Memecahkan masalah AD FS Azure Active Directory dan Office 365

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3079872
Artikel ini membahas alur kerja pemecahan masalah untuk masalah otentikasi pengguna Federasi Azure Active Directory atau Office 365.
Gejala
  • Pengguna Federasi tidak dapat log masuk ke Office 365 atau Microsoft Azure meskipun terkelola awan-hanya pengguna yang memiliki akhiran UPN domainxx.onmicrosoft.com dapat log on tanpa masalah.
  • Pengalihan untuk Active Directory Federation Services (AD FS) atau STS tidak terjadi untuk pengguna gabungan. Atau, galat "Halaman tidak dapat ditampilkan" dipicu.
  • Anda menerima peringatan sertifikat yang terkait di peramban saat Anda mencoba untuk mengotentikasi dengan AD FS. Ini menyatakan bahwa validasi sertifikat gagal atau sertifikat tidak dipercaya.
  • Galat "Metode aut tidak diketahui" atau galat yang menyatakan bahwa AuthnContext tidak didukung. Selain itu, kesalahan pada tingkat AD FS atau STS ketika Anda Dialihkan dari Office 365.
  • AD FS mengeliminasi galat "Akses ditolak".
  • AD FS mengeliminasi galat yang menyatakan bahwa ada masalah mengakses situs; ini termasuk nomor ID referensi.
  • Pengguna berulang kali dimintai kredensial di tingkat AD FS.
  • Pengguna Federasi tidak dapat mengotentikasi dari jaringan eksternal atau saat menggunakan aplikasi yang membutuhkan garis jatuh berseri jaringan eksternal (Outlook, misalnya).
  • Pengguna Federasi tidak dapat log masuk Setelah penandatanganan token sertifikat diubah pada AD FS.
  • Galat "Maaf, tetapi kami mengalami masalah masuk Anda" dipicu saat pengguna gabungan masuk ke Office 365 di Microsoft Azure. Galat ini meliputi kode galat 8004786 C 80041034, 80041317, 80043431, 80048163, 80045C 06, 8004789A atau buruk permintaan.

Pemecahan masalah alur kerja
  1. Access https://login.microsoftonline.com, kemudian masukkan nama untuk masuk pengguna gabungan (seseorang@contoh.com). Setelah Anda menekan Tab untuk menghapus fokus dari kotak masuk, periksa apakah status perubahan halaman "Redirecting" dan kemudian Anda akan diarahkan ke Anda layanan direktori aktif Federasi (AD FS) untuk masuk.

    Saat terjadi pengalihan, Anda melihat halaman berikut ini:

    Screenshot untuk langkah 1
    1. Jika tidak ada pengalihan terjadi dan Anda akan diminta untuk memasukkan sandi pada halaman yang sama, hal ini berarti bahwa Azure direktori aktif (AD) atau Office 365 tidak mengenali pengguna atau domain pengguna dapat gabungan. Untuk memeriksa apakah ada kepercayaan penggabungan antara Azure AD atau Office 365 dan server AD FS, jalankan Get-msoldomain cmdlet dari Azure AD PowerShell. Jika domain federasi, properti otentikasi akan ditampilkan sebagai "Federasi," seperti di Screenshot berikut ini:

      Langkah tentang domain federasi
    2. Jika terjadi pengalihan, tetapi Anda tidak dialihkan ke server AD FS untuk masuk, periksa apakah nama Layanan AD FS menyelesaikan untuk benar IP dan apakah hal itu dapat menyambung ke IP pada TCP port 443.

      Jika domain ditampilkan sebagai "Federasi", mendapatkan informasi tentang kepercayaan penggabungan dengan menjalankan perintah berikut ini:
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      Periksa URI, URL dan sertifikat Federasi mitra yang dikonfigurasi dengan Office 365 atau Azure AD.
  2. Setelah Anda akan diarahkan ke AD FS, peramban mungkin mengeliminasi galat terkait kepercayaan sertifikat, dan untuk beberapa klien dan peranti penangkap itu mungkin tidak mengizinkan Anda membuat sesi SSL dengan AD FS. Untuk mengatasi masalah ini, ikuti langkah-langkah berikut:
    1. Pastikan bahwa AD FS layanan komunikasi sertifikat yang diberikan ke komputer klien yang sama yang dikonfigurasi di AD FS.

