Ārējam lietotājam atkārtoti tiek piedāvāts ievadīt akreditācijas datus pierakstoties Office 365, Azure vai Intune

Atbalsta nodrošināšana operētājsistēmai Windows XP tika pārtraukta

Korporācija Microsoft pārtrauca operētājsistēmas Windows XP atbalsta nodrošināšanu 2014. gada 8.aprīlī. Šīs izmaiņas skāra programmatūras atjauninājumus un drošības opcijas. Uzziniet, kā tas ietekmēs jūs un kā nodrošināt aizsardzību arī turpmāk.

SVARĪGI! Šis raksts ir tulkots, izmantojot Microsoft mašīntulkošanas programmatūru, un, iespējams, labots, izmantojot tehnoloģiju Community Translation Framework (CTF). Korporācija Microsoft publicē gan ar mašīntulkošanas programmatūru tulkotus rakstus, ko pēc tam rediģējuši kopienas pārstāvji, gan arī tulkotāju tulkotus rakstus, lai visi zināšanu bāzes raksti būtu pieejami vairākās valodās. Ar mašīntulkošanas programmatūru tulkotajos un kopienas pārstāvju rediģētajos tekstos var būt vārdu izvēles, sintakses un/vai gramatikas kļūdas. Korporācija Microsoft neuzņemas atbildību ne par kādām neprecizitātēm, kļūdām vai kaitējumu, kas radies nepareiza satura tulkojuma vai tā izmantošanas dēļ. Papildinformācija par CTF ir pieejama šeit: http://support.microsoft.com/gp/machine-translation-corrections/lv.

Noklikšķiniet šeit, lai skatītu šī raksta versiju angļu valodā: 2461628
Svarīgi! Šajā rakstā ir informācija par to, kā samazināt drošības iestatījumus vai kā datorā izslēgt drošības līdzekļus. Šīs izmaiņas varat veikt, lai izvairītos no kādas noteiktas problēmas. Pirms izmaiņu veikšanas ieteicams novērtēt risku, kas saistīts ar šāda risinājuma izmantošanu konkrētā vidē. Ja izmantojat šo risinājumu, veiciet visas atbilstošās papilddarbības, kas palīdz aizsargāt datoru.
PROBLĒMAS
Ārējam lietotājam atkārtoti piedāvāts ievadīt akreditācijas datus, ja lietotājs mēģina pakalpojuma Active Directory Federācijas pakalpojums (AD FS) galapunkta pierakstoties Microsoft mākoņa pakalpojumu, piemēram, Office 365, Microsoft Azure vai Microsoft Intune autentifikāciju. Kad lietotājs tiek atcelts, lietotājam tiek parādīts šāds kļūdas ziņojums:
Piekļuve liegta
IEMESLS
Simptomu norāda problēmu ar AD FS integrētā Windows autentifikācija. Šī problēma var rasties, ja viens vai vairāki no šiem nosacījumiem ir spēkā:
  • Tika izmantots nepareizs lietotājvārds vai parole.
  • Interneta informācijas pakalpojumi (IIS) autentifikācijas iestatījumi ir iestatīti nepareizi AD FS.
  • pakalpojuma primārais vārds un uzvārds (SPN), kas saistīts ar pakalpojuma kontu, ko izmanto, lai palaistu AD FS Federācijas serveru ferma ir zaudēti vai bojāti.

    Piezīme Tas rodas tikai tad, ja ir ieviests AD FS kā Federācijas serveru ferma un nav ieviests programmā savrupās konfigurācijas.
  • Vienu vai vairākas no šīm darbībām ir apzīmēti ar autentifikācijas paplašinātā aizsardzība pret starpnieka uzbrukumiem avots:
    • Dažas trešo pušu interneta pārlūkprogrammas
    • Ugunsmūra korporatīvo tīklu, tīkla slodzes līdzsvarotāja vai citas tīkla ierīces publicēšanu AD FS integrācijas pakalpojumu interneta tā, ka IP lietderīgā slodze datu potenciāli pārrakstīt. Iespējams arī šāda veida dati:
      • drošligzdu slānis (SSL) pagaidu
      • Izmantojot SSL
      • Piesaistītajai pakešu filtrēšana

