanan yang digunakan untuk menjalankan Kampung server AD FS Federasi hilang atau rusak.

    Catatan Ini hanya terjadi bila AD FS diterapkan sebagai Kampung server Federasi dan tidak diterapkan dalam konfigurasi berdiri sendiri.
  • Satu atau lebih dari yang berikut ini ditandai dengan diperpanjang perlindungan untuk otentikasi sebagai sumber serangan orang-di-tengah:
    • Beberapa browser Internet pihak ketiga
    • Firewall jaringan korporat, penyeimbang beban jaringan, atau peranti penangkap jaringan penerbitan AD FS Federasi Layanan Internet sedemikian rupa bahwa IP beban data mungkin berpotensi ulang. Ini mungkin mencakup jenis data sebagai berikut:
      • Secure Sockets Layer (SSL) jembatan
      • SSL pembongkaran
      • Pemfilteran Stateful paket

        Untuk informasi selengkapnya, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
        2510193Mendukung skenario untuk menggunakan AD FS untuk mengatur masuk tunggal di Office 365, Azure, atau Intune
    • Pemantauan aplikasi dekripsi SSL diinstal atau aktif pada komputer klien
  • Domain Name System (DNS) resolusi titik akhir Layanan AD FS dilakukan melalui pencarian data CNAME bukan melalui A data pencarian.
  • Windows Internet Explorer tidak dikonfigurasi untuk melewati otentikasi Terpadu Windows ke server AD FS.

Sebelum Anda memulai pemecahan masalah

Periksa bahwa Nama pengguna dan sandi tidak menyebabkan masalah.
  • Pastikan bahwa Nama pengguna benar digunakan dan dalam format (UPN nama dasar) pengguna. Sebagai contoh, johnsmith@contoso.com.
  • Pastikan bahwa sandi yang benar yang digunakan. Untuk memeriksa bahwa sandi yang benar yang digunakan, Anda mungkin harus me-reset sandi pengguna. Untuk informasi selengkapnya, lihat artikel Microsoft TechNet berikut:
  • Pastikan bahwa akun tidak terkunci, kedaluwarsa, atau digunakan di luar jam kerja ditetapkan log masuk. Untuk informasi selengkapnya, lihat artikel Microsoft TechNet berikut:

Memverifikasi penyebab

Untuk memeriksa bahwa masalah Kerberos yang menyebabkan masalah, sementara bypass otentikasi Kerberos dengan mengaktifkan otentikasi berbasis borang di Kampung server AD FS Federasi. Untuk melakukannya, ikuti langkah-langkah berikut:

Langkah 1: Mengedit berkas web.config di setiap server di Kampung server AD FS Federasi
  1. Di Penjelajah Windows, temukan C:\inetpub\adfs\ls\ folder, dan kemudian membuat kopi rekam cadang dari berkas web.config.
  2. Klik mulai, klik Semua program, klik aksesori, klik kanan-atas Notepad, dan kemudian klik Jalankan sebagai administrator.
  3. Pada berkas menu, klik buka. Dalam nama File , ketikC:\inetpub\adfs\ls\web.config, kemudian klik buka.
  4. Dalam berkas web.config, ikuti langkah-langkah berikut:
    1. Cari baris yang berisi <authentication mode=""> </authentication>, dan kemudian ganti ke <authentication mode="Forms"> </authentication>.
    2. Temukan bagian yang dimulai dengan <localAuthenticationTypes> </localAuthenticationTypes>, dan kemudian mengubah bagian sehingga <add name="Forms"></add> entri terdaftar pertama, sebagai berikut:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Pada berkas menu, klik Simpan.
  6. Pada prompt perintah yang ditinggikan, restart IIS dengan menggunakan perintah iisreset .
Langkah 2: Uji AD FS fungsionalitas
  1. Pada komputer klien yang tersambung dan diotentikasi lokal AD DS lingkungan, masuk ke portal layanan cloud.

    Alih-alih pengalaman mulus otentikasi, forms-based masuk harus berpengalaman. Jika masuk berhasil menggunakan otentikasi berbasis formulir, ini menegaskan bahwa ada masalah dengan Kerberos di AD FS Federasi layanan.
  2. gulung balik konfigurasi masing-masing server di AD FS Federasi Kampung server ke tataan otentikasi sebelumnya sebelum Anda mengikuti langkah-langkah di bagian "resolusi". Untuk gulung balik konfigurasi masing-masing server di Kampung server AD FS Federasi, ikuti langkah-langkah berikut:
    1. Di Penjelajah Windows, temukan C:\inetpub\adfs\ls\ folder, dan kemudian Hapus berkas web.config.
    2. Memindahkan cadangan file web.config yang Anda buat di "langkah 1: mengedit berkas web.config di setiap server di Kampung server AD FS Federasi" bagian ke C:\inetpub\adfs\ls\ folder.
  3. Pada prompt perintah yang ditinggikan, restart IIS dengan menggunakan perintah iisreset .
  4. Periksa bahwa perilaku otentikasi AD FS kembali ke edisi asli.
SOLUSI
Untuk mengatasi masalah Kerberos yang membatasi AD FS otentikasi, gunakan satu atau lebih metode berikut, yang sesuai dengan situasi.

