Устранение неполадок с подключением к конечной точке AD FS при входе пользователей в Microsoft 365, Intune или Azure
Проблема
Когда пользователи входят в облачную службу Майкрософт, например Microsoft 365, Microsoft Intune или Microsoft Azure, используя федеративную учетную запись пользователя, подключение к службе службы федерации Active Directory (AD FS) (AD FS) завершается сбоем только в том случае, если пользователи пытаются выполнить следующие действия.
- Подключение из удаленного расположения в Интернете
- Использование подключений по электронной почте для входа
Эта ситуация также приводит к сбою тестирования единого входа, которое выполняет анализатор удаленного подключения.
Дополнительные сведения о запуске анализатора удаленного подключения для проверки проверки подлинности единого входа в Microsoft 365 см. в следующих статьях базы знаний Майкрософт:
- 2650717 Как использовать анализатор удаленного подключения для устранения проблем с единым входом в Microsoft 365, Azure или Intune
- 2466333 федеративным пользователям не удается подключиться к почтовому ящику Exchange Online
Причина
Эти сбои могут возникать, если служба AD FS не предоставлена в Интернете должным образом. Обычно для этой цели используется прокси-сервер AD FS, и проблемы с прокси-сервером AD FS вызывают эти симптомы. Ниже перечислены распространенные проблемы.
SSL-сертификат с истекшим сроком действия, назначенный прокси-серверу AD FS
Часто один и тот же SSL-сертификат используется для защиты обмена данными (HTTPS) как для службы федерации AD FS, так и для прокси-сервера AD FS. Когда срок действия этого сертификата истек, а сертификат обновляется или обновляется на ферме служб федерации AD FS, SSL-сертификат также необходимо обновить на всех прокси-серверах AD FS. Если SSL-сертификат прокси-сервера AD FS в этом случае не обновляется, подключение к Интернету к службе AD FS может завершиться ошибкой, даже если служба федерации AD FS работоспособна.
Неправильная конфигурация конечных точек проверки подлинности IIS
Роль прокси-сервера AD FS заключается в получении обмена данными через Интернет, направленных на AD FS, и для передачи этого сообщения в службу федерации AD FS. Поэтому важно, чтобы параметры проверки подлинности IIS службы федерации AD FS и прокси-сервера были взаимодополняющими. Если параметры проверки подлинности iis прокси-сервера AD FS не заданы в дополнение к параметрам проверки подлинности СЛУЖБЫ федерации AD FS, вход может завершиться ошибкой или вызвать несколько непредвиденных запросов.
Нарушено доверие между прокси-сервером AD FS и службой федерации AD FS
Служба прокси-сервера AD FS предназначена для установки на компьютере, не присоединенном к домену. Таким образом, обмен данными между прокси-сервером AD FS и службой федерации AD FS не может быть основан на доверии Active Directory или учетных данных. Вместо этого связь между этими двумя ролями сервера устанавливается с помощью маркера, который выдается прокси-серверу AD FS службой федерации AD FS и подписывается сертификатом подписи маркеров AD FS. Если срок действия этого доверия истек или недопустим, служба прокси-сервера AD FS не может ретранслировать запросы AD FS, и доверие необходимо перестроить для восстановления функциональных возможностей.
Решение
Чтобы устранить эту проблему, используйте один из следующих методов на всех неисправных прокси-серверах AD FS.
Способ 1. Устранение проблем с SSL-сертификатом AD FS на сервере AD FS
Для этого выполните следующие действия:
Устранение проблем с SSL-сертификатами в службе федерации AD FS (не в прокси-службе) с помощью следующей статьи базы знаний Майкрософт:
2523494 при попытке входа в Microsoft 365, Azure или Intune вы получаете предупреждение о сертификате от AD FS.
Если SSL-сертификат службы федерации AD FS работает правильно, обновите SSL-сертификат на прокси-сервере AD FS с помощью функций экспорта и импорта сертификатов. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
179380 Удаление, импорт и экспорт цифровых сертификатов
Способ 2. Сброс параметров проверки подлинности iis прокси-сервера AD FS до значения по умолчанию
Для этого выполните действия, описанные в решении 1 следующей статьи базы знаний Майкрософт для прокси-сервера AD FS:
2461628 Федеративный пользователь неоднократно запрашивает учетные данные при входе в Microsoft 365, Azure или Intune
Способ 3. Повторное запуск мастера настройки прокси-сервера AD FS
Для этого повторно запустите мастер настройки прокси-сервера федерации AD FS из интерфейса администрирования всех затронутых прокси-серверов AD FS.
Примечание.
Обычно при повторном запуске мастера настройки появляется предупреждение от шага "Развертывание веб-сайта для входа в браузер". Это не означает, что мастер не перестроил доверие между прокси-сервером AD FS и службой федерации AD FS.
Дополнительная информация
Дополнительные сведения о том, как предоставить службу AD FS в Интернете с помощью прокси-сервера AD FS, перейдите на следующий веб-сайт Майкрософт:
Планирование и развертывание AD FS 2.0 для использования с единым вхоздом
Требуется дополнительная помощь? Зайдите на сайт сообщества Майкрософт.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе:Отправить и просмотреть отзыв по