Errore quando si tenta di configurare un altro dominio federato in Office 365, Azure o Intune: l'identificatore del servizio federativo specificato nel server AD FS 2.0 è già in uso

  • Articolo

Questo articolo fornisce informazioni sulla risoluzione di un problema in cui viene visualizzato un messaggio di errore durante l'esecuzione del New-MSOLFederatedDomain comando o del comando tramite il Convert-MSOLDomainToFederated modulo Azure Active Directory per Windows PowerShell.

Versione originale del prodotto: Servizi cloud (Ruoli Web/Ruoli di lavoro), Microsoft Entra ID, Microsoft Intune, Backup di Azure, Gestione delle identità di Office 365
Numero KB originale: 2618887

Nota

I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

Sintomi

In un servizio cloud Microsoft, ad esempio Office 365, Microsoft Azure o Microsoft Intune, non è possibile configurare un secondo dominio federato in un server Active Directory Federation Services (AD FS). Quando si usa il modulo Azure Active Directory per Windows PowerShell per eseguire il New-MSOLFederatedDomain comando o il Convert-MSOLDomainToFederated comando, viene visualizzato il messaggio di errore seguente:

L'identificatore del servizio federativo specificato nel server Active Directory Federation Services 2.0 è già in uso. Correggere questo valore nella console di gestione di AD FS 2.0 ed eseguire di nuovo il comando.

Causa

Il sistema di autenticazione Microsoft Entra richiede un URI (Federation Brand Uniform Resource Identifier) univoco per ogni dominio federato. Per impostazione predefinita, AD FS usa un valore globale per tutti i trust federati. Quando si tenta di federatare un secondo dominio in uno scenario in cui esiste già un trust federato, la richiesta ha esito negativo perché l'URI è già in uso.

Risoluzione

Per risolvere il problema, è necessario usare l'opzione -supportmultipledomain per aggiungere o convertire ogni dominio federato dal servizio cloud. Sono inclusi i domini federati già esistenti.

Passaggio 1: Installare l'aggiornamento cumulativo 1 per AD FS 2.0

In ogni nodo della farm del servizio federativo AD FS 2.0 scaricare e installare l'aggiornamento cumulativo 1 per AD FS 2.0. Per altre informazioni su come scaricare e installare l'aggiornamento cumulativo 1 per AD FS 2.0, vedere Descrizione dell'aggiornamento cumulativo 1 per Active Directory Federation Services (AD FS) 2.0.

Nota

Questo aggiornamento richiede un riavvio del computer. Se non si riavvia il computer, si verificherà il problema "Spiacenti, ma si verificano problemi di accesso" e "8004789A" quando un utente federato tenta di accedere a Office 365, Azure o Intune.

Passaggio 2: Verificare che il Update-MSOLFederatedDomain comando possa essere eseguito correttamente nell'ambiente AD FS

  1. Selezionare Avvia>tutti i programmi>Windows Azure Active Directory, fare clic con il pulsante destro del mouse sul modulo Windows Azure Active Directory per Windows PowerShell e scegliere Esegui come amministratore.

  2. Al prompt dei comandi eseguire i comandi seguenti nell'ordine in cui vengono presentati. Premere INVIO dopo ogni comando.

    Connect-MSOLService

    Nota

    Quando richiesto, immettere le credenziali di amministratore globale del servizio cloud.

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

    Nota

    In questo comando, <il nome> del server AD FS 2.0 è il nome del computer di un nodo nella farm del servizio federativo AD FS.

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    Nota

    In questo comando Nome <di dominio> federato è il nome del dominio già federato con Microsoft Entra ID per l'accesso Single Sign-On (SSO).

  3. Se il Update-MSOLFederatedDomain comando ha esito positivo e non vengono visualizzati messaggi di errore, andare al passaggio 3 per rimuovere l'attendibilità federata dal server AD FS.

Passaggio 3: Aggiornare l'attendibilità federata nel server AD FS

Avviso

I passaggi seguenti devono essere pianificati con attenzione. Gli utenti per i quali è abilitata la funzionalità SSO nel dominio federato non potranno eseguire l'autenticazione tra il completamento dei passaggi C e D. Se il test del comando nel passaggio 2 non è stato completato correttamente, il Update-MSOLFederatedDomain passaggio D di questa procedura non verrà completato correttamente. Gli utenti federati non saranno in grado di eseguire l'autenticazione fino a quando il Update-MSOLFederatedDomain comando non può essere eseguito correttamente.

  1. Accedere alla console del server AD FS, selezionare Avvia>tutti i programmi>strumenti di amministrazione e quindi AD FS (2.0) Management.

  2. Nel riquadro di spostamento a sinistra selezionare AD FS (2.0), selezionare Relazioni di trust e quindi selezionare Attendibilità relying party.

  3. Nel riquadro a destra eliminare la voce Microsoft Office 365 Identity Platform.

  4. Ricreare l'oggetto trust eliminato usando l'opzione -supportmultipledomain . Nella finestra di PowerShell aperta dal passaggio 1C eseguire il comando seguente e quindi premere INVIO:

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

Nota

In questo comando Nome <di dominio> federato è il nome del dominio già federato con il servizio cloud per l'accesso SSO.

Passaggio 4: Usare il -supportmultipledomain commutatore per aggiungere o convertire domini federati aggiuntivi

Dopo aver aggiornato l'attendibilità esistente nel passaggio 2, usare l'opzione -supportmultipledomain per aggiungere o convertire altri domini federati. Questa opzione informa il comando di usare uno spazio dei nomi URI univoco per ogni dominio federato dal servizio cloud. A tale scopo, usare una delle sintassi dei comandi seguenti:

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

Nota

In questo comando, <nome> di dominio rappresenta il nome del dominio che si sta tentando di federatare.

Soluzione alternativa

Implementare una farm del servizio federativo AD FS per federatare ogni dominio del servizio cloud per il quale verranno usate le funzionalità SSO. Le indicazioni per l'implementazione di AD FS per Office 365 sono disponibili nell'articolo seguente:

Indicazioni dettagliate per l'implementazione: Pianificare e distribuire Active Directory Federation Services 2.0 per l'uso con Single Sign-On

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.