        Lai iegūtu papildinformāciju, skatiet šo Microsoft zināšanu bāze rakstu:
        2510193Atbalstītajiem scenārijiem, izmantojot AD FS iestatīt vienotā pierakstīšanās Office 365, Azure vai Intune
    • Pārraudzības SSL šifrēšanas lietojumprogramma ir instalēta vai darbojas klienta datorā
  • Domēnu nosaukumu sistēmas (DNS) izšķirtspēju AD FS pakalpojumu galapunkts tika veikta ar CNAME ieraksts uzmeklēšanas vietā izmantojot A A ieraksts meklēšanu.
  • integrētā Windows autentifikācija nodot AD FS serveris nav konfigurēts Windows Internet Explorer.

Pirms sākat problēmu novēršana

Pārbaudiet, ka lietotājvārds un parole nav problēmas cēlonis.
  • Pārliecinieties, vai tiek izmantots pareizs lietotājvārds un ir lietotāja pamatnosaukuma (UPN) formātā. Piemēram, johnsmith@contoso.com.
  • Pārliecinieties, vai tiek izmantots pareizo paroli. Veicāt dubultklikšķi, tiek izmantots pareizo paroli, jums var būt nepieciešams atiestatīt lietotāja paroli. Lai iegūtu papildinformāciju, skatiet šo Microsoft TechNet rakstu:
  • Pārliecinieties, vai konts nav bloķēts, beidzies vai izmantot ārpus noteiktā pieteikšanās laika. Lai iegūtu papildinformāciju, skatiet šo Microsoft TechNet rakstu:

Pārbaudiet, vai izraisīt

Pārbaudīt, Kerberos problēmas rada problēmu, īslaicīgi apiet, nodrošinot autentifikāciju, kuras pamatā tiek izmantotas veidlapas, AD FS Federācijas serveru ferma Kerberos autentifikāciju. Lai to izdarītu, izpildiet tālāk norādītās darbības.

1. darbība: Rediģējiet failu Web. config katram serverim AD FS Federācijas serveru ferma
  1. Programmā Windows Explorer atrodiet mapi C:\inetpub\adfs\ls\ un pēc tam izveidojiet tā dublējumkopija failu Web. config.
  2. Noklikšķiniet uz Sākt, noklikšķiniet uz Visas programmas, piederumi, ar peles labo pogu noklikšķiniet uz Piezīmjbloksun pēc tam noklikšķiniet uz Palaist kā administratoram.
  3. Par failu izvēlnē noklikšķiniet uz Atvērt. Ar faila vārds un uzvārds ierakstietC:\inetpub\adfs\ls\web.config, un pēc tam noklikšķiniet uz Atvērt.
  4. Failā Web. config, rīkojieties šādi:
    1. Atrodiet adreses rindiņa, kurā ir <authentication mode=""> </authentication>, un pēc tam nomainiet to <authentication mode="Forms"> </authentication>.
    2. Atrodiet sadaļu, kas sākas ar <localAuthenticationTypes> </localAuthenticationTypes>, un pēc tam nomainiet sadaļu, lai <add name="Forms"></add> ievadne tiek rādīta, šādi:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Par failu izvēlnē noklikšķiniet uz saglabāt.
  6. Priviliģētā komandu uzvednē, izmantojot komandu iisreset restartējiet IIS.
2. darbība: Testa AD FS funkcionalitāte
  1. Klienta datorā, kurā ir pievienota un lokālas atļauts pierakstīties portālā mākoņa pakalpojumu AD DS vidē.