      Screenshot tentang langkah A

      Idealnya, AD FS layanan komunikasi sertifikat harus sama dengan sertifikat SSL yang diberikan ke klien ketika mencoba membuat sebuah terowongan SSL dengan AD FS layanan.

      Di AD FS 2.0:

      • Mengikat sertifikat IIS-> situs pertama asali.
      • Menggunakan AD FS snap-in untuk menambahkan sertifikat yang sama sebagai layanan komunikasi sertifikat.

      AD FS 2012 R2:

      • Gunakan snap-in AD FS atau Tambahkan adfscertificate perintah untuk menambahkan layanan komunikasi sertifikat.
      • Gunakan Set-adfssslcertificate perintah untuk menetapkan sertifikat yang sama untuk pengikatan SSL.

    2. Pastikan bahwa AD FS layanan komunikasi sertifikat dipercaya oleh klien.
    3. Jika klien non-SNI – mampu mencoba untuk membuat sesi SSL dengan AD FS atau WAP R2 2-12, upaya mungkin gagal. Dalam hal ini, pertimbangkan untuk menambahkan entri mundur pada server AD FS atau WAP untuk mendukung non-SNI klien. Untuk informasi selengkapnya, lihat posting blog berikut ini:
  3. Anda mungkin mengalami galat "Metode aut tidak diketahui" atau galat yang menyatakan bahwa AuthnContext tidak didukung pada tingkat AD FS atau STS ketika Anda Dialihkan dari Office 365. Ini paling umum ketika Office 365 dan Azure AD mengarahkan ke AD FS atau STS menggunakan parameter yang memberlakukan metode autentikasi. Untuk menerapkan metode autentikasi, gunakan salah satu dari metode berikut ini:
    • Untuk WS-Federasi, gunakan string kueri WAUTH untuk memaksa metode autentikasi yang dipilih.
    • Untuk SAML2.0, gunakan berikut ini:
      <saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext>
    Saat metode autentikasi diberlakukan dikirim dengan nilai yang salah, atau jika metode autentikasi yang tidak didukung pada AD FS atau STS, Anda menerima pesan galat sebelum Anda dikonfirmasi.

    Daftar Tabel berikut ini menunjukkan jenis otentikasi URI yang dikenali oleh AD FS untuk WS-Federasi otentikasi pasif.
    metode autentikasi yang inginwauth URI
    Otentikasi nama dan kata sandi penggunaURN: oasis: Nama: tc: SAML:1.0:am:password
    Otentikasi klien SSLURN: ietf:rfc:2246
    Otentikasi Windows terpaduURN: Federasi: otentikasi: windows

    Yang didukung SAML kelas konteks otentikasi

    metode autentikasi Otentikasi konteks kelas URI
    Nama pengguna dan sandiURN: oasis: Nama: tc: SAML:2.0:ac:classes:Password
    Dilindungi sandi transporURN: oasis: Nama: tc: SAML:2.0:ac:classes:PasswordProtectedTransport
    Transport Layer Security (TLS) klienURN: oasis: Nama: tc: SAML:2.0:ac:classes:TLSClient
    Sertifikat X.509URN: oasis: Nama: tc: SAML:2.0:ac:classes:X 509
    Otentikasi Windows terpaduURN: Federasi: otentikasi: windows
    KerberosURN: oasis: Nama: tc: SAML:2.0:ac:classes:Kerberos

    Untuk memastikan bahwa metode autentikasi yang didukung pada tingkat AD FS, periksa berikut ini.

    AD FS 2.0

    Di bawah /ADFS/LS/web.config, pastikan bahwa entri untuk jenis otentikasi yang ada.

