Verwenden des Tools Remote Connectivity Analyzer zur Behebung von Problemen mit der einmaligen Anmeldung für Microsoft 365, Azure oder Intune

  • Artikel
  • Gilt für::
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Einführung

In diesem Artikel wird beschrieben, wie Sie Probleme mit der einmaligen Anmeldung (Single Sign-On, SSO) in einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune mithilfe von Microsoft Remote Connectivity Analyzer diagnostizieren. Außerdem enthält sie Informationen zu den Ursachen für häufige SSO-Fehler und listet Links zu Ressourcen auf, um das Problem zu beheben.

Remote Connectivity Analyzer ist eine kostenlose Konnektivitätstestplattform für den cloudbasierten Dienst. Es überprüft die Verfügbarkeit des erforderlichen Verbunddienstendpunkts auf das erwartete Verhalten, indem es auf diese Dienste aus dem Internet einwirkt.

Weitere Informationen

Der Datenfluss jeder SSO-Kommunikation ist vorhersagbar. Das erwartete Datenflussmuster kann mit einer Erfassung des tatsächlichen Datenflusses verglichen oder mit diesem verglichen werden, der während eines fehlgeschlagenen SSO-Versuchs auftritt, um zu bestimmen, was mit dem Prozess möglicherweise falsch ist.

Ausführen der Remotekonnektivitätsanalyse zum Testen der SSO-Authentifizierung

Führen Sie die folgenden Schritte aus, um die Remotekonnektivitätsanalyse zum Testen der SSO-Authentifizierung auszuführen:

  1. Öffnen Sie einen Webbrowser, und navigieren Sie dann zu https://www.testconnectivity.microsoft.com/tests/SingleSignOn/input.

  2. Geben Sie Ihre Benutzer-ID und das Kennwort ein, aktivieren Sie das Kontrollkästchen Sicherheitsbestätigung, geben Sie den Prüfcode ein, und klicken Sie dann auf Test ausführen.

    Hinweis

    • Ihre Benutzer-ID ist Ihr Benutzerprinzipalname (UPN).
    • Sie müssen die tatsächlichen Anmeldeinformationen eingeben, die der SSO-Implementierung zugeordnet sind, die Sie testen.

    Screenshot der Seite

  3. Wenn der Konnektivitätstest nicht erfolgreich abgeschlossen wurde, erweitern Sie die Ergebnisstruktur Testdetails , indem Sie den Fehlersymbolen folgen, um den ersten Fehler zu identifizieren, der beim Test aufgetreten ist. Erweitern Sie für alle erkannten Fehlerzustände die Testergebnisstruktur auf den spezifischen Fehler, und klicken Sie dann auf Weitere Informationen zu diesem Problem und zur Behebung.

    In der folgenden Tabelle sind die Ursachen für häufige SSO-Fehler und Ressourcen aufgeführt, die Sie zur Behebung des Problems verwenden können.