    Vienotā autentifikācijas pieredzi, nevis formu pierakstīšanās ir pieredzējis. Ja pieteikšanās ir veiksmīga, izmantojot autentifikāciju, kuras pamatā tiek izmantotas veidlapas, tas apstiprina, ka pastāv problēma ar Kerberos pakalpojumā AD FS Federācijas.
  2. Atgriezties katram serverim serveru ferma AD FS Federācijas iepriekšējo autentifikācijas iestatījumu konfigurāciju, pirms veicat darbības sadaļā "Risinājums". Lai atgrieztos katram serverim AD FS Federācijas serveru ferma konfigurēšana, rīkojieties šādi:
    1. Programmā Windows Explorer atrodiet mapi C:\inetpub\adfs\ls\ un pēc tam izdzēsiet failu Web. config.
    2. Pārvietot dublēšanas ietvaros izveidoto failu Web. config "1. darbība: rediģējiet failu Web. config katram serverim AD FS Federācijas serveru fermas" sadaļā C:\inetpub\adfs\ls\ mapē.
  3. Priviliģētā komandu uzvednē, izmantojot komandu iisreset restartējiet IIS.
  4. Pārbaudiet, ka AD FS autentifikācijas darbība tiek atgriezta sākotnējā problēma.
RISINĀJUMS
Lai atrisinātu problēmu Kerberos autentifikācijas AD FS ierobežo, atbilstoši situācijai izmantojiet vienu vai vairākas no šīm metodēm.

1. risinājums: Reset AD FS autentifikācijas iestatījumus noklusējuma vērtības

Ja AD FS IIS autentifikācijas iestatījumi ir nepareizi vai AD FS Federācijas un starpniekservera pakalpojumiem IIS autentifikācijas iestatījumi nesakrīt, viens risinājums ir AD FS noklusējuma iestatījumu atiestatīšana visas IIS autentifikācijas iestatījumi.

Noklusējuma autentifikācijas iestatījumi ir norādīti šajā tabulā.
Virtuālais lietojumprogrammasAutentifikācijas līmeni (līmeņus)
Noklusējuma vietnes/adfsanonīmā autentifikācija
Noklusējuma vietnes/adfs/lsanonīmā autentifikācija
Windows autentifikācija
Katrā serverī AD FS Federācijas un katras AD FS Federācijas servera starpniekservera izmantošana informācija šajā rakstā Microsoft TechNet AD FS IIS virtuālās lietojumprogrammas autentifikācijas noklusējuma iestatījumu atiestatīšana:Lai iegūtu papildinformāciju par to, kā novērst šo kļūdu, skatiet šos Microsoft zināšanu bāze rakstus:
907273 Problēmu novēršana programmā IIS HTTP 401 kļūdas

871179 Tiek parādīts "HTTP kļūda 401.1 — neautorizēts: dēļ Nederīgs akreditācijas datu piekļuve ir liegta" kļūdas ziņojums, mēģinot piekļūt tīmekļa vietnei, kas ir daļa no IIS 6.0 lietojumprogrammu pūls

2. risinājums: Labot AD FS Federācijas serveru ferma SPN

Piezīme. Veidojot šo risinājumu tikai AD FS ir ieviests kā Federācijas serveru ferma. Vai mēģināt šo risinājumu AD FS savrupu konfigurāciju.

Lai novērstu šo problēmu, ja SPN AD FS pakalpojumam ir zaudēti vai bojāti AD FS pakalpojuma kontu, veiciet šīs darbības vienā serverī AD FS Federācijas serveru fermas:
  1. Atveriet pakalpojumu pārvaldības papildprogrammu. Lai to izdarītu, noklikšķiniet uz Sākt, noklikšķiniet uz Visas programmas, noklikšķiniet uz Administratīvie rīkiun pēc tam noklikšķiniet uz pakalpojumi.
  2. Veiciet dubultklikšķi uz AD FS (2.0) Windows pakalpojumu.
  3. Par pieteikšanās Iegaumējiet pakalpojuma kontu, tiek parādīts Šis konts.
  4. Noklikšķiniet uz Sākt, noklikšķiniet uz Visas programmas, piederumi, ar peles labo pogu noklikšķiniet uz komandu uzvedneun pēc tam noklikšķiniet uz Palaist kā administratoram.
  5. Tips SetSPN-f-q host /<AD fs="" service="" name=""></AD>, un pēc tam nospiediet taustiņu Enter.

