Fel när du försöker konfigurera en annan federerad domän i Office 365, Azure eller Intune: Federationstjänstidentifierare som anges i AD FS 2.0-servern används redan

  • Artikel

Den här artikeln innehåller information om hur du löser ett problem där du får ett felmeddelande när du kör New-MSOLFederatedDomain kommandot eller Convert-MSOLDomainToFederated kommandot med hjälp av Azure Active Directory-modulen för Windows PowerShell.

Ursprunglig produktversion: Cloud Services (webbroller/arbetsroller), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprungligt KB-nummer: 2618887

Obs!

Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Symptom

I en Microsoft-molntjänst som Office 365, Microsoft Azure eller Microsoft Intune kan du inte konfigurera en andra federerad domän på en Active Directory Federation Services (AD FS) -server (AD FS). När du använder Azure Active Directory-modulen för Windows PowerShell för att köra New-MSOLFederatedDomain kommandot eller Convert-MSOLDomainToFederated kommandot får du följande felmeddelande:

Federationstjänstidentifieraren som anges i Active Directory Federation Services (AD FS) 2.0-servern används redan. Korrigera det här värdet i AD FS 2.0-hanteringskonsolen och kör kommandot igen.

Orsak

Det Microsoft Entra autentiseringssystemet kräver en unik URI (Federation Brand Uniform Resource Identifier) för varje federerad domän. Som standard använder AD FS ett globalt värde för alla federerade förtroenden. När du försöker federera en andra domän i ett scenario där det redan finns ett federerat förtroende misslyckas begäran eftersom URI:n redan används.

Åtgärd

För att lösa problemet måste du använda växeln -supportmultipledomain för att lägga till eller konvertera alla domäner som är federerade av molntjänsten. Detta inkluderar federerade domäner som redan finns.

Steg 1: Installera Samlad uppdatering 1 för AD FS 2.0

På varje nod i AD FS 2.0 Federation Service-servergruppen laddar du ned och installerar Samlad uppdatering 1 för AD FS 2.0. Mer information om hur du laddar ned och installerar Samlad uppdatering 1 för AD FS 2.0 finns i Beskrivning av samlad uppdatering 1 för Active Directory Federation Services (AD FS) (AD FS) 2.0.

Obs!

Den här uppdateringen kräver en omstart av datorn. Om du inte startar om datorn får du felet "Tyvärr, men vi har problem med att logga in dig" och "8004789A" när en federerad användare försöker logga in på Office 365, Azure eller Intune.

Steg 2: Kontrollera att Update-MSOLFederatedDomain kommandot kan köras mot AD FS-miljön

  1. Välj Starta>alla program>Windows Azure Active Directory, högerklicka på Windows Azure Active Directory-modulen för Windows PowerShell och välj Kör som administratör.

  2. Kör följande kommandon i den ordning de visas i kommandotolken. Tryck på Retur efter varje kommando.

    Connect-MSOLService

    Obs!

    När du uppmanas att göra det anger du autentiseringsuppgifterna för molntjänstens globala administratör.

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

    Obs!

    I det här kommandot <är AD FS 2.0-servernamnet> datornamnet för en nod i AD FS Federation Service-servergruppen.

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    Obs!

    I det här kommandot <är Federerat domännamn> namnet på domänen som redan är federerad med Microsoft Entra ID för enkel inloggning (SSO).

  3. Update-MSOLFederatedDomain Om kommandot lyckas och du inte får några felmeddelanden går du till steg 3 för att ta bort det federerade förtroendet från AD FS-servern.

Steg 3: Uppdatera det federerade förtroendet på AD FS-servern

Varning

Följande steg bör planeras noggrant. Användare för vilka SSO-funktioner är aktiverade i den federerade domänen kan inte autentiseras mellan slutförandet av steg C och D. Om kommandotestet Update-MSOLFederatedDomain i steg 2 inte slutfördes korrekt slutförs inte steg D i den här proceduren korrekt. Federerade användare kan inte autentisera Update-MSOLFederatedDomain förrän kommandot kan köras.

  1. Logga in på konsolen för AD FS-servern, välj Starta>alla program>Administrativa verktyg och välj sedan AD FS (2.0) Hantering.

  2. I det vänstra navigeringsfönstret väljer du AD FS (2.0),förtroenderelationer och sedan Förlitande partsförtroenden.

  3. Ta bort posten Microsoft Office 365 Identity Platform i fönstret till höger.

  4. Återskapa det borttagna förtroendeobjektet med hjälp av växeln -supportmultipledomain . I PowerShell-fönstret som är öppet från steg 1C kör du följande kommando och trycker sedan på Retur:

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

Obs!

I det här kommandot <är federerat domännamn> namnet på den domän som redan är federerad med molntjänsten för enkel inloggning.

Steg 4: Använd växeln -supportmultipledomain för att lägga till eller konvertera ytterligare federerade domäner

När du har uppdaterat det befintliga förtroendet i steg 2 använder du växeln -supportmultipledomain för att lägga till eller konvertera ytterligare federerade domäner. Den här växeln informerar kommandot om att använda ett unikt URI-namnområde för varje domän som federeras av molntjänsten. Det gör du genom att använda någon av följande kommandosyntaxer:

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

Obs!

I det här kommandot <representerar domännamnet> namnet på den domän som du försöker federera.

Lösning

Implementera en AD FS Federation Service-servergrupp för att federera alla molntjänstdomäner som SSO-funktioner ska användas för. Ad FS-implementeringsvägledning för Office 365 finns i följande artikel:

Stegvis implementeringsvägledning: Planera för och distribuera Active Directory Federation Services (AD FS) 2.0 för användning med enkel inloggning

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.