ปัญหา
เมื่อคุณพยายามเข้าถึงบริการระบบคลาวด์ของ Microsoft เช่น Office ๓๖๕, Microsoft Azure หรือ Microsoft Intune ผ่านไคลเอ็นต์ที่ใช้เว็บหรือแอปพลิเคชันไคลเอ็นต์ rich โดยใช้บัญชีผู้ใช้ที่ติดต่อกับภายนอกการรับรองความถูกต้องล้มเหลวจากคอมพิวเตอร์ไคลเอ็นต์ที่เฉพาะเจาะจง เมื่อคุณใช้เว็บเบราว์เซอร์ในการเข้าถึงพอร์ทัลบริการ cloud จากคอมพิวเตอร์เครื่องเดียวกันโดยใช้บัญชีผู้ใช้ที่ติดต่อกับภายนอกคุณอาจพบอาการอย่างใดอย่างหนึ่งต่อไปนี้:
-
เมื่อคุณเชื่อมต่อกับจุดสิ้นสุดพอร์ทัลคุณจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
Internet Explorer ไม่สามารถแสดงเว็บเพจได้
ไม่พบหน้า๔๐๓
-
เมื่อคุณเชื่อมต่อกับจุดสิ้นสุดของบริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่ (AD FS) คุณจะได้รับข้อความแสดงข้อผิดพลาดอย่างใดอย่างหนึ่งต่อไปนี้:
Internet Explorer ไม่สามารถแสดงเว็บเพจได้
ไม่พบหน้า๔๐๓
-
คุณได้รับคำเตือนเกี่ยวกับใบรับรองเมื่อคุณเชื่อมต่อกับจุดสิ้นสุด FS โฆษณา
-
เมื่อคุณเชื่อมต่อกับจุดสิ้นสุด AD FS ในขณะที่คุณเข้าสู่ระบบโดเมนขององค์กรคุณจะได้รับพร้อมท์ข้อมูลประจำตัวเดียว พร้อมท์นี้สำหรับข้อมูลประจำตัวของคุณไม่ได้ใช้การรับรองความถูกต้องโดยใช้แบบฟอร์ม
-
เมื่อคุณเชื่อมต่อกับจุดสิ้นสุด AD FS โดยใช้เว็บเบราว์เซอร์ของบริษัทอื่นคุณจะได้รับพร้อมท์การรับรองความถูกต้องแบบวนรอบ พร้อมท์เหล่านี้ไม่ได้ใช้การรับรองความถูกต้องโดยใช้แบบฟอร์ม
-
เมื่อคุณเชื่อมต่อกับจุดสิ้นสุดของ login.microsoftonline.com คุณจะได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
การเข้าถึงถูกปฏิเสธ
สาเหตุ
โดยทั่วไปแล้วปัญหานี้เกิดขึ้นบนคอมพิวเตอร์ไคลเอ็นต์หรือกลุ่มของอุปกรณ์ไคลเอ็นต์ ปัญหานี้อาจเกิดขึ้นสำหรับผู้ใช้ทั้งหมดและคอมพิวเตอร์ไคลเอ็นต์ถ้าการลงชื่อเข้าระบบครั้งเดียว (SSO) ไม่ได้รับการทำงานอย่างสมบูรณ์ SSO อาจไม่สามารถทำงานได้อย่างสมบูรณ์ถ้าการตั้งค่าไคลเอ็นต์ถูกตั้งค่าอย่างถูกต้อง สถานการณ์ของอุปกรณ์ไคลเอ็นต์ต่อไปนี้อาจทำให้เกิดปัญหานี้:
-
การเชื่อมต่อเครือข่ายอาจถูกจำกัด
-
อุปกรณ์ไคลเอ็นต์ได้รับการแก้ปัญหาชื่อที่ไม่ถูกต้องสำหรับบริการสหพันธรัฐ AD FS จากการใช้ DNS แบบแยกสมองภายใน
-
ถ้ามีการกำหนดค่าพร็อกซีเซิร์ฟเวอร์อินเทอร์เน็ตบนคอมพิวเตอร์ชื่อบริการสหพันธรัฐ FS โฆษณาอาจไม่ถูกเพิ่มลงในรายการข้ามพร็อกซี
-
ชื่อบริการสหพันธรัฐ FS โฆษณาอาจไม่ถูกเพิ่มลงในโซนความปลอดภัยของอินทราเน็ตภายในในการตั้งค่าตัวเลือกอินเทอร์เน็ต