    <microsoft.identityServer.web></microsoft.identityServer.web>
    <localAuthenticationTypes></localAuthenticationTypes>
    Add name = "Bentuk" page="FormsSignIn.aspx" / >
    <add name="Integrated" page="auth/integrated/"></add>
    <add name="TlsClient" page="auth/sslclient/"></add>
    <add name="Basic" page="auth/basic/"></add>


    AD FS 2.0: Cara mengubah jenis otentikasi lokal

    AD FS 2012 R2

    Di bawah AD FS manajemen, klik Otentikasi kebijakan pada AD FS snap-in.

    Dalam Otentikasi dasar Klik Edit samping Pengaturan global. Anda juga dapat mengklik kanan-atas Otentikasi kebijakan kemudian pilih Edit Otentikasi dasar Global. Atau, di Tindakan panel, pilih Edit Otentikasi dasar Global.

    Dalam Mengedit kebijakan Global otentikasi jendela, Utama tab, Anda dapat mengkonfigurasi pengaturan sebagai bagian dari kebijakan global otentikasi. Misalnya, untuk Otentikasi dasar, Anda dapat memilih metode autentikasi yang tersedia di bawah Extranet dan Intranet.

    ** Membuat yakin bahwa kotak centang metode autentikasi yang diperlukan telah dipilih.
  4. Jika Anda mendapatkan AD FS dan masukkan kredensial, tetapi Anda tidak diotentikasi memeriksa masalah berikut ini.
    1. Masalah replikasi direktori aktif

      Jika AD replikasi rusak, perubahan yang dibuat ke pengguna atau grup mungkin tidak disinkronkan di pengontrol domain. Antara pengontrol domain, mungkin ada sandi, UPN, GroupMembership, atau ProxyAddress ketidakcocokan yang mempengaruhi respons AD FS (otentikasi dan klaim). Anda harus mulai Telisik di pengendali domain di situs yang sama AD FS. Menjalankan repadmin /showreps atau DCdiag /v perintah harus menyatakan apakah ada masalah pada pengendali domain yang AD FS kemungkinan kontak.

      Anda juga dapat mengumpulkan ringkasan replikasi AD untuk memastikan bahwa perubahan iklan yang direplikasi dengan benar di semua pengontrol domain. Bagian repadmin /showrepl * /csv > showrepl.csv output ini berguna untuk memeriksa status replikasi. Untuk informasi selengkapnya, lihat Pemecahan masalah replikasi direktori aktif.
    2. Akun terkunci atau dinonaktifkan di direktori aktif

      Ketika pengguna akhir diotentikasi melalui AD FS, ia tidak akan menerima galat pesan yang menyatakan bahwa akun terkunci atau dinonaktifkan. Dari AD FS dan audit log masuk, Anda akan dapat menentukan apakah otentikasi gagal karena sandi yang salah, Apakah akun dinonaktifkan atau terkunci, dan sebagainya.

      Untuk mengaktifkan AD FS dan log masuk audit pada AD FS server, ikuti langkah-langkah berikut:
      1. Gunakan kebijakan lokal atau domain untuk mengaktifkan keberhasilan dan kegagalan untuk kebijakan berikut:
        • Audit log masuk kejadian, terletak di komputer configuration\Windows Settings\Security setting\Local Policy\Audit kebijakan"
        • Mengaudit objek akses, terletak di komputer configuration\Windows Settings\Security setting\Local Policy\Audit kebijakan"
        Screenshot tentang kebijakan
      2. Nonaktifkan kebijakan berikut:

        Audit: Force audit pengaturan kebijakan subkategori (Windows Vista atau yang lebih baru) untuk menggantikan tataan kebijakan kategori audit

        Kebijakan ini terletak di komputer configuration\Windows Settings\Security setting\Local Policy\Security opsi.

        Screenshot tentang kebijakan

        Jika Anda ingin mengkonfigurasi ini menggunakan audit lanjutan, klik di sini.
      3. Mengkonfigurasi AD FS Audit:
        1. Buka AD FS 2.0 snap-in manajemen.
        2. Di panel tindakan , klik Edit properti Layanan Federasi.
        3. Di properti Layanan Federasi kotak dialog, klik peristiwa tab.
        4. Pilih audit keberhasilan dan audit kegagalan kotak centang.