    Piezīme. Šajā komandā <AD fs="" service="" name=""></AD> apzīmē AD FS pakalpojumu galapunkta pilnu domēna nosaukums (FQDN) pakalpojuma vārds un uzvārds. Tas nenorāda Windows AD FS servera resursdatora nosaukumu.
    • Ja komandai tiek atgriezts vairāk nekā viens ieraksts un rezultāts ir saistīts ar lietotāja kontu, nevis 3. darbībā tika norādīts, noņemiet, asociācija. Lai to paveiktu, izpildiet šādu komandu:
      SetSPN-d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Ja vairāk nekā viens ieraksts tiek atgriezta komandu un SPN izmanto to pašu vārdu AD FS servera Windows datora nosaukumu, AD FS Federācijas galapunkta vārds un uzvārds nav pareiza. AD FS ir ieviests vēlreiz. AD FS Federācijas serveru ferma FQDN nedrīkst būt identisks esošu serveri Windows resursdatora nosaukumu.
    • Ja SPN jau nepastāv, izpildiet šādu komandu:
      SetSPN-host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Piezīme. Šajā komandā <username of="" service="" account=""></username> nozīmē lietotāja vārdu, tika atzīmēts 3. darbībā.
  6. Pēc šīs darbības tiek veiktas visas AD FS Federācijas serveru ferma serveros, pakalpojumu pārvaldības papildprogrammā ar peles labo pogu noklikšķiniet uz Windows pakalpojumu AD FS (2.0) un pēc tam noklikšķiniet uz Restartēt.

3. risinājums: Autentifikācijas problēmas novērstu paplašinātā aizsardzība

Lai atrisinātu problēmu, ja paplašinātā aizsardzība autentifikācijai novērš veiksmīgu autentifikāciju, izmantojiet vienu no piedāvātajām metodēm:
  • 1. metode: izmantot pārlūkprogrammu Windows Internet Explorer 8 (vai jaunāku programmas versiju) pierakstīties.
  • 2. metode: AD FS pakalpojumu publicēšana interneta pagaidu SSL, izmantojot SSL vai piesaistītajai pakešu filtrēšana nav pārrakstīt IP lietderīgā slodze datu veidā. Labākās prakses ieteikumu šim nolūkam ir jāizmanto starpniekserveris AD FS.
  • 3. metode: izslēgt vai atspējot pārraudzības vai SSL neatšifrējot lietojumprogrammas.
Ja nevarat izmantot kādu no šīm metodēm, lai novērstu šo problēmu, paplašinātā aizsardzība autentifikācija var atspējot pasīvu un aktīvu klientiem.

Problēmas risinājums: Disable Paplašinātā aizsardzība autentifikācija

Brīdinājums Nav ieteicams izmantot šo procedūru kā ilglaicīgu risinājumu. Atspējošanas paplašinātā aizsardzība autentifikācijai mazina AD FS pakalpojuma drošības profilu, neuztver integrētā Windows autentifikācija galapunktu noteiktas pret starpnieka uzbrukumiem.