-
คอมพิวเตอร์ไคลเอ็นต์ไม่ได้รับการรับรองความถูกต้องของบริการโดเมนของ Active Directory
-
เว็บเบราว์เซอร์ของบริษัทอื่นไม่สนับสนุนการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องไปยังบริการสหพันธรัฐ FS โฆษณา
-
จุดสิ้นสุด metadata ของสหพันธรัฐอาจเป็น hardcoded ในรีจิสทรีเนื่องจากการติดตั้ง Office ๓๖๕รุ่นเบต้าเวอร์ชันก่อนหน้าของเครื่องมือการจัดการ SSO
-
จุดสิ้นสุดของบริการ AD FS ที่จำเป็นสำหรับแอปพลิเคชันไคลเอ็นต์เฉพาะถูกปิดใช้งาน
ก่อนที่คุณจะดำเนินการต่อให้ตรวจสอบให้แน่ใจว่าเงื่อนไขต่อไปนี้เป็นจริง:
-
ปัญหาการเข้าถึงไม่จำกัดเฉพาะแอปพลิเคชันไคลเอ็นต์ที่สมบูรณ์บนคอมพิวเตอร์ไคลเอ็นต์ ถ้าการรับรองความถูกต้องของไคลเอ็นต์ที่อุดมไปด้วยเท่านั้น (เมื่อเทียบกับการรับรองความถูกต้องโดยใช้เบราว์เซอร์) ไม่ทำงานแสดงว่าอาจมีปัญหาในการรับรองความถูกต้องของไคลเอ็นต์ที่สมบูรณ์ ตัวอย่างเช่นอาจเป็นปัญหาที่เกี่ยวข้องกับข้อกำหนดเบื้องต้นหรือการกำหนดค่าของแอปพลิเคชันไคลเอ็นต์ที่อุดมไปด้วย สำหรับข้อมูลเพิ่มเติมให้ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
๒๖๓๗๖๒๙ วิธีแก้ไขปัญหาแอปที่ไม่ใช่เบราว์เซอร์ที่ไม่สามารถลงชื่อเข้าใช้ Office ๓๖๕, Azure หรือ Intune
-
การรับรองความถูกต้อง SSO ไม่ล้มเหลวสำหรับบัญชีผู้ใช้ที่เปิดใช้งาน SSO ทั้งหมด ถ้าผู้ใช้ที่เปิดใช้งาน SSO ทั้งหมดพบอาการเดียวกันมีแนวโน้มที่จะระบุปัญหาของสหพันธรัฐ สำหรับข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base:
๒๕๓๐๕๖๙ แก้ไขปัญหาการตั้งค่าการลงชื่อเข้าระบบครั้งเดียวใน Office ๓๖๕, Intune หรือ Azure
-
การรับรองความถูกต้อง SSO สำหรับบัญชีผู้ใช้สำเร็จบนคอมพิวเตอร์ไคลเอ็นต์อื่น ถ้าบัญชีผู้ใช้ไม่สามารถเข้าสู่ระบบไปยังไคลเอ็นต์บริการ cloud ได้ให้ดูที่วิธีแก้ไขปัญหาในบทความนี้ที่เกี่ยวข้องกับคอมพิวเตอร์ไคลเอ็นต์ นอกจากนี้ให้สำรวจความเป็นไปได้ว่ามีบางอย่างผิดปกติกับบัญชีผู้ใช้และไม่มีคอมพิวเตอร์ไคลเอ็นต์ สำหรับข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base:
๒๕๓๐๕๙๐ แก้ไขปัญหาบัญชีผู้ใช้สำหรับผู้ใช้ที่ติดต่อกับภายนอกใน Office ๓๖๕, Azure หรือ Intune
-
คีย์บอร์ดบนคอมพิวเตอร์ไคลเอ็นต์ทำงานได้อย่างถูกต้องและชื่อผู้ใช้และรหัสผ่านที่จำเป็นต้องใส่ค่าอย่างถูกต้อง
วิธีแก้ไข
เมื่อต้องการแก้ไขปัญหานี้ให้ใช้วิธีการอย่างใดอย่างหนึ่งต่อไปนี้โดยขึ้นอยู่กับสาเหตุของปัญหา