          Sceenshot tentang mengaktifkan AD FS audit
        5. Jalankan GPupdate/Force di server.
    3. Nama prinsip Layanan (SPN) yang terdaftar dengan benar

      Mungkin ada duplikat SPNs atau SPN yang terdaftar di bawah account selain akun Layanan AD FS. Untuk penataan AD FS Farm, pastikan bahwa SPN HOST AD FSservicename ditambahkan pada akun layanan yang menjalankan layanan AD FS. Untuk AD FS penataan berdiri sendiri, di mana layanan yang berjalan di bawah Layanan Jaringan, SPN harus menurut akun komputer server yang menjadi inang AD FS.

      Screenshot untuk nama Layanan AD FS

      Pastikan bahwa tidak ada duplikat SPNs AD FS layanan, seperti ini dapat menyebabkan kegagalan terputus-putus otentikasi dengan AD FS. Untuk daftar SPNs, jalankan SETSPN-L<ServiceAccount></ServiceAccount>.

      Screenshot tentang daftar SPN

      Jalankan SETSPN-FSservicename ServiceAccount HOST iklan untuk menambahkan SPN.

      Jalankan SETSPN-X -F untuk memeriksa SPNs duplikat.
    4. Duplikasi UPN di direktori aktif

      Pengguna mungkin dapat mengotentikasi melalui AD FS saat mereka menggunakan SAMAccountName Namun tidak dapat mengotentikasi dengan menggunakan UPN. Dalam skenario ini, direktori aktif mungkin berisi dua pengguna yang memiliki UPN yang sama. Mungkin berakhir dengan dua pengguna yang memiliki UPN yang sama saat pengguna ditambahkan dan diubah melalui skrip (ADSIedit, misalnya).

      Ketika UPN yang digunakan untuk otentikasi dalam skenario ini, pengguna terotentikasi terhadap pengguna duplikat. Oleh karena itu, kredensial yang disediakan tidak divalidasi.

      Anda dapat menggunakan permintaan seperti berikut ini untuk memeriksa apakah ada banyak objek di AD yang memiliki nilai yang sama untuk atribut:
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      Pastikan bahwa UPN pada pengguna duplikat diganti nama, sehingga permintaan otentikasi dengan UPN divalidasi terhadap objek yang benar.
    5. Dalam skenario, di mana Anda menggunakan alamat penyuratan email Anda sebagai ID masuk di Office 365, dan Anda memasukkan alamat penyuratan email yang sama saat Anda akan diarahkan ke AD FS untuk otentikasi, otentikasi akan gagal dengan galat "NO_SUCH_USER" di log Audit. Untuk mengaktifkan AD FS untuk menemukan pengguna untuk otentikasi dengan menggunakan atribut selain UPN atau SAMaccountname, Anda harus mengkonfigurasi AD FS untuk mendukung alternatif login ID. Untuk informasi selengkapnya, lihat Mengkonfigurasi ID masuk alternatif.

      AD FS 2012 R2

      1. Instal Pemutakhiran 2919355.
      2. Memperbarui konfigurasi AD FS dengan menjalankan cmdlet PowerShell berikut pada salah satu server Federasi di daerah Anda (jika Anda memiliki daerah WID, Anda harus menjalankan perintah ini di server AD FS utama di daerah Anda):

        Set-AdfsClaimsProviderTrust - TargetIdentifier "AD otoritas" - AlternateLoginID <attribute>- LookupForests <forest domain=""></forest> </attribute>

        CatatanAlternateLoginID adalah nama LDAP atribut yang ingin Anda gunakan untuk masuk. Dan LookupForests ini adalah daftar hutan entri DNS yang milik pengguna Anda.

        Untuk mengaktifkan fitur ID alternatif login, Anda harus mengkonfigurasi kedua AlternateLoginID dan LookupForests parameter dengan nilai non-null, berlaku.

