Al momento sei offline in attesa che la connessione Internet venga ristabilita

Un utente federato ripetutamente richieste le credenziali durante l'accesso a Office 365, Azure o Intune

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 2461628
Importante Questo articolo contiene informazioni che mostrano come per le impostazioni di protezione inferiore o su come disattivare le funzionalità di protezione in un computer. È possibile apportare queste modifiche per risolvere un problema specifico. Prima di apportare queste modifiche, si consiglia di valutare i rischi associati all'implementazione di questa soluzione in un ambiente particolare. Se si implementa questa soluzione, adottare ogni ulteriore procedura per proteggere il computer.
PROBLEMA
Un utente federato è ripetutamente richieste le credenziali quando l'utente tenta di autenticare l'endpoint del servizio Active Directory Federation Services (ADFS) durante l'accesso a un servizio cloud di Microsoft Office 365, Microsoft Azure o Microsoft Intune. Quando l'utente Annulla, viene visualizzato il seguente messaggio di errore:
Accesso negato
CAUSA
Il sintomo indica un problema con l'autenticazione integrata di Windows con AD FS. Questo problema può verificarsi se uno o più delle seguenti condizioni sono vere:
  • È stata utilizzata un nome utente non corretto o una password.
  • Le impostazioni di autenticazione Internet Information Services (IIS) vengono impostate in modo errato in ADFS.
  • Il nome principale servizio (SPN) che ha associato l'account di servizio utilizzato per eseguire la server farm federativa di ADFS perso o danneggiato.

    Nota Questo si verifica solo quando è implementato come una farm di server federativo ADFS e non è implementato in una configurazione autonoma.
  • Uno o più dei seguenti sono identificati di protezione estesa per l'autenticazione come origine di un attacco man-in-the-middle:
    • Alcuni browser Internet di terze parti
    • Il firewall della rete aziendale, bilanciamento del carico di rete o altri dispositivi di rete pubblica il servizio federativo ADFS a Internet in modo che i dati del payload IP potenzialmente possono essere riscritto. Probabilmente sono inclusi i seguenti tipi di dati:
      • Secure Sockets Layer (SSL) bridging
      • Offload SSL
      • Il filtraggio dei pacchetti

        Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base:
        2510193Scenari supportati per l'utilizzo di ADFS per impostare servizio single sign-on in Office 365, Azure o Intune
    • Un'applicazione di decrittografia SSL o di monitoraggio è installato o è attivo sul computer client
  • Risoluzione di Domain Name System (DNS) dell'endpoint del servizio ADFS è stata eseguita attraverso la ricerca di record CNAME invece che tramite una ricerca di un record.
  • Windows Internet Explorer non è configurato per l'autenticazione integrata di Windows al server ADFS.

Prima di avviare la risoluzione dei problemi

Verificare che il nome utente e password non sono la causa del problema.
  • Assicurarsi che il nome utente corretto viene utilizzato e nel formato user principal name (UPN). Johnsmith@contoso.com, ad esempio.
  • Assicurarsi che la password corretta. Per verificare se viene utilizzata la password corretta, potrebbe essere necessario reimpostare la password dell'utente. Per ulteriori informazioni, vedere il seguente articolo Microsoft TechNet:
  • Assicurarsi che l'account non è bloccato, scaduto o utilizzato di fuori dell'orario di accesso specificata. Per ulteriori informazioni, vedere il seguente articolo Microsoft TechNet:

Verificare la causa

Per verificare che i problemi relativi a Kerberos sono causa il problema, ignorare temporaneamente l'autenticazione Kerberos attivando l'autenticazione basata su form nella server farm federazione ADFS. A tale scopo, attenersi alla seguente procedura:

Passaggio 1: Modificare il file Web. config in ogni server della server farm federativa di ADFS
  1. In Esplora risorse, individuare la cartella C:\inetpub\adfs\ls\ e quindi eseguire una copia di backup del file Web. config.
  2. Fare clic su Start, scegliere Tutti i programmi, Accessori, destro del mouse sul blocco notee quindi fare clic su Esegui come amministratore.
  3. Nella File menu, fare clic su Apri. Nella nome del File , digitareC:\inetpub\adfs\ls\web.config, quindi scegliere Apri.
  4. Nel file Web. config, attenersi alla seguente procedura:
    1. Individuare la riga che contiene <authentication mode=""> </authentication>e quindi modificarlo in <authentication mode="Forms"> </authentication>.
    2. Individuare la sezione che inizia con <localAuthenticationTypes> </localAuthenticationTypes>e quindi modificare la sezione in modo che il <add name="Forms"></add> voce prima, come segue:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Nella File menu, fare clic su Salva.
  6. Al prompt dei comandi con privilegi elevati riavviare IIS utilizzando il comando iisreset .
Passaggio 2: Funzionalità di Test AD FS
  1. In un computer client che è connesso e autenticato presso gli impianti in ambiente di dominio Active Directory, accedi al portale di servizi cloud.