ความละเอียดที่ 1: ไม่สามารถเชื่อมต่อไปยังพอร์ทัลบริการ cloud หรือ FS โฆษณา
ลองเรียกดูhttp://www.msn.com ถ้ายังไม่สามารถแก้ไขปัญหาการเชื่อมต่อเครือข่ายได้ โดยทำตามขั้นตอนต่อไปนี้:
-
ที่พร้อมท์คำสั่งให้ใช้เครื่องมือ ipconfig และ ping เพื่อแก้ไขปัญหาการเชื่อมต่อ IP สำหรับข้อมูลเพิ่มเติมให้ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
๑๖๙๗๙๐ วิธีแก้ไขปัญหา TCP/IP พื้นฐาน
-
ที่พร้อมท์คำสั่งให้พิมพ์ nslookup www.msn.com เพื่อระบุว่า DNS กำลังแก้ไขชื่อเซิร์ฟเวอร์อินเทอร์เน็ตหรือไม่
-
ตรวจสอบให้แน่ใจว่าการตั้งค่าพร็อกซีตัวเลือกอินเทอร์เน็ตแสดงให้เห็นว่าพร็อกซีเซิร์ฟเวอร์ที่เหมาะสมถ้ามีการใช้พร็อกซีเซิร์ฟเวอร์ในเครือข่ายภายใน
-
ถ้ามีการติดตั้งไฟร์วอลล์ของ Forefront คาม Management Gateway (TMG) บนขอบเขตของเครือข่ายและไฟร์วอลล์จำเป็นต้องมีการรับรองความถูกต้องของไคลเอ็นต์คุณอาจต้องติดตั้งโปรแกรมไคลเอ็นต์ Forefront TMG บนอุปกรณ์ไคลเอ็นต์สำหรับการเข้าถึงอินเทอร์เน็ต ติดต่อผู้ดูแลระบบ cloud service ของคุณเพื่อขอความช่วยเหลือ
ความละเอียดที่ 2: ไม่สามารถเชื่อมต่อกับ FS โฆษณาได้
เมื่อต้องการแก้ปัญหานี้ ให้ดำเนินการตามขั้นตอนเหล่านี้:
-
กำจัดปัญหาการเชื่อมต่อ IP โดยใช้ความละเอียด1
-
ที่พร้อมท์คำสั่งให้พิมพ์ nslookup <AD fs ๒.๐ FQDN>จากนั้นกด Enter เพื่อระบุว่า DNS กำลังแก้ไขชื่อบริการ AD fs อย่างถูกต้องหรือไม่หมายเหตุ ในคำสั่งนี้ <FQDN FS> แทนชื่อโดเมนแบบเต็ม (FQDN) ของชื่อบริการ AD FS ไม่แสดงชื่อโฮสต์ Windows ของเซิร์ฟเวอร์ AD FS
-
ถ้าไคลเอ็นต์เชื่อมต่อกับเครือข่ายขององค์กรให้ตรวจสอบให้แน่ใจว่าที่อยู่ IP ที่ ได้รับ การแก้ไขเป็นที่อยู่ ip ส่วนตัว ที่อยู่ IP ควรตรงกับรูปแบบใดรูปแบบหนึ่งต่อไปนี้:
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
ถ้าไคลเอ็นต์อยู่นอกเครือข่ายขององค์กรตรวจสอบให้แน่ใจว่าที่อยู่ IP ที่ได้รับการแก้ไขเป็นที่อยู่ IP สาธารณะ ตรวจสอบให้แน่ใจว่า ไม่ ตรงกับรูปแบบใดรูปแบบหนึ่งต่อไปนี้:
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
ถ้าที่อยู่ IP ที่ได้รับการแก้ไขไม่ถูกต้องโดยยึดตามขั้นตอนที่1และขั้นตอนที่2และคอมพิวเตอร์ไคลเอ็นต์อื่นๆจะไม่พบลักษณะการทำงานเดียวกันให้ทำดังต่อไปนี้:
-
ที่พร้อมท์คำสั่งให้พิมพ์ ipconfig/แล้วตรวจสอบว่ารายการ เซิร์ฟเวอร์ DNS หลัก เหมาะสมสำหรับเครือข่ายที่มีการแนบไคลเอ็นต์อยู่หรือไม่
