Ein Verbundbenutzer wird während der Anmeldung bei Microsoft 365, Azure oder Intune wiederholt zur Eingabe von Anmeldeinformationen aufgefordert.

Problem

Ein Verbundbenutzer wird wiederholt zur Eingabe von Anmeldeinformationen aufgefordert, wenn der Benutzer versucht, sich während der Anmeldung bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune beim Active Directory-Verbunddienste (AD FS)-Dienstendpunkt (AD FS) zu authentifizieren. Wenn der Benutzer abbricht, erhält der Benutzer die Fehlermeldung Zugriff verweigert .

Ursache

Das Symptom weist auf ein Problem mit der integrierten Windows-Authentifizierung mit AD FS hin. Dieses Problem kann auftreten, wenn mindestens eine der folgenden Bedingungen zutrifft:

• Ein falscher Benutzername oder ein falsches Kennwort wurde verwendet.

• Iis-Authentifizierungseinstellungen (Internet Information Services) sind in AD FS falsch eingerichtet.

• Der Dienstprinzipalname (SPN), der dem Dienstkonto zugeordnet ist, das zum Ausführen der AD FS-Verbundserverfarm verwendet wird, ist verloren gegangen oder beschädigt.

  Hinweis

  Dies geschieht nur, wenn AD FS als Verbundserverfarm und nicht in einer eigenständigen Konfiguration implementiert wird.

• Eine oder mehrere der folgenden Optionen werden vom erweiterten Schutz für die Authentifizierung als Quelle eines Man-in-the-Middle-Angriffs identifiziert:

  • Einige Internetbrowser von Drittanbietern
  • Die Unternehmensnetzwerkfirewall, der Netzwerklastenausgleich oder ein anderes Netzwerkgerät veröffentlichen den AD FS-Verbunddienst im Internet so, dass IP-Nutzlastdaten möglicherweise umgeschrieben werden können. Dies umfasst möglicherweise die folgenden Arten von Daten:

    • Ssl-Überbrückung (Secure Sockets Layer)

    • SSL-Abladung

    • Zustandsbehaftete Paketfilterung

      Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

      2510193 Unterstützte Szenarien für die Verwendung von AD FS zum Einrichten des einmaligen Anmeldens in Microsoft 365, Azure oder Intune

  • Eine Überwachungs- oder SSL-Entschlüsselungsanwendung ist auf dem Clientcomputer installiert oder aktiv.

• Die DNS-Auflösung (Domain Name System) des AD FS-Dienstendpunkts wurde über die CNAME-Eintragssuche statt über eine A-Eintragssuche durchgeführt.

• Windows Internet Explorer ist nicht so konfiguriert, dass die integrierte Windows-Authentifizierung an den AD FS-Server übergeben wird.

Bevor Sie mit der Problembehandlung beginnen

Überprüfen Sie, ob der Benutzername und das Kennwort nicht die Ursache des Problems sind.

• Stellen Sie sicher, dass der richtige Benutzername verwendet wird und im UPN-Format (User Principal Name, Benutzerprinzipalname) vorliegt. Beispiel: johnsmith@contoso.com.

• Stellen Sie sicher, dass das richtige Kennwort verwendet wird. Um zu überprüfen, ob das richtige Kennwort verwendet wird, müssen Sie möglicherweise das Benutzerkennwort zurücksetzen. Weitere Informationen finden Sie im folgenden Microsoft TechNet-Artikel:

  Zurücksetzen eines Benutzerkennworts

• Stellen Sie sicher, dass das Konto nicht gesperrt, abgelaufen oder außerhalb der festgelegten Anmeldezeiten verwendet wird. Weitere Informationen finden Sie im folgenden Microsoft TechNet-Artikel: Verwalten von Benutzern.

Überprüfen der Ursache

Um zu überprüfen, ob Kerberos-Probleme das Problem verursachen, umgehen Sie vorübergehend die Kerberos-Authentifizierung, indem Sie die formularbasierte Authentifizierung in der AD FS-Verbundserverfarm aktivieren. Gehen Sie dazu wie folgt vor:

Schritt 1: Bearbeiten der web.config datei auf jedem Server in der AD FS-Verbundserverfarm

1. Suchen Sie in Windows Explorer den Ordner C:\inetpub\adfs\ls\, und erstellen Sie dann eine Sicherungskopie der web.config-Datei.

2. Klicken Sie auf Start, klicken Sie auf Alle Programme, klicken Sie auf Zubehör, klicken Sie mit der rechten Maustaste auf Editor, und klicken Sie dann auf Als Administrator ausführen.