    Testen Häufige Ursachen und Fehlerquellen Beschreibung Mögliche Lösungen
    Der Versuch, die Domänenregistrierung abzurufen und den Verbund status Informationen für den Benutzer zu überprüfen. Analysieren der für den Benutzer empfangenen Domänenregistrierung Bei der Domänenregistrierung wurde ein Fehler gefunden. Dies gibt an, dass die Domäne, die als UPN-Suffix des Benutzers verwendet wird, nicht als Verbund verwendet wurde. Erstellen Sie einen Verbund mit der UPN-Suffixdomäne. Behandeln von Problemen mit Domänenverbund und Benutzerkonten. Weitere Informationen finden Sie unter Behandeln von Kontoproblemen für Verbundbenutzer in Microsoft 365, Azure oder Intune. Aktualisieren Sie den UPN des Benutzers, um das richtige Verbunddomänensuffix zu verwenden. Weitere Informationen finden Sie unter Behandeln von Problemen mit dem Benutzernamen, die bei Verbundbenutzern auftreten, wenn sie sich bei Microsoft 365, Azure oder Intune anmelden.
    Es wird versucht, den eingegebenen Hostnamen aufzulösen. contoso.com in DNS Der Hostname konnte nicht aufgelöst werden. Die öffentliche DNS-Auflösung des AD FS-Dienstendpunkts schlägt fehl. Weitere Informationen zur Behandlung dieses Problems finden Sie unter Behandeln von Problemen beim Einrichten des einmaligen Anmeldens in Microsoft 365, Intune oder Azure. Weitere Informationen zu den Einschränkungen, wenn AD FS nicht verfügbar wird, finden Sie unter Unterstützte Szenarien für die Verwendung von AD FS zum Einrichten des einmaligen Anmeldens in Microsoft 365, Azure oder Intune .
    Testen von TCP-Port 443 auf dem Host sts.contoso.com, um sicherzustellen, dass er lauscht und geöffnet wird Der angegebene Port wird blockiert, lauscht nicht oder erzeugt nicht die erwartete Antwort. Mindestens einer der Dienste, für die die AD FS-Antwort beendet wurde, wurde beendet oder ist in irgendeiner Weise nicht verfügbar. Starten Sie die Dienste neu. Weitere Informationen finden Sie unter Internetbrowser kann die AD FS-Anmeldewebseite für Verbundbenutzer nicht anzeigen. Untersuchen Sie einen möglichen AD FS-Speicherverlust. Weitere Informationen finden Sie unter Der Fehlercode "500" wird zurückgegeben, wenn Sie eine HTTP SOAP-Anforderung an den Endpunkt "/adfs/services/trust/mex" auf einem Computer senden, auf dem Windows Server 2008 R2 oder Windows Server 2008 ausgeführt wird. Untersuchen von Problemen mit von der Firewall veröffentlichten AD FS-Diensts. Weitere Informationen finden Sie unter Behandeln von Verbindungsproblemen mit AD FS-Endpunkten, wenn sich Benutzer bei Microsoft 365, Intune oder Azure anmelden.
    Beim Abrufen von AD FS-Metadateninformationen aus der Metadatenaustausch-URL https://fed.contoso.com/adfs/services/trust/mex|ExRCA konnten keine AD FS-Metadaten abgerufen werden. Mindestens einer der Dienste, für die die AD FS-Antwort beendet, beendet wurde oder in irgendeiner Weise nicht verfügbar ist. Starten Sie die Dienste neu. Weitere Informationen finden Sie unter Internetbrowser kann die AD FS-Webseite nicht anzeigen, wenn ein Verbundbenutzer versucht, sich bei Microsoft 365, Azure oder Intune anzumelden. Untersuchen Sie Probleme mit dem AD FS-Proxyserver. Weitere Informationen finden Sie unter Behandeln von Ad FS-Endpunktverbindungsproblemen, wenn sich Benutzer bei Microsoft 365, Intune oder Azure anmelden. Untersuchen Sie einen möglichen AD FS-Speicherverlust. Weitere Informationen finden Sie unter Der Fehlercode "500" wird zurückgegeben, wenn Sie eine HTTP SOAP-Anforderung an den Endpunkt "/adfs/services/trust/mex" auf einem Computer senden, auf dem Windows Server 2008 R2 oder Windows Server 2008 ausgeführt wird.
    Überprüfen des Zertifikatnamens Fehler bei der Überprüfung des Zertifikatnamens. Probleme mit dem SSL-Zertifikat beschränken die AD FS-Authentifizierung. Beheben Sie die Probleme mithilfe des SSL-Zertifikats. Weitere Informationen finden Sie unter Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie versuchen, sich bei Microsoft 365, Azure oder Intune anzumelden.
    Die Zertifikatvertrauensstellung wird überprüft. Fehler bei der Überprüfung der Zertifikatvertrauensstellung. Probleme mit dem SSL-Zertifikat beschränken die AD FS-Authentifizierung. Beheben Sie die Probleme mithilfe des SSL-Zertifikats. Weitere Informationen finden Sie unter Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie versuchen, sich bei Microsoft 365, Azure oder Intune anzumelden.
    ExRCA versucht, sich beim Sicherheitstokendienst unter https://sts.contoso.com/adfs/services/trust/2005/usernamemixed zu authentifizieren. Vom Sicherheitstokendienst wurde eine SOAP-Fehlerantwort empfangen. Eine Web-Ausnahme ist aufgetreten, weil die Antwort HTTP 503 – Dienst nicht verfügbar von Unknown empfangen wurde. Die Authentifizierung bei AD FS-Endpunkten mithilfe der Verbundvertrauensstellung ist fehlerhaft. Überprüfen Sie die Verbundvertrauensstellung, und erstellen Sie sie neu. Weitere Informationen finden Sie unter Fehler "80041317" oder "80043431", wenn sich Verbundbenutzer bei Microsoft 365, Azure oder Intune anmelden. Überprüfen und beheben Sie die Probleme mit dem Tokensignaturzertifikat. Weitere Informationen finden Sie unter Fehler "Problem beim Zugriff auf die Website" von AD FS, wenn sich ein Verbundbenutzer bei Microsoft 365, Azure oder Intune anmeldet.

Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community oder zur Website Microsoft Entra Foren.