-
เปิดไฟล์%windir%\system32\drivers\etc\hosts ใน Notepad แล้วเอารายการใดรายการหนึ่งออกจากการโฆษณา FS FQDN จากนั้นให้บันทึกไฟล์
-
ที่พร้อมท์คำสั่งให้พิมพ์ ipconfig/flushdns เพื่อล้างแคช DNS
-
หมายเหตุ ถ้าอุปกรณ์ไคลเอ็นต์แนบอยู่กับเครือข่ายขององค์กรเท่านั้นให้ไปที่ขั้นตอนที่3
-
-
เพิ่ม FQDN FS โฆษณาลงในรายการข้ามพร็อกซี เมื่อต้องการทำเช่นนี้ให้ทำตามขั้นตอนในบทความต่อไปนี้ในฐานความรู้ของ Microsoft:
๒๖๒๙๘๑ Internet Explorer ใช้พร็อกซีเซิร์ฟเวอร์สำหรับที่อยู่ IP ภายในเครื่องแม้ว่าตัวเลือก "เลี่ยงผ่านพร็อกซีเซิร์ฟเวอร์สำหรับที่อยู่ภายในเครื่อง" เปิดอยู่
ความละเอียดที่ 3: คำเตือนเกี่ยวกับใบรับรองเมื่อคุณเชื่อมต่อกับจุดสิ้นสุด AD FS
เมื่อต้องการแก้ไขปัญหานี้ให้แก้ไขปัญหาเกี่ยวกับใบรับรอง secure Sockets Layer (SSL) โดยใช้บทความต่อไปนี้ในฐานความรู้ของ Microsoft:
๒๕๒๓๔๙๔ คุณได้รับคำเตือนเกี่ยวกับใบรับรองจาก FS โฆษณาเมื่อคุณพยายามลงชื่อเข้าใช้ Office ๓๖๕, Azure หรือ Intune
ความละเอียดที่ 4: คุณได้รับพร้อมท์ข้อมูลประจำตัวเดียวที่ไม่คาดคิดเมื่อคุณเข้าสู่ระบบจากคอมพิวเตอร์ไคลเอ็นต์ที่เชื่อมต่อกับเครือข่ายขององค์กร
เมื่อต้องการแก้ปัญหานี้ ให้ดำเนินการตามขั้นตอนเหล่านี้:
-
ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ไคลเอ็นต์ได้เข้าสู่ระบบโดเมนเรียบร้อยแล้ว
-
คลิกเริ่มคลิกเรียกใช้พิมพ์%logonserver%\sysvolแล้วคลิกตกลง
-
ถ้าพร้อมท์ข้อมูลประจำตัวปรากฏขึ้นให้ออกจากระบบแล้วเข้าสู่ระบบอีกครั้งโดยใช้ข้อมูลประจำตัวขององค์กร
-
-
เพิ่ม FQDN FS โฆษณาลงในโซนอินทราเน็ตเฉพาะที่
-
บนแท็บความปลอดภัยให้คลิกอินทราเน็ตเฉพาะที่จากนั้นคลิกไซต์
-
คลิก ขั้นสูงแล้วตรวจสอบรายชื่อ เว็บไซต์ สำหรับชื่อ DNS ที่มีคุณสมบัติครบถ้วนของจุดสิ้นสุดบริการ AD fs (ตัวอย่างเช่น sts.contoso.com) หมายเหตุ ค่าตัวแทนเช่น "* consoto.com" จะยังสามารถใช้งานได้ในการกำหนดค่านี้
-
-
เพิ่ม FQDN FS โฆษณาลงในรายการข้ามพร็อกซี เมื่อต้องการทำเช่นนี้ให้ทำตามขั้นตอนในบทความต่อไปนี้ในฐานความรู้ของ Microsoft:
๒๖๒๙๘๑ Internet Explorer ใช้พร็อกซีเซิร์ฟเวอร์สำหรับที่อยู่ IP ภายในเครื่องแม้ว่าตัวเลือก "เลี่ยงผ่านพร็อกซีเซิร์ฟเวอร์สำหรับที่อยู่ภายในเครื่อง" เปิดอยู่
ความละเอียดที่ 5: เว็บเบราว์เซอร์ของบริษัทอื่นไม่สนับสนุนการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องและคุณได้รับพร้อมท์การรับรองความถูกต้องแบบวนรอบ