3. Klicken Sie im Menü Datei auf Öffnen. Geben Sie im Feld Dateiname C:\inetpub\adfs\ls\web.config ein, und klicken Sie dann auf Öffnen.

4. Führen Sie in der datei web.config die folgenden Schritte aus:

   1. Suchen Sie die Zeile, die den Authentifizierungsmodus> enthält<, und ändern Sie sie dann in <authentication mode="Forms"/>.

   2. Suchen Sie den Abschnitt, der mit <localAuthenticationTypes> beginnt, und ändern Sie dann den Abschnitt, sodass der < Eintrag add name="Forms"> wie folgt zuerst aufgeführt wird:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      

5. Klicken Sie im Menü Datei auf Speichern .

6. Starten Sie IIS an einer Eingabeaufforderung mit erhöhten Rechten mithilfe des Befehls iisreset neu.

Schritt 2: Testen der AD FS-Funktionalität

1. Melden Sie sich auf einem Clientcomputer, der mit der lokalen AD DS-Umgebung verbunden und authentifiziert ist, beim Clouddienstportal an.

   Anstelle einer nahtlosen Authentifizierung sollte eine formularbasierte Anmeldung erfolgen. Wenn die Anmeldung mithilfe der formularbasierten Authentifizierung erfolgreich ist, wird bestätigt, dass ein Problem mit Kerberos im AD FS-Verbunddienst vorliegt.

2. Stellen Sie die Konfiguration der einzelnen Server in der AD FS-Verbundserverfarm auf die vorherigen Authentifizierungseinstellungen zurück, bevor Sie die Schritte im Abschnitt "Lösung" ausführen. Führen Sie die folgenden Schritte aus, um die Konfiguration der einzelnen Server in der AD FS-Verbundserverfarm zu rückgängig machen:

   1. Suchen Sie in Windows Explorer den Ordner C:\inetpub\adfs\ls\, und löschen Sie dann die web.config-Datei.
   2. Verschieben Sie die Sicherung der web.config Datei, die Sie im Abschnitt "Schritt 1: Bearbeiten der web.config-Datei auf jedem Server in der AD FS-Verbundserverfarm" erstellt haben, in den Ordner C:\inetpub\adfs\ls\.

3. Starten Sie IIS an einer Eingabeaufforderung mit erhöhten Rechten mithilfe des Befehls iisreset neu.

4. Überprüfen Sie, ob das AD FS-Authentifizierungsverhalten auf das ursprüngliche Problem zurückgesetzt wird.

Lösung

Um das Kerberos-Problem zu beheben, das die AD FS-Authentifizierung einschränkt, verwenden Sie je nach Situation eine oder mehrere der folgenden Methoden.

Lösung 1: Zurücksetzen der AD FS-Authentifizierungseinstellungen auf die Standardwerte

Wenn die AD FS IIS-Authentifizierungseinstellungen falsch sind oder die IIS-Authentifizierungseinstellungen für AD FS-Verbunddienste und Proxydienste nicht übereinstimmen, besteht eine Lösung darin, alle IIS-Authentifizierungseinstellungen auf die AD FS-Standardeinstellungen zurückzusetzen.

Die Standardauthentifizierungseinstellungen sind in der folgenden Tabelle aufgeführt.

Verwenden Sie auf jedem AD FS-Verbundserver und auf jedem AD FS-Verbundserverproxy die Informationen im folgenden Microsoft TechNet-Artikel, um die virtuellen AD FS-IIS-Anwendungen auf die Standardauthentifizierungseinstellungen zurückzusetzen:

Konfigurieren der Authentifizierung in IIS 7

Lösung 2: Korrigieren des SPN der AD FS-Verbundserverfarm

Führen Sie die folgenden Schritte auf einem Server in der AD FS-Verbundserverfarm aus, um das Problem zu beheben, wenn der SPN für den AD FS-Dienst im AD FS-Dienstkonto verloren geht oder beschädigt ist:

1. Öffnen Sie das Snap-In Für die Dienstverwaltung. Klicken Sie dazu auf Start, auf Alle Programme, auf Verwaltung und dann auf Dienste.

2. Doppelklicken Sie auf AD FS (2.0) Windows-Dienst.

3. Notieren Sie sich auf der Registerkarte Anmelden das Dienstkonto, das unter Dieses Konto angezeigt wird.

4. Klicken Sie nacheinander auf Start, Alle Programme und Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

5. Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste.

   SetSPN –f –q host/<AD FS service name>
   

   Hinweis

   In diesem Befehl <stellt der AD FS-Dienstname> den vollqualifizierten Domänennamen (FQDN) des AD FS-Dienstendpunkts dar. Er stellt nicht den Windows-Hostnamen des AD FS-Servers dar.