    6. Akun Layanan AD FS tidak memiliki akses ke di AD FS token yang menandatangani sertifikat bukti kunci privat. Untuk menambahkan izin ini, ikuti langkah-langkah berikut:
      1. Saat Anda menambahkan sertifikat penandatanganan Token baru, Anda menerima peringatan berikut: "Memastikan bahwa bukti kunci privat sertifikat pilihan dapat diakses untuk akun layanan untuk layanan Federasi ini pada setiap server in the farm."
      2. Klik mulai, klik Jalankan, ketik MMC.exe, kemudian tekan Enter.
      3. Klik File, dan kemudian klik Tambah/Hapus snap-in.
      4. klik ganda sertifikat.
      5. Pilih akun komputer tersebut, dan kemudian klik berikutnya.
      6. Pilih komputer lokal, lalu klik selesai.
      7. Memperluas sertifikat (komputer lokal), luaskan <b00> </b00>secaral, dan kemudian pilih sertifikat.
      8. Klik kanan-atas sertifikat penandatanganan token baru Anda, pilih Semua tugas, dan kemudian pilih Kelola bukti kunci privat.

        Sceenshot tentang langkah 8
      9. Tambahkan membaca akses untuk akun Layanan 2.0 AD FS, dan kemudian klik OK.
      10. Tutup sertifikat MMC.
    7. Opsi Diperpanjang perlindungan untuk otentikasi Windows sudah diaktifkan untuk direktori maya AD FS atau LS. Hal ini dapat menyebabkan masalah dengan browser tertentu. Kadang-kadang, Anda mungkin melihat AD FS berulang kali meminta kredensial, dan hal ini mungkin terkait dengan Perlindungan diperluas pengaturan yang diaktifkan untuk otentikasi Windows untuk aplikasi AD FS atau LS di IIS.

      Sceenshot tentang langkah 8
      Ketika Perlindungan diperluas untuk otentikasi diaktifkan, permintaan otentikasi terikat untuk kedua nama prinsipal Layanan (SPN) dari server untuk klien yang mencoba menyambung dan saluran Transport Layer Security (TLS) luar mana otentikasi Windows terpadu terjadi. Perlindungan diperpanjang meningkatkan fungsionalitas otentikasi Windows ada untuk mengurangi otentikasi relay atau serangan "orang di tengah-tengah". Namun, browser tertentu tidak bekerja dengan Perlindungan diperluas pengaturan; Namun mereka berulang kali meminta kredensial dan kemudian menolak akses. Menonaktifkan Perlindungan diperluas membantu adalah skenario ini.

      Untuk informasi selengkapnya, lihat AD FS 2.0: Terus-menerus dimintai kredensial saat menggunakan Fiddler web debugger.

      AD FS 2012 R2

      Jalankan cmdlet berikut ini untuk menonaktifkan Extendedprotection:

      Set-ADFSProperties-ExtendedProtectionTokenCheck None

    8. Penerbitan otorisasi aturan kepercayaan mengandalkan pihak (RP) dapat menolak akses ke pengguna. Pada kepercayaan AD FS mengandalkan pihak, Anda dapat mengkonfigurasi aturan penerbitan otorisasi yang mengontrol apakah pengguna yang diotentikasi harus dikeluarkan token untuk mengandalkan pihak. Administrator dapat menggunakan klaim yang dikeluarkan untuk memutuskan apakah untuk menolak akses ke pengguna yang merupakan anggota dari grup yang menarik sebagai klaim.

      Jika pengguna Federasi tertentu tidak dapat mengotentikasi melalui AD FS, Anda mungkin ingin memeriksa aturan penerbitan otorisasi Office 365 RP dan lihat apakah izin akses ke semua pengguna aturan dikonfigurasi.

      Screenshot tentang aturan
      Jika aturan ini tidak mengkonfigurasi, teliti aturan otorisasi kustom untuk memeriksa apakah kondisi di aturan yang mengevaluasi "benar" untuk pengguna yang dipakai. Untuk informasi selengkapnya, tampilan sumber daya daya berikut ini:
      Jika Anda dapat mengotentikasi dari intranet saat Anda mengakses server AD FS secara langsung, namun Anda tidak dapat mengotentikasi saat Anda mengakses AD FS melalui proksi AD FS, periksa masalah berikut ini:
      • Masalah sinkronisasi waktu server AD FS dan AD FS proksi