    Invece di un'esperienza di autenticazione sicura, un segno-in basata su form deve presentarsi. Se l'accesso viene eseguito correttamente utilizzando l'autenticazione basata su form, questo conferma l'esistenza di un problema con Kerberos nel servizio federativo ADFS.
  2. Ripristinare la configurazione di ogni server della server farm federativa di ADFS per le precedenti impostazioni di autenticazione prima di eseguire la procedura nella sezione "Risoluzione". Per ripristinare la configurazione di ogni server della server farm federativa di ADFS, attenersi alla seguente procedura:
    1. In Esplora risorse, individuare la cartella C:\inetpub\adfs\ls\ e quindi eliminare il file Web. config.
    2. Spostare il backup del file Web. config creato nel "passaggio 1: modificare il file Web. config in ogni server della server farm federativa di ADFS" sezione nella cartella C:\inetpub\adfs\ls\.
  3. Al prompt dei comandi con privilegi elevati riavviare IIS utilizzando il comando iisreset .
  4. Verificare che il comportamento di autenticazione ADFS viene ripristinato il problema originale.
SOLUZIONE
Per risolvere il problema di Kerberos che limita l'autenticazione ADFS, utilizzare uno o più dei seguenti metodi, a seconda della situazione.

Risoluzione 1: Le impostazioni di autenticazione ADFS Reset i valori predefiniti

Se le impostazioni di autenticazione AD FS IIS sono corrette o non corrispondono a impostazioni di autenticazione IIS per servizi di federazione ADFS e i servizi Proxy, una soluzione è reimpostare tutte le impostazioni di autenticazione IIS per le impostazioni predefinite di ADFS.

Le impostazioni di autenticazione predefinite sono elencate nella tabella seguente.
Applicazione virtualeLivelli di autenticazione
Sito Web predefinito/adfsAutenticazione anonima
Impostazione predefinita del sito Web/adfs/lsAutenticazione anonima
Autenticazione di Windows
In ogni server federativo di ADFS e ogni proxy server federativo di ADFS, utilizzare le informazioni nel seguente articolo Microsoft TechNet per ripristinare le applicazioni virtuali AD FS IIS le impostazioni di autenticazione predefinite:Per ulteriori informazioni su come risolvere questo errore, vedere i seguenti articoli della Microsoft Knowledge Base:
907273 Risoluzione degli errori HTTP 401 in IIS

871179 Viene visualizzato un "errore HTTP 401.1 - non autorizzata: accesso negato a causa di credenziali non valide" messaggio di errore quando si tenta di accedere a un sito Web che fa parte di un pool di applicazioni IIS 6.0

Soluzione 2: Correggere la farm di server federativo ADFS SPN

Nota Provare questa soluzione solo quando ADFS viene implementato come una server farm federativa. Non tentare questa soluzione in una configurazione autonoma di ADFS.

Per risolvere il problema se il SPN per il servizio ADFS viene perso o danneggiato sull'account di servizio ADFS, attenersi alla seguente procedura su un server della server farm federativa di ADFS:
  1. Aprire lo snap-in Gestione servizi. A tale scopo, fare clic su Start, scegliere Tutti i programmi, strumenti di Amministrazionee quindi fare clic su servizi.
  2. Fare doppio clic sul servizio ADFS (2.0) di Windows.
  3. Nella Log On , prendere nota l'account del servizio che viene visualizzato in Account specifico.
  4. Fare clic su Start, scegliere Tutti i programmi, Accessori, destro del mouse sul prompt dei comandie quindi fare clic su Esegui come amministratore.
  5. Digitare Host di SetSPN – f – q /<AD fs="" service="" name=""></AD>, quindi premere INVIO.

    Nota In questo comando, <AD fs="" service="" name=""></AD> rappresenta il nome del servizio di dominio completo (FQDN) di nome dell'endpoint del servizio ADFS. Non rappresenta il nome host di Windows del server ADFS.
    • Se viene restituita più di una voce per il comando e il risultato è associato a un account utente diverso da quello indicato nel passaggio 3, rimuovere tale associazione. A tale scopo, eseguire il comando seguente:
      SetSPN – d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Se viene restituita più di una voce per il comando e il SPN viene utilizzato lo stesso nome come nome del computer del server ADFS in Windows, il nome dell'endpoint di federazione per ADFS non è corretto. ADFS deve essere implementata di nuovo. Il nome FQDN del server farm federativa di ADFS non devono essere identici al nome host Windows di un server esistente.
    • Se non esiste già il SPN, eseguire il comando seguente:
      SetSPN – un host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Nota In questo comando, <username of="" service="" account=""></username> rappresenta il nome utente indicato nel passaggio 3.
  6. Dopo queste operazioni vengono eseguite su tutti i server della server farm federativa di ADFS, destro del mouse sul Servizio Windows ADFS (2.0) nello snap-in Gestione servizi e quindi scegliere Riavvia.