Penyelesaian masalah 1: Reset AD FS pengaturan otentikasi ke nilai asali

Jika pengaturan otentikasi AD FS IIS tidak benar, atau pengaturan otentikasi IIS untuk AD FS Federation Services dan layanan Proxy tidak cocok, salah satu solusi adalah untuk me-reset semua pengaturan otentikasi IIS pengaturan default AD FS.

Otentikasi setelan tercantum dalam Daftar Tabel berikut.
Aplikasi virtualOtentikasi level(s)
Default website/adfsOtentikasi anonim
Default website/adfs/lsOtentikasi anonim
Otentikasi Windows
Di setiap AD FS Federasi server dan setiap AD FS Federasi server proxy, gunakan informasi dalam artikel Microsoft TechNet berikut ini untuk mereset AD FS IIS aplikasi virtual ke tataan otentikasi asali:Untuk informasi selengkapnya tentang cara mengatasi kesalahan ini, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
907273 Pemecahan masalah galat HTTP 401 di IIS

871179 Anda menerima "galat HTTP 401.1 - tidak diotorisasi: Akses ditolak karena kredensial tidak valid" pesan galat ketika Anda mencoba untuk mengakses situs web yang merupakan bagian dari pool aplikasi IIS 6.0

Penyelesaian masalah 2: Memperbaiki AD FS Federasi Kampung server SPN

Catatan Cobalah resolusi ini hanya ketika AD FS diterapkan sebagai Kampung server Federasi. Jangan mencoba resolusi ini dalam AD FS konfigurasi berdiri sendiri.

Untuk menyelesaikan masalah jika SPN Layanan AD FS hilang atau rusak di AD FS akun layanan, ikuti langkah-langkah di salah satu server di Kampung server AD FS Federasi:
  1. Buka manajemen snap-in layanan. Untuk melakukannya, klik mulai, klik Semua program, klik Alat administratif, dan kemudian klik Layanan.
  2. klik ganda AD FS layanan Windows (2.0).
  3. Pada Log On , catat akun layanan yang ditampilkan di Account ini.
  4. Klik mulai, klik Semua program, klik aksesori, klik kanan-atas Prompt Perintah, dan kemudian klik Jalankan sebagai administrator.
  5. Ketik SetSPN-f-q host /<AD fs="" service="" name=""></AD>, kemudian tekan Enter.

    Catatan Dalam perintah ini, <AD fs="" service="" name=""></AD> mewakili nama Layanan memenuhi syarat domain name (FQDN) dari titik akhir Layanan AD FS. Mewakili nama host Windows Server AD FS.
    • Apabila lebih dari satu entry kembali untuk perintah, dan hasil terkait dengan akun pengguna selain yang disebutkan di langkah 3, Hapus Asosiasi tersebut. Untuk melakukannya, jalankan perintah berikut ini:
      Host-d SetSPN /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Apabila lebih dari satu entry kembali untuk perintah, dan SPN menggunakan nama yang sama sebagai nama komputer server AD FS di Windows, nama akhir Federasi untuk AD FS tidak benar. AD FS telah diterapkan lagi. FQDN Kampung server AD FS Federasi tidak harus sama dengan nama host Windows Server yang sudah ada.
    • Jika SPN belum ada, jalankan perintah berikut ini:
      SetSPN-tuan rumah /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Catatan Dalam perintah ini, <username of="" service="" account=""></username> mewakili Nama pengguna yang disebutkan di langkah 3.
  6. Setelah langkah-langkah ini dijalankan pada semua server di Kampung server AD FS Federasi, klik-kanan Layanan Windows AD FS (2.0) pada Layanan Manajemen snap-in, dan kemudian klik Restart.

