Applies ToOffice Products Cloud Services (Web roles/Worker roles) Azure Active Directory Microsoft Intune Azure Backup Identity Management

IEVADS

Šajā rakstā aprakstīts, kā novērst vienotās pierakstīšanās problēmas Microsoft mākoņa pakalpojumā, piemēram, Office 365, Microsoft Intune vai Microsoft Azure. detalizēti norādījumi par vienotās pierakstīšanās (SSO) ir pieejami Azure Active Directory (Azure AD) palīdzības dokumentācijā. Ja rodas problēmas, iestatot SSO, izmantojot šos norādījumus, varat skatīt šo rakstu. Tajā ir paredzēts ceļvedis, kas palīdzēs novērst biežāk sastopamās problēmas ar katru iestatīšanas darbību.

PROCEDŪRU

Kā novērst SSO iestatīšanu

1. darbība: Active Directory sagatavošana

Iestatīšanas norādījumi

Dodieties uz šo Microsoft tīmekļa vietni:

Sagatavošanās vienotās pierakstīšanās vajadzībām

1. darbības validācija

Izmantojiet direktorija sinhronizēšanas iestatīšanas diagnostikas vedņa novērtēšanas vedni, lai skenētu Active Directory par problēmām, kas var izraisīt direktorija sinhronizēšanas problēmas.

Problēmu novēršana saistībā ar 1. darbības validāciju

  1. Piezīme. Nepareizs Active Directory vai kļūdas novēršanas problēmu novēršana var izraisīt direktorija sinhronizēšanas problēmas. Izpildiet problēmu novēršanas norādījumus, ko sniedz direktorija sinhronizēšanas iestatīšanas diagnostikas vedņa novērtēšana, lai novērstu problēmas, un pārliecinieties, vai diagnostikas vednis darbojas bez kļūdām. Tādējādi tiek novērstas tālāk norādītās problēmas, kas rodas vēlāk.

    • 2392130 Problēmu novēršana saistībā ar lietotāju vārdiem, kas rodas integrētās lietotājiem, pierakstoties pakalpojumā Office 365, Azure vai Intune

    • 2001616 Lietotāja Office 365 e-pasta adrese negaidīti satur pasvītrojuma rakstzīmi pēc direktorija sinhronizēšanas

    • 2643629 Vienu vai vairākus objektus nevar sinhronizēt, izmantojot Azure Active Directory sinhronizēšanas rīku

  2. Atkārtojiet diagnostikas vedni, lai pārliecinātos, vai problēma ir novērsta.

2. darbība: Active Directory Federācijas pakalpojums (AD FS) arhitektūra

Iestatīšanas norādījumi Dodieties uz tālāk norādītajām Microsoft vietnēm. Piezīmes Microsoft atbalsts nepalīdzēs klientiem izpildīt uzstādīšanas norādījumus šajās saitēs.

3. darbība: Azure Active Directory modulis Windows PowerShell darbam ar SSO

Iestatīšanas norādījumi

Dodieties uz šo Microsoft tīmekļa vietni:

Vienotās pierakstīšanās Windows PowerShell instalēšana, izmantojot AD FS

3. darbības validācija

Lai validētu Azure Active Directory moduli, kas paredzēts Windows PowerShell sistēmai SSO, veiciet tālāk norādītās darbības.

  1. Palaidiet Azure Active Directory moduli darbam ar Windows PowerShell kā administrators.

  2. Ierakstiet šīs komandas un pārliecinieties, vai pēc katras komandas ievadīšanas jānospiež taustiņš ENTER:

    1. $cred=Get-Credential Piezīmes Pēc uzaicinājuma ierakstiet mākoņa pakalpojuma administratora akreditācijas datus.

    2. Connect-MsolService -Credential $cred 

      Piezīme.Šī komanda savieno jūs ar Azure AD. Jums ir jāizveido konteksts, kas savieno jūs ar Azure AD, pirms veicat kādu no papildu cmdlet, ko instalē Windows PowerShell Azure Active Directory modulis.

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Piezīmes.

      • Ja esat instalējis Azure Active Directory moduli Windows PowerShell primārajā Active Directory Federācijas pakalpojumu (AD FS) serverī, jums nav jādarbina šis cmdlet.

      • Šajā komandā viettura <ad fs 2,0 primārajā serverī> ir galvenā AD FS servera iekšējā pilnais domēna nosaukums (FQDN). Šī komanda izveido kontekstu, kas savieno jūs ar AD FS.

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Piezīme. Šajā komandā viettura <Federatīvajām domain name> norāda tā domēna nosaukumu, kas tika Federatīvajām uzstādīšanas darbībās.

