Fout bij het instellen van een ander federatief domein in Office 365, Azure of Intune: Federatieservice-id die is opgegeven in de AD FS 2.0-server is al in gebruik

  • Artikel

Dit artikel bevat informatie over het oplossen van een probleem waarbij u een foutbericht ontvangt bij het uitvoeren van de New-MSOLFederatedDomain opdracht of de opdracht met behulp van de Convert-MSOLDomainToFederated Azure Active Directory-module voor Windows PowerShell.

Oorspronkelijke productversie: Cloud Services (webrollen/werkrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Origineel KB-nummer: 2618887

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

Symptomen

In een Microsoft-cloudservice zoals Office 365, Microsoft Azure of Microsoft Intune kunt u geen tweede federatief domein instellen op een Active Directory Federation Services (AD FS)-server. Wanneer u de Azure Active Directory-module voor Windows PowerShell gebruikt om de New-MSOLFederatedDomain opdracht of de Convert-MSOLDomainToFederated opdracht uit te voeren, ontvangt u het volgende foutbericht:

De federatieservice-id die is opgegeven in de Active Directory Federation Services 2.0-server is al in gebruik. Corrigeer deze waarde in de AD FS 2.0-beheerconsole en voer de opdracht opnieuw uit.

Oorzaak

Het Microsoft Entra verificatiesysteem vereist een unieke URI (Federation Brand Uniform Resource Identifier) voor elk federatief domein. AD FS gebruikt standaard een globale waarde voor alle federatieve vertrouwensrelaties. Wanneer u probeert een tweede domein te federeren in een scenario waarin er al een federatieve vertrouwensrelatie bestaat, mislukt de aanvraag omdat de URI al wordt gebruikt.

Oplossing

Om het probleem op te lossen, moet u de -supportmultipledomain switch gebruiken om elk domein toe te voegen of te converteren dat is gefedereerd door de cloudservice. Dit omvat federatieve domeinen die al bestaan.

Stap 1: Updatepakket 1 installeren voor AD FS 2.0

Download en installeer updatepakket 1 voor AD FS 2.0 2.0 op elk knooppunt van de AD FS 2.0-farm. Zie Beschrijving van updatepakket 1 voor Active Directory Federation Services (AD FS) 2.0 voor meer informatie over het downloaden en installeren van updatepakket 1 voor AD FS 2.0.

Opmerking

Voor deze update moet de computer opnieuw worden opgestart. Als u de computer niet opnieuw opstart, treedt het probleem 'Sorry, maar er zijn problemen met aanmelden' en '8004789A' op wanneer een federatieve gebruiker zich probeert aan te melden bij Office 365, Azure of Intune.

Stap 2: Controleer of de Update-MSOLFederatedDomain opdracht kan worden uitgevoerd in de AD FS-omgeving

  1. SelecteerAlle programma's>starten>Windows Azure Active Directory, klik met de rechtermuisknop op Windows Azure Active Directory-module voor Windows PowerShell en selecteer Uitvoeren als beheerder.

  2. Voer bij de opdrachtprompt de volgende opdrachten uit in de volgorde waarin ze worden weergegeven. Druk na elke opdracht op Enter.

    Connect-MSOLService

    Opmerking

    Wanneer u hierom wordt gevraagd, voert u de referenties van de globale beheerder van de cloudservice in.

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

    Opmerking

    In deze opdracht <is AD FS 2.0-servernaam> de computernaam van een knooppunt in de AD FS Federation Service-farm.

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    Opmerking

    In deze opdracht <is Federatieve domeinnaam> de naam van het domein dat al is gefedereerd met Microsoft Entra ID voor eenmalige aanmelding (SSO).

  3. Als de Update-MSOLFederatedDomain opdracht is geslaagd en u geen foutberichten ontvangt, gaat u naar stap 3 om de federatieve vertrouwensrelatie van de AD FS-server te verwijderen.

Stap 3: de federatieve vertrouwensrelatie op de AD FS-server bijwerken

Waarschuwing

De volgende stappen moeten zorgvuldig worden gepland. Gebruikers waarvoor SSO-functionaliteit is ingeschakeld in het federatieve domein, kunnen zich niet verifiëren tussen het voltooien van stap C en D. Als de Update-MSOLFederatedDomain opdrachttest in stap 2 niet is voltooid, wordt stap D van deze procedure niet correct voltooid. Federatieve gebruikers kunnen zich pas verifiëren als de Update-MSOLFederatedDomain opdracht kan worden uitgevoerd.

  1. Meld u aan bij de console van de AD FS-server, selecteerAlle programma's>systeembeheerstarten> en selecteer vervolgens AD FS (2.0) Beheer.

  2. Selecteer in het linkernavigatiedeelvenster AD FS (2.0), selecteer Vertrouwensrelaties en selecteer vervolgens Relying Party-vertrouwensrelaties.

  3. Verwijder in het deelvenster aan de rechterkant de vermelding Microsoft Office 365 Identity Platform.

  4. Maak het verwijderde vertrouwensobject opnieuw met behulp van de -supportmultipledomain schakeloptie. Voer in het PowerShell-venster dat is geopend vanaf stap 1C de volgende opdracht uit en druk vervolgens op Enter:

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

Opmerking

In deze opdracht <is Federatieve domeinnaam> de naam van het domein dat al is gefedereerd met de cloudservice voor eenmalige aanmelding.

Stap 4: gebruik de -supportmultipledomain switch om extra federatieve domeinen toe te voegen of te converteren

Nadat u de bestaande vertrouwensrelatie in stap 2 hebt bijgewerkt, gebruikt u de switch -supportmultipledomain om extra federatieve domeinen toe te voegen of te converteren. Met deze switch wordt de opdracht geïnformeerd om een unieke URI-naamruimte te gebruiken voor elk domein dat wordt gefedereerd door de cloudservice. Gebruik hiervoor een van de volgende opdrachtsyntaxis:

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

Opmerking

In deze opdracht <vertegenwoordigt domeinnaam> de naam van het domein dat u probeert te federeren.

Tijdelijke oplossing

Implementeer een AD FS Federation Service-farm om elk cloudservicedomein te federeren waarvoor eenmalige aanmeldingsfuncties worden gebruikt. Ad FS-implementatierichtlijnen voor Office 365 vindt u in het volgende artikel:

Stapsgewijze implementatierichtlijnen: Active Directory Federation Services 2.0 plannen en implementeren voor gebruik met eenmalige aanmelding

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.