Resolusi 3: Menyelesaikan diperpanjang perlindungan untuk otentikasi kekhawatiran

Untuk menyelesaikan masalah jika diperpanjang perlindungan untuk otentikasi mencegah berhasil otentikasi, gunakan salah satu metode yang dianjurkan berikut ini:
  • Metode 1: menggunakan Windows Internet Explorer 8 (atau versi yang lebih baru dari program) untuk masuk.
  • Metode 2: mengumumkan AD FS Layanan Internet sedemikian rupa bahwa SSL jembatan, SSL pembongkaran, atau opsi stateful tidak menulis ulang IP beban data. Rekomendasi praktik terbaik untuk tujuan ini adalah untuk menggunakan AD FS server proksi.
  • Metode 3: tutup atau Nonaktifkan pemantauan atau aplikasi dekripsi SSL.
Jika Anda tidak dapat menggunakan salah satu dari metode berikut ini untuk mengatasi masalah ini, diperpanjang perlindungan untuk otentikasi dapat dinonaktifkan untuk klien pasif dan aktif.

Pemecahan masalah: Menonaktifkan diperpanjang perlindungan untuk otentikasi

Peringatan Kami tidak menyarankan Anda menggunakan prosedur ini sebagai solusi jangka panjang. Menonaktifkan perlindungan diperpanjang untuk autentikasi melemah AD FS layanan keamanan profil dengan tidak mendeteksi serangan orang-di-tengah tertentu di akhir otentikasi Windows terpadu.

Catatan Jika solusi ini diterapkan untuk fungsionalitas aplikasi pihak ketiga, Anda juga harus membongkar hotfix pada sistem operasi klien untuk diperpanjang perlindungan untuk otentikasi. Untuk informasi lebih lanjut tentang perbaikan terbaru, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
968389 Diperpanjang perlindungan untuk otentikasi
Untuk klien pasif
Untuk menonaktifkan diperpanjang perlindungan untuk otentikasi klien pasif, lakukan prosedur berikut ini untuk aplikasi virtual IIS berikut pada semua server di Kampung server AD FS Federasi:
  • Default website/adfs
  • Default website/adfs/ls
Untuk melakukannya, ikuti langkah-langkah berikut:
  1. Buka Manajer IIS dan navigasi ke tingkat yang Anda inginkan untuk mengelola. Untuk informasi tentang membuka manajer IIS, lihat Buka IIS manajer (IIS 7).
  2. Dalam fitur tampilan, klik ganda otentikasi.
  3. Di halaman otentikasi, pilih Otentikasi Windows.
  4. Di panel tindakan , klik Pengaturan lanjut.
  5. Jika ditampilkan kotak dialog Pengaturan lanjut , pilih keluardaridiperpanjang perlindungan menu turun.
Untuk klien yang aktif
Untuk menonaktifkan diperpanjang perlindungan untuk otentikasi untuk klien yang aktif, lakukan prosedur berikut ini di server AD FS utama:
  1. Buka Windows PowerShell.
  2. Jalankan perintah berikut ini untuk memuat Windows PowerShell untuk AD FS snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Jalankan perintah berikut ini untuk menonaktifkan diperpanjang perlindungan untuk otentikasi:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Mengaktifkan kembali diperpanjang perlindungan untuk otentikasi

Untuk klien pasif
Untuk mengaktifkan ulang diperpanjang perlindungan untuk otentikasi klien pasif, lakukan prosedur berikut ini untuk aplikasi virtual IIS berikut pada semua server di Kampung server AD FS Federasi:
  • Default website/adfs
  • Default website/adfs/ls
Untuk melakukannya, ikuti langkah-langkah berikut:
  1. Buka Manajer IIS dan navigasi ke tingkat yang Anda inginkan untuk mengelola. Untuk informasi tentang membuka manajer IIS, lihat Buka IIS manajer (IIS 7).
  2. Dalam fitur tampilan, klik ganda otentikasi.
  3. Di halaman otentikasi, pilih Otentikasi Windows.
  4. Di panel tindakan , klik Pengaturan lanjut.
  5. Jika ditampilkan kotak dialog Pengaturan lanjut , pilih terimadari menu turun Perlindungan diperpanjang .
Untuk klien yang aktif
Untuk mengaktifkan ulang diperpanjang perlindungan untuk otentikasi untuk klien yang aktif, lakukan prosedur berikut ini di server AD FS utama:
  1. Buka Windows PowerShell.
  2. Jalankan perintah berikut ini untuk memuat Windows PowerShell untuk AD FS snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Jalankan perintah berikut ini untuk mengaktifkan diperpanjang perlindungan untuk otentikasi:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Resolusi 4: Ganti CNAME records dengan catatan untuk AD FS

Gunakan alat manajemen DNS untuk mengganti setiap catatan DNS Alias (CNAME) yang digunakan untuk layanan Federasi dengan alamat penyuratan DNS catatan (). Selain itu, periksa atau mempertimbangkan pengaturan DNS perusahaan ketika Konfigurasi DNS split-brain diterapkan. Untuk informasi selengkapnya tentang cara mengelola data DNS, kunjungi situs web Microsoft TechNet berikut:

Resolusi 5: Mengatur Internet Explorer sebagai AD FS klien untuk masuk tunggal (SSO)

Untuk informasi selengkapnya tentang cara mengkonfigurasi Internet Explorer untuk akses AD FS, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
2535227Pengguna gabungan tiba-tiba diminta untuk memasukkan pekerjaan mereka atau sekolah kredensial akun
INFORMASI LEBIH LANJUT
Untuk membantu melindungi jaringan, AD FS menggunakan diperpanjang perlindungan untuk otentikasi. Diperpanjang perlindungan untuk otentikasi dapat membantu mencegah orang-di-tengah serangan di mana seorang penyerang memotong kredensial klien dan meneruskannya ke server. Perlindungan terhadap serangan tersebut dimungkinkan dengan menggunakan saluran pengikatan bekerja (CBT). CBT dapat diperlukan, diizinkan, atau tidak diperlukan oleh server saat komunikasi yang dibuat dengan klien.

Pengaturan ExtendedProtectionTokenCheck AD FS menentukan tingkat perlindungan yang diperpanjang untuk otentikasi yang didukung oleh Federasi server. Ini adalah nilai yang tersedia untuk pengaturan ini:
  • Memerlukan: server sepenuhnya keras. Perlindungan diperpanjang diberlakukan.
  • Izinkan: ini adalah pengaturan default. Server sebagian keras. Perlindungan tambahan yang diperlukan untuk terlibat sistem yang berubah untuk mendukung fitur ini.
  • None: server rentan. Perlindungan diperpanjang tidak didukung.
Daftar Tabel berikut ini menjelaskan bagaimana otentikasi beroperasi tiga sistem operasi dan browser, tergantung pada pilihan diperluas perlindungan yang berbeda yang tersedia di AD FS dengan IIS.

Catatan sistem operasi Windows klien harus pembaruan tertentu yang diinstal secara efektif menggunakan fitur perlindungan diperpanjang. Secara asali, fitur diaktifkan di AD FS. Pemutakhiran ini tersedia dari artikel Pangkalan Pengetahuan Microsoft berikut ini:
968389 Diperpanjang perlindungan untuk otentikasi
secara asali, Windows 7 menyertakan biner yang sesuai untuk menggunakan perlindungan diperpanjang.

Windows 7 (atau versi yang diperbarui dengan benar dari Windows Vista atau Windows XP)
PengaturanMemerlukanMemungkinkan (default)Tidak ada
Komunikasi Windows
Klien Foundation (WCF) (semua akhir)
PekerjaanPekerjaanPekerjaan
8and Internet Explorer versi yang lebih baruPekerjaanPekerjaanPekerjaan
Firefox 3,6GagalGagalPekerjaan
Safari 4.0.4GagalGagalPekerjaan
Windows Vista tanpa sesuai pemutakhiran
PengaturanMemerlukanMemungkinkan (default)Tidak ada
Klien WCF (semua akhir)GagalPekerjaanPekerjaan
8and Internet Explorer versi yang lebih baruPekerjaanPekerjaanPekerjaan
Firefox 3,6GagalPekerjaan Pekerjaan
Safari 4.0.4GagalPekerjaan Pekerjaan
Windows XP tanpa pemutakhiran yang sesuai
PengaturanMemerlukanMemungkinkan (default)Tidak ada
8and Internet Explorer versi yang lebih baruPekerjaanPekerjaanPekerjaan
Firefox 3,6GagalPekerjaan Pekerjaan
Safari 4.0.4GagalPekerjaan Pekerjaan
Untuk informasi selengkapnya tentang diperpanjang perlindungan untuk otentikasi, tampilan sumber daya daya Microsoft berikut ini:
968389 Diperpanjang perlindungan untuk otentikasi
Untuk informasi selengkapnya tentang cmdlet Set-ADFSProperties , kunjungi website Microsoft berikut:

Masih memerlukan bantuan? Buka Komunitas Office 365 situs web atau Forum Azure Active Directory .

Produk pihak ketiga yang dibahas di artikel ini dibuat oleh perusahaan yang independen terhadap Microsoft. Microsoft tidak menyediakan jaminan, baik tersirat maupun tersurat, mengenai kinerja atau keandalan produk ini

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 2461628 - Tinjauan Terakhir: 01/14/2016 15:51:00 - Revisi: 22.0

  • Microsoft Azure Cloud Services
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtid
Tanggapan
="0" id="language-">