Piezīme. trešā puse lietojumprogrammu funkcionalitāte pieprasot šo risinājumu, arī jāatinstalē labojumfailus operētājsistēmā klienta autentifikācijai aizsardzībai paplašinātā. Lai iegūtu papildinformāciju par labojumfailu, skatiet šajā Microsoft zināšanu bāze rakstā:
968389 Paplašinātā aizsardzība autentifikācija
Pasīvā klientiem
Lai atspējotu paplašinātā aizsardzība autentifikācijai pasīvu klientiem, veiciet tālāk aprakstītās darbības šo IIS virtuālā lietojumprogrammu visos serveros AD FS Federācijas serveru fermas:
  • Noklusējuma vietnes/adfs
  • Noklusējuma vietnes/adfs/ls
Lai to izdarītu, izpildiet tālāk norādītās darbības.
  1. Atveriet IIS pārvaldnieku un atrodiet līmeni, kuru vēlaties pārvaldīt. Papildinformāciju par IIS pārvaldnieku atvēršanu skatiet Atveriet IIS pārvaldnieku (IIS 7).
  2. Līdzekļu skatā veiciet dubultklikšķi uz autentifikāciju.
  3. Autentifikācijas lapā atlasiet Windows autentifikācija.
  4. Rūtī darbības noklikšķiniet uz Papildu iestatījumi.
  5. Tiek parādīts dialoglodziņš Papildu iestatījumus , izvēlieties izslēgtnoExtended Protection nolaižamajā izvēlnē.
Aktīvā klientiem
Lai atspējotu aktīvo klientu autentifikācijas aizsardzību paplašinātā, veiciet tālāk aprakstītās darbības primārais AD FS serverī:
  1. Atveriet Windows PowerShell.
  2. Palaidiet tālāk norādīto komandu ielādēt Windows PowerShell AD FS papildprogrammas.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Palaidiet tālāk norādīto komandu atspējot paplašinātā aizsardzība autentifikācijai.
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Atkārtoti iespējot paplašināto aizsardzības autentifikācija

Pasīvā klientiem
Lai atkārtoti iespējotu paplašinātā aizsardzība autentifikācijai pasīvu klientiem, veiciet tālāk aprakstītās darbības šo IIS virtuālā lietojumprogrammu visas AD FS Federācijas serveru ferma serveros:
  • Noklusējuma vietnes/adfs
  • Noklusējuma vietnes/adfs/ls
Lai to izdarītu, izpildiet tālāk norādītās darbības.
  1. Atveriet IIS pārvaldnieku un atrodiet līmeni, kuru vēlaties pārvaldīt. Papildinformāciju par IIS pārvaldnieku atvēršanu skatiet Atveriet IIS pārvaldnieku (IIS 7).
  2. Līdzekļu skatā veiciet dubultklikšķi uz autentifikāciju.
  3. Autentifikācijas lapā atlasiet Windows autentifikācija.
  4. Rūtī darbības noklikšķiniet uz Papildu iestatījumi.
  5. Kad tiek parādīts dialoglodziņš Papildu iestatījumus , Paplašinātā aizsardzība nolaižamajā izvēlnē atlasiet Akceptēt.
Aktīvā klientiem
Lai atjaunotu autentifikācijas aktīvo klientu aizsardzība paplašinātā, veiciet tālāk aprakstītās darbības primārais AD FS serverī:
  1. Atveriet Windows PowerShell.
  2. Palaidiet tālāk norādīto komandu ielādēt Windows PowerShell AD FS papildprogrammas.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Palaidiet tālāk norādīto komandu iespējot paplašinātā aizsardzība autentifikācijai.
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

4. risinājums: Nomainiet CNAME ierakstus ar AD FS ieraksti.

DNS pārvaldības rīku izmantot, lai aizstātu ierakstam DNS Alias (CNAME) ir izmantojis integrācijas pakalpojumu DNS adrese () A ieraksts. Arī pārbaudīt, vai uzņēmuma DNS iestatījumu apsvērtu split-brain DNS konfigurācija ir ieviests. Lai iegūtu papildinformāciju par to, kā pārvaldīt DNS ierakstus, apmeklējiet šo Microsoft TechNet vietni:

Izšķirtspēja 5: Internet Explorer iestatīt AD FS klientu vienotā pierakstīšanās (SSO)

Papildinformāciju par to, kā iestatīt Internet Explorer AD FS iegūšanai skatiet šajā Microsoft zināšanu bāze rakstā:
2535227Ārējam lietotājam tiek negaidīti piedāvāts ievadīt savu darbu vai mācību konta akreditācijas dati
PAPILDINFORMĀCIJA
Lai aizsargātu tīkla, AD FS izmanto paplašinātā aizsardzība autentifikācija. Paplašinātā aizsardzība autentifikācija var palīdzēt novērst pret starpnieka uzbrukumiem, kad uzbrucējs pārtver klienta akreditācijas datus un pārsūta tās uz serveri. Aizsardzība pret šādiem uzbrukumiem ir iespējama, izmantojot kanālu saistīšana Works (datorizētās mācības). Datorizētās mācības var nepieciešams, atļauts vai nav nepieciešams serveris, tiek izveidotas sakarus ar klientiem.