Soluzione 3: Risoluzione di protezione estesa per l'autenticazione riguarda

Per risolvere il problema se la protezione estesa per l'autenticazione impedisce l'autenticazione ha esito positivo, utilizzare uno dei seguenti metodi consigliati:
  • Metodo 1: utilizzare Windows Internet Explorer 8 (o versione successiva del programma) per l'accesso.
  • Metodo 2: pubblicare servizi ADFS in Internet in modo che il bridging SSL, offload SSL o il filtraggio dei pacchetti non riscrittura i dati del payload IP. La raccomandazione di procedure consigliate per questo scopo è possibile utilizzare un Server Proxy di AD FS.
  • Metodo 3: applicazioni la decrittografia SSL o disabilitare il monitoraggio o Chiudi.
Se non è possibile utilizzare uno dei metodi seguenti per risolvere il problema, di protezione estesa per l'autenticazione può essere disattivata per i client attivi e passivi.

Soluzione: Disabilitare la protezione estesa per l'autenticazione

Avviso Si consiglia di non utilizzare questa procedura come soluzione a lungo termine. La disattivazione di protezione estesa per l'autenticazione indebolisce il profilo di protezione del servizio ADFS rilevando non determinati attacchi man-in-the-middle sugli endpoint di autenticazione integrata di Windows.

Nota Quando viene applicata questa soluzione alternativa per la funzionalità dell'applicazione di terze parti, è inoltre necessario disinstallare gli aggiornamenti rapidi nel sistema operativo client per la protezione estesa per l'autenticazione. Per ulteriori informazioni su aggiornamenti rapidi, vedere il seguente articolo della Microsoft Knowledge Base:
968389 Protezione estesa per l'autenticazione
Per i client passivo
Per disattivare la protezione estesa per l'autenticazione dei client passivo, attenersi alla procedura seguente per le seguenti applicazioni virtuali di IIS su tutti i server della server farm federativa di ADFS:
  • Sito Web predefinito/adfs
  • Impostazione predefinita del sito Web/adfs/ls
A tale scopo, attenersi alla seguente procedura:
  1. Aprire Gestione IIS e passare al livello che si desidera gestire. Per informazioni sull'apertura di gestione IIS, vedere Aprire Gestione IIS (IIS 7).
  2. In visualizzazione funzionalità, fare doppio clic su autenticazione.
  3. Nella pagina autenticazione selezionare Autenticazione di Windows.
  4. Nel riquadro Azioni fare clic su Impostazioni avanzate.
  5. Quando viene visualizzata la finestra di dialogo Impostazioni avanzate , selezionare Disattivadalladi protezione estesa dal menu a discesa.
Per i client active
Per disattivare la protezione estesa per l'autenticazione dei client attivi, attenersi alla procedura seguente sul server ADFS primario:
  1. Aprire Windows PowerShell.
  2. Eseguire il comando seguente per il caricamento di Windows PowerShell per snap-in ADFS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Eseguire il comando seguente per disattivare la protezione estesa per l'autenticazione:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Riattivare la protezione estesa per l'autenticazione

Per i client passivo
Per riattivare la protezione estesa per l'autenticazione dei client passivo, attenersi alla procedura seguente per le seguenti applicazioni virtuali di IIS su tutti i server della server farm federativa di ADFS:
  • Sito Web predefinito/adfs
  • Impostazione predefinita del sito Web/adfs/ls
A tale scopo, attenersi alla seguente procedura:
  1. Aprire Gestione IIS e passare al livello che si desidera gestire. Per informazioni sull'apertura di gestione IIS, vedere Aprire Gestione IIS (IIS 7).
  2. In visualizzazione funzionalità, fare doppio clic su autenticazione.
  3. Nella pagina autenticazione selezionare Autenticazione di Windows.
  4. Nel riquadro Azioni fare clic su Impostazioni avanzate.
  5. Quando viene visualizzata la finestra di dialogo Impostazioni avanzate , selezionare accettadal menu a discesa Di protezione estesa .
Per i client active
Per riattivare la protezione estesa per l'autenticazione dei client attivi, eseguire la procedura seguente sul server ADFS primario:
  1. Aprire Windows PowerShell.
  2. Eseguire il comando seguente per il caricamento di Windows PowerShell per snap-in ADFS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Eseguire il comando seguente per attivare la protezione estesa per l'autenticazione:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Risoluzione 4: Sostituire il record CNAME con un record per ADFS