        Pastikan bahwa server AD FS dan waktu pada proxy sinkron. Ketika waktu server AD FS dimatikan dengan lebih dari lima menit pada pengontrol domain, otentikasi kegagalan terjadi. Saat waktu AD FS proxy tidak disinkronkan dengan AD FS, kepercayaan proxy terpengaruh dan rusak. Oleh karena itu, permintaan yang datang melalui proksi AD FS gagal.
      • Periksa apakah proxy AD FS kepercayaan dengan AD FS Layanan bekerja dengan benar. Jalankan kembali konfigurasi proksi jika Anda mencurigai kepercayaan proksi rusak.
  5. Setelah Anda AD FS masalah token, Azure AD atau Office 365 mengeliminasi galat. Dalam situasi ini, periksa masalah berikut ini:
    • Klaim yang dikeluarkan oleh AD FS di token harus cocok atribut masing-masing pengguna di Azure AD. Dalam token untuk Azure AD atau Office 365, klaim berikut diperlukan.

      WSFED:
      UPN: Nilai klaim ini harus cocok UPN pengguna di Azure AD.
      ImmutableID: Nilai klaim ini harus cocok sourceAnchor atau ImmutableID pengguna di Azure AD.

      Untuk mendapatkan nilai atribut pengguna Azure AD, jalankan baris perintah berikut ini: Get-MsolUser-UserPrincipalName<UPN></UPN>

      SAML 2.0:
      IDPEmail: Nilai klaim ini harus cocok dengan nama prinsip pengguna dari pengguna di Azure AD.
      NAMEID: Nilai klaim ini harus cocok sourceAnchor atau ImmutableID pengguna di Azure AD.

      Untuk informasi selengkapnya, lihat Menggunakan penyedia identitas SAML 2.0 untuk menerapkan masuk tunggal.

      Contoh:
      Masalah ini dapat terjadi apabila UPN pengguna disinkronkan diubah di AD tetapi tanpa memperbarui direktori online. Dalam skenario ini, Anda juga dapat memperbaiki UPN pengguna di AD (untuk mencocokkan nama log masuk pengguna terkait) atau Jalankan cmdlet berikut untuk mengubah nama log masuk pengguna yang terkait di direktori Online:

      Set-MsolUserPrincipalName - UserPrincipalName [ExistingUPN] - NewUserPrincipalName [DomainUPN-AD]

      Juga mungkin bahwa Anda menggunakan AADsync untuk menyinkronkan Surat sebagai UPN dan EMPID sebagai SourceAnchor, tetapi mengandalkan pihak klaim aturan di tingkat AD FS tidak dimutakhirkan untuk mengirim Surat sebagai UPN dan EMPID sebagai ImmutableID.
    • Ada ketidakcocokan sertifikat penandatanganan token antara AD FS dan Office 365.

      Ini adalah salah satu masalah yang paling umum. AD FS menggunakan sertifikat penandatanganan token masuk token yang dikirim ke pengguna atau aplikasi. Kepercayaan antara AD FS dan Office 365 adalah kepercayaan gabungan yang didasarkan pada sertifikat penandatanganan token ini (misalnya, Office 365 memverifikasi bahwa tanda terima ditandatangani menggunakan sertifikat penandatanganan token penyedia klaim [Layanan AD FS] yang itu kepercayaan).

      Jika sertifikat penandatanganan token di AD FS berubah karena Rollover sertifikat otomatis atau dengan admin intervensi setelah atau sebelum sertifikat kedaluwarsa, rincian sertifikat baru harus diperbarui pada penghuni Office 365 untuk domain gabungan.

      Office 365 atau Azure AD akan mencoba untuk menjangkau Layanan AD FS, tersedia dicapai dari jaringan publik. Kami mencoba untuk memungut ADFS Federasi metadata secara berkala untuk menarik perubahan konfigurasi ADFS, terutama penandatanganan token sertifikat. Jika proses ini tidak bekerja, Global Admin akan melihat pemberitahuan di portal Office 365, peringatan tentang penandatanganan Token sertifikat kedaluwarsa dan tindakan yang diambil, untuk memutakhirkan.