  3. Salīdziniet pirmo pusi (avots: AD FS serveris) un pēdējo pusi (avots: Microsoft Office 365), kas tiek rādīta, veicot 2D darbību MSOLFederationProperty . Visiem ierakstiem, izņemot avotu un FederationServiceDisplayName , ir jāatbilst. Ja tās nesakrīt, izmantojiet tālāk norādītās Microsoft zināšanu bāzes raksta sadaļu "risinājums", lai atjauninātu paļaujotās puses uzticamības datus:2647020 "Diemžēl ir radušās problēmas ar pierakstīšanos" un "80041317" vai "80043431", ja ārējs lietotājs mēģina pierakstīties pakalpojumā Office 365, Azure vai Intune

Problēmu novēršana saistībā ar validācijas darbību 3. darbībāLai novērstu problēmas, veiciet tālāk norādītās darbības.

  1. Tipisku validācijas problēmu novēršana, atbilstoši situācijai izmantojot tālāk norādītos Microsoft zināšanu bāzes rakstus.

    • 2461873 Nevar atvērt Azure Active Directory moduli, kas paredzēts Windows PowerShell

    • 2494043Nevar izveidot savienojumu, izmantojot Azure Active Directory moduli, kas paredzēts Windows PowerShell

    • 2587730 "izmantojot Set-MsolADFSContext cmdlet, tiek parādīts kļūdas ziņojums par to, <ka ir> Active Directory federācijas pakalpojumu 2,0 Server neizdevās"

    • 2279117 Administrators nevar pievienot domēnu Office 365 kontam

    • Kļūda, palaižot jauno-MsolFederatedDomain cmdlet otro reizi, jo domēna verifikācija neizdosies. Papildinformāciju par šo scenāriju skatiet šajā zināšanu bāzes rakstā:

      2515404 Domēna verifikācijas problēmu novēršana sistēmā Office 365

    • 2618887 "Federācijas pakalpojuma identifikators, kas norādīts AD FS 2,0 serverī, jau tiek izmantots". kļūda, kad mēģināt iestatīt citu Office 365, Azure vai Intune domēna ārējo domēnu

    • Laika problēmas izraisa problēmas ar jauno-MSOLFederatedDomain cmdlet vai convert-MSOLDomainToFederated cmdlet. Papildinformāciju par šo scenāriju skatiet šajā zināšanu bāzes rakstā:

      2578667 "Diemžēl ir radušās problēmas ar pierakstīšanos" un "80045 c 06", ja ārējs lietotājs mēģina pierakstīties pakalpojumā Office 365, Azure vai Intune

  2. Atkārtojiet validācijas darbības, lai pārbaudītu, vai problēma ir novērsta.

4. darbība: Active Directory sinhronizācijas implementēšana

Iestatīšanas norādījumi

Dodieties uz tālāk norādītajām Microsoft vietnēm.

4. darbības validācija

Lai validētu, veiciet tālāk norādītās darbības.

  1. Palaidiet Azure Active Directory moduli darbam ar Windows PowerShell kā administrators.

  2. Ierakstiet šīs komandas. Pēc katras komandas ievadīšanas noteikti nospiediet taustiņu ENTER.

    1. $cred=Get-Credential Piezīmes Pēc uzaicinājuma ierakstiet mākoņa pakalpojuma administratora akreditācijas datus.

    2. Connect-MsolService -Credential $cred Piezīmes Šī komanda savieno jūs ar Azure AD. Jums ir jāizveido konteksts, kas savieno jūs ar Azure AD, pirms veicat kādu no papildu cmdlet, ko instalē Windows PowerShell Azure Active Directory modulis.

    3. Get-MSOLCompanyInformation

  3. Pārbaudiet iepriekšējo komandu LastDirSynclaiku un pārliecinieties, vai tiek parādīta sinhronizācija pēc Azure Active Directory sinhronizēšanas rīka instalēšanas.Piezīme. Šīs vērtības datuma un laika spiedols tiek rādīts koordinētajā universālajā laikā (Griničas vidējais laiks).

  4. Ja LastDirSyncTime nav atjaunināts, vērojiet tā servera lietojumprogrammu žurnālu, kurā instalēts Azure Active Directory sinhronizēšanas rīks tālāk norādītajam gadījumam.

    • Avots: direktorija sinhronizēšana

    • NOTIKUMA ID: 4

    • Līmenis: informācija

    Šis notikums norāda, ka direktorija sinhronizēšana ir paveikta serverī. Kad tas notiek, atkārtojiet šīs darbības, lai pārliecinātos, vai LastDirSyncTime vērtība ir pareizi atjaunināta.

