Ошибка при попытке настроить другой федеративный домен в Office 365, Azure или Intune: идентификатор службы федерации, указанный на сервере AD FS 2.0, уже используется

  • Статья

В этой статье содержатся сведения об устранении проблемы, из-за которой при выполнении New-MSOLFederatedDomain команды или Convert-MSOLDomainToFederated команды с помощью модуля Azure Active Directory для Windows PowerShell появляется сообщение об ошибке.

Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2618887

Примечание.

модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

Симптомы

В облачной службе Майкрософт, такой как Office 365, Microsoft Azure или Microsoft Intune, нельзя настроить второй федеративный домен на сервере службы федерации Active Directory (AD FS) (AD FS). При использовании модуля Azure Active Directory для Windows PowerShell для выполнения New-MSOLFederatedDomain команды или Convert-MSOLDomainToFederated команды появляется следующее сообщение об ошибке:

Идентификатор службы федерации, указанный на сервере службы федерации Active Directory (AD FS) 2.0, уже используется. Исправьте это значение в консоли управления AD FS 2.0 и выполните команду еще раз.

Причина

Для Microsoft Entra системы проверки подлинности требуется уникальный универсальный код ресурса (URI) бренда федерации для каждого федеративного домена. По умолчанию AD FS использует глобальное значение для всех федеративных отношений доверия. При попытке федерации второго домена в сценарии, где уже существует федеративное доверие, запрос завершается ошибкой, так как URI уже используется.

Разрешение

Чтобы устранить эту проблему, необходимо использовать -supportmultipledomain параметр для добавления или преобразования каждого домена, федеративного облачной службой. Сюда входят уже существующие федеративные домены.

Шаг 1. Установка накопительного пакета обновления 1 для AD FS 2.0

На каждом узле фермы службы федерации AD FS 2.0 скачайте и установите накопительный пакет обновления 1 для AD FS 2.0. Дополнительные сведения о том, как скачать и установить накопительный пакет обновления 1 для AD FS 2.0, см. в разделе Описание накопительного пакета обновления 1 для службы федерации Active Directory (AD FS) (AD FS) 2.0.

Примечание.

Это обновление требует перезагрузки компьютера. Если вы не перезагрузите компьютер, при попытке федеративного пользователя войти в Office 365, Azure или Intune возникает ошибка "Извините, но у нас возникли проблемы" и "8004789A".

Шаг 2. Убедитесь, что Update-MSOLFederatedDomain команда может быть успешно выполнена в среде AD FS

  1. Выберите Запустить>все программы>Windows Azure Active Directory, щелкните правой кнопкой мыши модуль Windows Azure Active Directory для Windows PowerShell и выберите Запуск от имени администратора.

  2. В командной строке выполните следующие команды в том порядке, в котором они представлены. Нажмите клавишу ВВОД после каждой команды.

    Connect-MSOLService

    Примечание.

    При появлении запроса введите учетные данные глобального администратора облачной службы.

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

    Примечание.

    В этой команде <имя> сервера AD FS 2.0 — это имя компьютера узла в ферме службы федерации AD FS.

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    Примечание.

    В этой команде <федеративное доменное имя> — это имя домена, который уже интегрирован в федерацию с Microsoft Entra ID для единого входа.

  3. Если команда выполнена Update-MSOLFederatedDomain успешно и вы не получаете сообщения об ошибках, перейдите к шагу 3, чтобы удалить федеративное доверие с сервера AD FS.

Шаг 3. Обновление федеративного доверия на сервере AD FS

Предупреждение

Следующие шаги следует тщательно спланировать. Пользователи, для которых включена функция единого входа в федеративном домене, не смогут пройти проверку подлинности между выполнением шагов C и D. Если тест команды на Update-MSOLFederatedDomain шаге 2 не был успешно завершен, шаг D этой процедуры завершится неправильно. Федеративные пользователи не смогут пройти проверку подлинности, пока команда не будет успешно выполнена Update-MSOLFederatedDomain .

  1. Войдите в консоль сервера AD FS, выберите Запустить>все программы>Администрирование, а затем выберите AD FS (2.0) Управление.

  2. В области навигации слева выберите AD FS (2.0),отношения доверия, а затем — Отношения доверия с проверяющей стороной.

  3. В области справа удалите запись Microsoft Office 365 Identity Platform.

  4. Повторно создайте удаленный объект доверия с помощью переключателя -supportmultipledomain . В окне PowerShell, открытом на шаге 1C, выполните следующую команду и нажмите клавишу ВВОД:

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

Примечание.

В этой команде <федеративное доменное имя> — это имя домена, который уже включен в федерацию с облачной службой для единого входа.

Шаг 4. Добавление или преобразование дополнительных федеративных доменов с помощью -supportmultipledomain переключателя

После обновления существующего доверия на шаге 2 используйте параметр -supportmultipledomain, чтобы добавить или преобразовать дополнительные федеративные домены. Этот параметр информирует команду о необходимости использовать уникальное пространство имен URI для каждого домена, федеративного облачной службой. Для этого используйте один из следующих синтаксисов команд:

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

Примечание.

В этой команде доменное имя> представляет имя домена, <который вы пытаетесь включить в федерацию.

Обходной путь

Реализуйте ферму служб федерации AD FS для федерации каждого домена облачной службы, для которого будут использоваться функции единого входа. Рекомендации по реализации AD FS для Office 365 см. в следующей статье:

Пошаговое руководство по реализации. Планирование и развертывание службы федерации Active Directory (AD FS) 2.0 для использования с единым вхотором

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.