      Anda dapat menggunakan Get-MsolFederationProperty - Namadomain<domain></domain> untuk membuang properti Federasi AD FS dan Office 365. Di sini Anda dapat membandingkan cap jempol TokenSigningCertificate, untuk memeriksa apakah konfigurasi penghuni Office 365 untuk domain gabungan sinkron dengan AD FS. Jika Anda menemukan ketidakcocokan dalam konfigurasi sertifikat penandatanganan token, jalankan perintah berikut ini untuk memutakhirkan:
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      Anda juga dapat menjalankan alat berikut untuk menjadwal tugas di server AD FS yang akan memantau rollover Auto-sertifikat penandatanganan token sertifikat dan pemutakhiran Office 365 tenant secara otomatis.

      Alat Microsoft Office 365 Federasi Metadata pemutakhiran otomatisasi penginstalan

      Verifikasi dan mengelola masuk tunggal dengan AD FS
    • Penerbitan transformasi klaim aturan untuk Office 365 RP tidak dikonfigurasi dengan benar.

      Dalam skenario di mana Anda memiliki banyak TLD (domain tingkat atas), Anda mungkin memiliki masalah masuk jika Supportmultipledomain Switch tidak digunakan ketika kepercayaan RP dibuat dan diperbarui. Untuk informasi selengkapnya, klik di sini.
    • Pastikan bahwa enkripsi token tidak sedang digunakan oleh AD FS atau STS ketika token mengeluarkan Azure AD atau Office 365.
  6. Ada kedaluwarsa cache kredensial di pengelola mandat Windows.

    Terkadang selama login dari komputer ke portal (atau saat menggunakan Outlook), ketika pengguna dimintai kredensial, kredensial mungkin disimpan untuk target (layanan Office 365 atau AD FS) di Manajer kredensial Windows (kontrol Panel\User Accounts\Credential Manager). Ini membantu mencegah wantian kredensial selama beberapa waktu, namun dapat mengakibatkan masalah setelah kata sandi pengguna telah berubah dan manajer kredensial tidak diperbarui. Dalam skenario yang kedaluwarsa kredensial dikirim ke layanan AD FS, dan oleh karena itu otentikasi gagal. Menghapus atau memperbarui kredensial cache, di pengelola mandat Windows dapat membantu.
  7. Pastikan bahwa Secure Hash algoritma yang dikonfigurasi pada kepercayaan pihak mengandalkan untuk Office 365 ditetapkan ke SHA1.

    Ketika kepercayaan antara STS AD FS dan Azure AD Office 365 menggunakan protokol SAML 2.0, Algoritma Hash aman yang dikonfigurasi untuk tanda tangan digital harus SHA1.
  8. Jika tidak ada penyebab sebelumnya berlaku untuk situasi Anda, membuat kasus dukungan dengan Microsoft dan minta mereka untuk memeriksa apakah akun pengguna secara konsisten muncul di bawah penghuni Office 365. Untuk informasi selengkapnya, tampilan sumber daya daya berikut ini:

    Pesan galat dari AD FS 2.0 saat pengguna gabungan masuk ke Office 365: "Ada masalah saat mengakses situs"

    Pengguna Federasi berulang kali diminta untuk kredensial saat ia tautan langsung ke titik akhir Layanan 2.0 AD FS selama Office 365 masuk
  9. Tergantung pada layanan cloud mana (terintegrasi dengan Azure AD) Anda mengakses, permintaan otentikasi yang dikirim ke AD FS mungkin berbeda-beda. Misalnya: permintaan tertentu dapat meliputi parameter tambahan seperti Wauth atau Wfresh, dan parameter ini dapat menyebabkan perilaku yang berbeda di tingkat AD FS.

    Kami menyarankan bahwa biner AD FS akan selalu diperbarui untuk menyertakan perbaikan untuk masalah yang diketahui. Untuk informasi selengkapnya tentang pemutakhiran terbaru, lihat Daftar Tabel berikut.

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 3079872 - Tinjauan Terakhir: 08/11/2015 20:18:00 - Revisi: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbmt KB3079872 KbMtid
Tanggapan