   • Wenn mehr als ein Eintrag für den Befehl zurückgegeben wird und das Ergebnis einem anderen Benutzerkonto als dem in Schritt 3 notierten zugeordnet ist, entfernen Sie diese Zuordnung. Führen Sie dazu den folgenden Befehl aus:

     SetSPN –d host/<AD FS service name><bad_username>
     

   • Wenn mehr als ein Eintrag für den Befehl zurückgegeben wird und der SPN denselben Namen wie der Computername des AD FS-Servers in Windows verwendet, ist der Verbundendpunktname für AD FS falsch. AD FS muss erneut implementiert werden. Der FQDN der AD FS-Verbundserverfarm darf nicht mit dem Windows-Hostnamen eines vorhandenen Servers identisch sein.

   • Wenn der SPN noch nicht vorhanden ist, führen Sie den folgenden Befehl aus:

     SetSPN –a host/<AD FS service name><username of service account>  
     

     Hinweis

     In diesem Befehl <stellt der Benutzername des Dienstkontos> den Benutzernamen dar, der in Schritt 3 notiert wurde.

6. Nachdem diese Schritte auf allen Servern in der AD FS-Verbundserverfarm ausgeführt wurden, klicken Sie im Dienstverwaltungs-Snap-In mit der rechten Maustaste auf AD FS (2.0) Windows-Dienst , und klicken Sie dann auf Neu starten.

Lösung 3: Beheben von Problemen mit dem erweiterten Schutz für die Authentifizierung

Verwenden Sie eine der folgenden empfohlenen Methoden, um das Problem zu beheben, wenn der erweiterte Schutz für die Authentifizierung eine erfolgreiche Authentifizierung verhindert:

• Methode 1: Verwenden Sie Windows Internet Explorer 8 (oder eine höhere Version des Programms), um sich anzumelden.
• Methode 2: Veröffentlichen Sie AD FS-Dienste im Internet so, dass SSL-Bridging, SSL-Auslagerung oder zustandsbehaftete Paketfilterung keine IP-Nutzlastdaten umschreiben. Zu diesem Zweck wird empfohlen, einen AD FS-Proxyserver zu verwenden.
• Methode 3: Schließen oder Deaktivieren von Überwachungs- oder SSL-Entschlüsselungsanwendungen.

Wenn Sie keine dieser Methoden verwenden können, kann der erweiterte Schutz für die Authentifizierung für passive und aktive Clients deaktiviert werden, um dieses Problem zu umgehen.

Problemumgehung: Deaktivieren des erweiterten Schutzes für die Authentifizierung

Für passive Clients

Führen Sie zum Deaktivieren des erweiterten Schutzes für die Authentifizierung für passive Clients das folgende Verfahren für die folgenden virtuellen IIS-Anwendungen auf allen Servern in der AD FS-Verbundserverfarm aus:

• Standardwebsite/adfs
• Standardwebsite/adfs/ls

Gehen Sie dazu wie folgt vor:

1. Öffnen Sie den IIS-Manager, und navigieren Sie zu der Ebene, die Sie verwalten möchten. Informationen zum Öffnen des IIS-Managers finden Sie unter Öffnen des IIS-Managers (IIS 7).
2. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
3. Wählen Sie auf der Seite Authentifizierung die Option Windows-Authentifizierung aus.
4. Klicken Sie im Bereich Aktionen auf Erweiterte Einstellungen.
5. Wenn das Dialogfeld Erweiterte Einstellungen angezeigt wird, wählen Sie im Dropdownmenü Erweiterter Schutz die Option Aus aus.

Für aktive Clients

Führen Sie zum Deaktivieren des erweiterten Schutzes für die Authentifizierung für aktive Clients das folgende Verfahren auf dem primären AD FS-Server aus:

1. Öffnen Sie Windows PowerShell.

2. Führen Sie den folgenden Befehl aus, um die Windows PowerShell für das AD FS-Snap-In zu laden:

   Add-PsSnapIn Microsoft.Adfs.Powershell
   

3. Führen Sie den folgenden Befehl aus, um den erweiterten Schutz für die Authentifizierung zu deaktivieren:

   Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
   

Erneutes Aktivieren des erweiterten Schutzes für die Authentifizierung

Für passive Clients

Führen Sie zum erneuten Aktivieren des erweiterten Schutzes für die Authentifizierung für passive Clients das folgende Verfahren für die folgenden virtuellen IIS-Anwendungen auf allen Servern in der AD FS-Verbundserverfarm aus:

• Standardwebsite/adfs
• Standardwebsite/adfs/ls

Gehen Sie dazu wie folgt vor:

1. Öffnen Sie den IIS-Manager, und navigieren Sie zu der Ebene, die Sie verwalten möchten. Informationen zum Öffnen des IIS-Managers finden Sie unter Öffnen des IIS-Managers (IIS 7).
2. Doppelklicken Sie in der Ansicht Features auf Authentifizierung.
3. Wählen Sie auf der Seite Authentifizierung die Option Windows-Authentifizierung aus.
4. Klicken Sie im Bereich Aktionen auf Erweiterte Einstellungen.
5. Wenn das Dialogfeld Erweiterte Einstellungen angezeigt wird, wählen Sie im Dropdownmenü Erweiterter Schutz die Option Akzeptieren aus.

Für aktive Clients

Führen Sie das folgende Verfahren auf dem primären AD FS-Server aus, um den erweiterten Schutz für die Authentifizierung für aktive Clients erneut zu aktivieren:

1. Öffnen Sie Windows PowerShell.

2. Führen Sie den folgenden Befehl aus, um die Windows PowerShell für das AD FS-Snap-In zu laden:

   Add-PsSnapIn Microsoft.Adfs.Powershell
   

3. Führen Sie den folgenden Befehl aus, um den erweiterten Schutz für die Authentifizierung zu aktivieren:

   Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
   

Lösung 4: Ersetzen von CNAME-Einträgen durch A-Einträge für AD FS

Verwenden Sie DNS-Verwaltungstools, um jeden DNS-Aliaseintrag (CNAME) zu ersetzen, der für den Verbunddienst verwendet wird, durch einen DNS-Adresseintrag (A). Überprüfen oder berücksichtigen Sie außerdem die DNS-Einstellungen des Unternehmens, wenn eine Split-Brain-DNS-Konfiguration implementiert ist. Weitere Informationen zum Verwalten von DNS-Einträgen finden Sie unter Verwalten von DNS-Einträgen.

Lösung 5: Einrichten von Internet Explorer als AD FS-Client für einmaliges Anmelden (Single Sign-On, SSO)

Weitere Informationen zum Einrichten von Internet Explorer für den AD FS-Zugriff finden Sie unter Ein Verbundbenutzer wird unerwartet zur Eingabe von Anmeldeinformationen für Ein Geschäfts-, Schul- oder Unikonto aufgefordert.

Weitere Informationen

Um ein Netzwerk zu schützen, verwendet AD FS erweiterten Schutz für die Authentifizierung. Der erweiterte Schutz für die Authentifizierung kann dazu beitragen, Man-in-the-Middle-Angriffe zu verhindern, bei denen ein Angreifer die Anmeldeinformationen eines Clients abfängt und an einen Server weiterleitet. Der Schutz vor solchen Angriffen wird durch Die Verwendung von Channel Binding Works (CBT) ermöglicht. CBT kann für den Server erforderlich, zulässig oder nicht erforderlich sein, wenn die Kommunikation mit Clients eingerichtet wird.

Die AD FS-Einstellung ExtendedProtectionTokenCheck gibt die Ebene des erweiterten Schutzes für die Authentifizierung an, die vom Verbundserver unterstützt wird. Dies sind die verfügbaren Werte für diese Einstellung:

• Erforderlich: Der Server ist vollständig gehärtet. Erweiterter Schutz wird erzwungen.
• Zulassen: Dies ist die Standardeinstellung. Der Server ist teilweise gehärtet. Erweiterter Schutz wird für betroffene Systeme erzwungen, die geändert werden, um dieses Feature zu unterstützen.
• Keine: Der Server ist anfällig. Erweiterter Schutz wird nicht erzwungen.

In den folgenden Tabellen wird beschrieben, wie die Authentifizierung für drei Betriebssysteme und Browser funktioniert, abhängig von den verschiedenen Erweiterten Schutzoptionen, die in AD FS mit IIS verfügbar sind.

Standardmäßig enthält Windows 7 die entsprechenden Binärdateien für die Verwendung des erweiterten Schutzes.

Windows 7 (oder entsprechend aktualisierte Versionen von Windows Vista oder Windows XP)

Windows Vista ohne entsprechende Updates

Windows XP ohne entsprechende Updates

Weitere Informationen zum erweiterten Schutz für die Authentifizierung finden Sie in der folgenden Microsoft-Ressource:

Konfigurieren erweiterter Optionen für AD FS 2.0

Weitere Informationen zum Cmdlet Set-ADFSProperties finden Sie auf der folgenden Microsoft-Website:

Set-ADFSProperties

Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community oder zur Website Microsoft Entra Foren.

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.