Utilizzare gli strumenti di gestione DNS per sostituire ogni record DNS Alias (CNAME) che ha utilizzato per il servizio federativo con un indirizzo DNS (record). Inoltre, controllare o prendere in considerazione le impostazioni DNS aziendale quando viene implementata una split-brain configurazione di DNS. Per ulteriori informazioni su come gestire i record DNS, visitare il seguente sito Web Microsoft TechNet:

Soluzione 5: Impostare Internet Explorer come client ADFS per servizio single sign-on (SSO)

Per ulteriori informazioni su come configurare Internet Explorer per l'accesso di ADFS, vedere il seguente articolo della Microsoft Knowledge Base:
2535227Un utente federato è richiesta imprevista di immettere il proprio lavoro o scuola le credenziali dell'account
ULTERIORI INFORMAZIONI
Per proteggere una rete, ADFS utilizza protezione estesa per l'autenticazione. La protezione estesa per l'autenticazione consentono di prevenire gli attacchi man-in-the-middle in cui un pirata informatico intercetta le credenziali del client e li inoltra a un server. Protezione contro tali attacchi è resa possibile mediante l'utilizzo di Works del Binding di canale (CBT). CBT possono essere necessari, è consentito o non richiesti dal server quando vengono stabilite le comunicazioni con i client.

L'impostazione di ExtendedProtectionTokenCheck AD FS specifica il livello di protezione estesa per l'autenticazione supportata dal server federativo. I valori disponibili per questa impostazione sono:
  • È necessario: il server è protezione avanzato completa. Viene applicata la protezione estesa.
  • Consenti: questa è l'impostazione predefinita. Il server è in parte protezione avanzato. Viene applicata la protezione estesa per i sistemi interessati che sono stati modificati per supportare questa funzionalità.
  • Nessuno: il server è vulnerabile. Non viene applicata la protezione estesa.
Le tabelle seguenti descrivono le modalità di funzionamento di autenticazione per i tre sistemi operativi e browser, in base alle diverse opzioni di protezione estesa disponibili in ADFS con IIS.

Nota Sistemi operativi client Windows deve disporre di aggiornamenti specifici che vengono installati per utilizzare efficacemente la funzionalità di protezione estesa. Per impostazione predefinita, le funzionalità sono abilitate in ADFS. Questi aggiornamenti sono disponibili tramite il seguente articolo della Microsoft Knowledge Base:
968389 Protezione estesa per l'autenticazione
Per impostazione predefinita, Windows 7 include i file binari appropriati per l'utilizzo di protezione estesa.

Windows 7 (o aggiornato in modo appropriato le versioni di Windows XP o Windows Vista)
ImpostazioneÈ necessarioConsenti (predefinito)Nessuno
Comunicazione di Windows
Client Foundation (WCF) (tutti gli endpoint)
WorksWorksWorks
8and di Internet Explorer versioni successiveWorksWorksWorks
Firefox 3.6Si verifica un erroreSi verifica un erroreWorks
Safari 4.0.4Si verifica un erroreSi verifica un erroreWorks
Windows Vista senza gli aggiornamenti appropriati
ImpostazioneÈ necessarioConsenti (predefinito)Nessuno
Client WCF (tutti gli endpoint)Si verifica un erroreWorksWorks
8and di Internet Explorer versioni successiveWorksWorksWorks
Firefox 3.6Si verifica un erroreWorks Works
Safari 4.0.4Si verifica un erroreWorks Works
Windows XP senza gli aggiornamenti appropriati
ImpostazioneÈ necessarioConsenti (predefinito)Nessuno
8and di Internet Explorer versioni successiveWorksWorksWorks
Firefox 3.6Si verifica un erroreWorks Works
Safari 4.0.4Si verifica un erroreWorks Works
Per ulteriori informazioni sulla protezione estesa per l'autenticazione, vedere le seguenti risorse di Microsoft:
968389 Protezione estesa per l'autenticazione
Per ulteriori informazioni sul cmdlet Set-ADFSProperties , visitare il seguente sito Web Microsoft:

Ulteriore assistenza? Vai al Community di Office 365 sito Web o il Forum di Azure Active Directory sito Web.

I prodotti di terze parti descritti in questo articolo sono forniti da società indipendenti da Microsoft. Microsoft esclude ogni garanzia, implicita o esplicita, riguardo le prestazioni o all'affidabilità di questi prodotti.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 2461628 - Ultima revisione: 01/14/2016 15:51:00 - Revisione: 24.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtit
Feedback