ExtendedProtectionTokenCheck AD FS iestatījums norāda paplašinātā atbalsta integrācijas servera autentifikācijas aizsardzības līmeni. Tie ir pieejami šo iestatījumu vērtības:
  • Nepieciešams: serveris ir pilnībā rūdīts. Paplašinātā aizsardzība ir ieviesta.
  • Atļaut: Šis ir noklusējuma iestatījums. Serveris ir daļēji izturīgi. Paplašinātā aizsardzība tiek ieviesta saistītās sistēmas, kas ir mainīti atbalsta šo līdzekli.
  • None: serveris ir aizsargāti. Paplašinātā aizsardzība nav ieviesta.
Šajā tabulā ir aprakstīts, kā darbojas trīs operētājsistēmas un pārlūkprogrammas atkarībā no dažādiem paplašinātā aizsardzība opcijas, kas pieejamas uz AD FS programmā IIS autentifikācijas.

Piezīme. Windows klienta operētājsistēmām jābūt konkrētu atjauninājumus, kas jāinstalē efektīvāk izmantot paplašināto aizsardzības līdzekļiem. pēc noklusējuma ir iespējots līdzeklis, AD FS. Šie atjauninājumi ir pieejami no šī Microsoft zināšanu bāze rakstu:
968389 Paplašinātā aizsardzība autentifikācija
pēc noklusējuma sistēmā Windows 7 iekļauti atbilstošo bināro komponentu izmantot paplašinātā aizsardzība.

Windows 7 (vai atbilstoši atjauninātās versijas Windows Vista vai Windows XP)
IestatījumsNepieciešamsAtļaut (noklusējums)Nav
Windows Communication
Foundation (WCF) klienta (visi galapunktu)
WorksWorksWorks
8and Internet Explorer jaunākās versijasWorksWorksWorks
Firefox 3.6KļūmeKļūmeWorks
Safari 4.0.4KļūmeKļūmeWorks
Windows Vista bez atbilstošos atjauninājumus
IestatījumsNepieciešamsAtļaut (noklusējums)Nav
WCF klienta (visi galapunktu)KļūmeWorksWorks
8and Internet Explorer jaunākās versijasWorksWorksWorks
Firefox 3.6KļūmeWorks Works
Safari 4.0.4KļūmeWorks Works
Windows XP bez atbilstošos atjauninājumus
IestatījumsNepieciešamsAtļaut (noklusējums)Nav
8and Internet Explorer jaunākās versijasWorksWorksWorks
Firefox 3.6KļūmeWorks Works
Safari 4.0.4KļūmeWorks Works
Lai iegūtu papildinformāciju par paplašinātā aizsardzība autentifikāciju, skatiet Microsoft resursos:
968389 Paplašinātā aizsardzība autentifikācija
Papildinformāciju par cmdlet Kopa ADFSProperties skatiet šajā Microsoft vietnē:

Vēl arvien ir nepieciešama palīdzība? Dodieties uz Office 365 Kopiena vietnes vai Azure Active Directory Forums tīmekļa vietni.

Šajā rakstā minētos trešo pušu produktus ražo no korporācijas Microsoft neatkarīgi uzņēmumi. Korporācija Microsoft nesniedz nekādas netiešas vai citādas garantijas par šo produktu veiktspēju vai uzticamību.

Brīdinājums: šis raksts ir tulkots automātiski

Rekvizīti

Raksta ID: 2461628. Pēdējo reizi pārskatīts: 01/14/2016 19:56:00. Pārskatījums: 21.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtlv
Atsauksmes