เมื่อต้องการแก้ปัญหานี้ ให้ดำเนินการตามขั้นตอนเหล่านี้:
-
ใช้ Windows Internet Explorer (Internet Explorer สนับสนุนการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง) แทนที่จะเป็นเว็บเบราว์เซอร์ของบริษัทอื่นที่ไม่สนับสนุนการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง
-
ถ้าใช้ Internet Explorer ไม่ใช่ตัวเลือกให้ใช้บทความฐานความรู้ของ Microsoft ต่อไปนี้เพื่อกำหนดค่า FS โฆษณาให้ยอมรับการร้องขอจากเว็บเบราว์เซอร์ที่ไม่สนับสนุนการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง:
๒๔๖๑๖๒๘ ผู้ใช้ที่ติดต่อกับภายนอกจะได้รับพร้อมท์สำหรับข้อมูลประจำตัวซ้ำๆในระหว่างการลงชื่อเข้าใช้ Office ๓๖๕, Azure หรือ Intune
ความละเอียด 6: ข้อความแสดงข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ" เมื่อคุณพยายามเชื่อมต่อกับ login.microsoftonline.com
สิ่งสำคัญ ส่วนนี้มีขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตามปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติมให้สำรองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีได้ถ้ามีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองและคืนค่ารีจิสทรีให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756 วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windowsปัญหาอาจเกิดขึ้นถ้าจุดสิ้นสุดสำหรับ Azure Active Directory SSO ที่ใช้โดย FS โฆษณาไม่ถูกต้อง ตรวจสอบให้แน่ใจว่าจุดสิ้นสุดของสหพันธรัฐไม่ใช่รหัสที่ฮาร์ในรีจิสทรีของแต่ละเซิร์ฟเวอร์ในฟาร์ม AD FS สหพันธรัฐ service เมื่อต้องการแก้ไขปัญหานี้ให้ใช้ Registry Editor เพื่อลบคีย์ย่อยของรีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationAD FS จะย้อนกลับไปยังจุดสิ้นสุดที่ถูกต้องโดยยึดตามความเชื่อถือของบริษัท SSO Relying
ความละเอียดที่ 7: ตั้งค่าจุดสิ้นสุดของบริการ AD FS ที่ปิดใช้งานเป็นการกำหนดค่าเริ่มต้น
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำสิ่งนี้ให้ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
๒๗๑๒๙๕๗ ลงชื่อเข้าใช้ Office ๓๖๕, Azure หรือ Intune ล้มเหลวหลังจากที่คุณเปลี่ยนแปลงจุดสิ้นสุดของบริการสหพันธรัฐ
ยังต้องการความช่วยเหลือหรือไม่ ไปที่ชุมชน Microsoftหรือเว็บไซต์ฟอรัมของไดเรกทอรีที่ใช้งานอยู่ของ Azure