Problēmu novēršana, izmantojot 4. darbību validācijuTipisku validācijas problēmu novēršana, atbilstoši situācijai izmantojot tālāk norādītos Microsoft zināšanu bāzes rakstus.

  • 2386445  Kļūda, palaižot Azure Active Directory sinhronizācijas rīku: "Windows Azure Active Directory sinhronizēšanas konfigurācijas vedņa versija ir novecojusi"

  • 2310320 Mēģinot palaist Azure Active Directory sinhronizēšanas rīka konfigurācijas vedni, radās kļūda: "jūsu akreditācijas datus nevarēja autentificēt. Atkārtoti ierakstiet savus akreditācijas datus un mēģiniet vēlreiz.

  • 2508225 "LogonUser () neizdevās ar kļūdas kodu: 1789" pēc uzņēmuma administratora akreditācijas datu ievadīšanas Azure Active Directory sinhronizēšanas rīka konfigurācijas vednī

  • 2502710 "ar Microsoft Online Services pierakstīšanās palīgu radās nezināma kļūda", palaižot Azure Active Directory sinhronizēšanas rīka konfigurācijas vedni

  • 2419250 "datoram jābūt pievienotam domēnam", mēģinot instalēt Azure Active Directory sinhronizēšanas rīku

  • 2643629 Vienu vai vairākus objektus nevar sinhronizēt, izmantojot Azure Active Directory sinhronizēšanas rīku

  • 2641663 Kā izmantot SMTP atbilstību, lai saskaņotu lokālo lietotāju kontus ar Office 365 lietotāju kontiem direktorija sinhronizēšanai

  • 2492140 Nevar piešķirt ārēju domēnu lietotājam Office 365 portālā

5. darbība: Office 365 klients sagatavots

Iestatīšanas norādījumi
  1. Pārbaudiet klienta priekšnosacījumus sistēmai Office 365. Lai iegūtu papildinformāciju par Office 365 sistēmas prasībām, dodieties uz office 365 sistēmas prasības.

  2. Palaidiet Office 365 datora iestatījumu visos klientu datoros, kuros tiek izmantotas bagātinātas klienta lietojumprogrammas. Bagātināta klienta lietojumprogrammas ir Microsoft Outlook, Microsoft Lync 2010, Microsoft Office Professional Plus 2010, Azure Active Directory modulis, kas paredzēts Windows PowerShell. Office datora lietojumprogrammas un Microsoft SharePoint integrācijas lietojumprogrammas. Piezīme. Office 365 datora iestatījumi ir pieejami vietnē http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

  3. Ja ir sagaidāms, ka ir nemanāma neuzvednes pieredze ar Domain-Connected un Domain-savienots klientu datoriem, pievienojiet AD FS Federācijas pakalpojuma URL lokālā iekštīkla zonai pārlūkprogrammā Windows Internet Explorer. Piemēram, veiciet tālāk norādītās darbības.

    1. Programmas Internet Explorer izvēlnē Rīki noklikšķiniet uz interneta opcijas.

    2. Noklikšķiniet uz cilnes Drošība , uz Lokālais iekštīkls, noklikšķiniet uz vietnesun pēc tam uz papildu.

    3. Lodziņā Pievienot vietni šai zonai ierakstiet https://STS.contoso.com un pēc tam noklikšķiniet uz Pievienot.Piezīmes "sts.contoso.com" apzīmē AD FS Federācijas pakalpojuma FQDN.

    Papildinformāciju par šo konfigurāciju skatiet šajā Microsoft zināšanu bāzes rakstā:

    2535227 Ārējam lietotājam tiek piedāvāts negaidīti ievadīt sava darba vai mācību konta akreditācijas datus

  4. Ja Domain-savienotie un domēnā pievienotie klientu datori piekļūst interneta resursiem, izmantojot starpniekserveri, kas atrisina interneta adreses, izmantojot publiskos DNS vaicājumus (nevis iekšējos, dalītās Brain DNS), pievienojiet AD FS Federācijas pakalpojuma URL uz sarakstu, kurā Internet Explorer apturēs starpniekservera filtrēšanu. Tālāk sniegts piemērs par to, kā pievienot vietrādi URL Internet Explorer izņēmumu sarakstam:

    1. Programmas Internet Explorer izvēlnē Rīki noklikšķiniet uz interneta opcijas.

    2. Cilnē savienojumi noklikšķiniet uz LAN iestatījumiun pēc tam noklikšķiniet uz papildu.

    3. Lodziņā Izņēmumi ievadiet vērtību, izmantojot pilno AD FS pakalpojuma galapunkta nosaukuma DNS nosaukumu. Piemēram, ievadiet STS.contoso.com.

5. darbības validācija Lai validētu, veiciet tālāk norādītās darbības.

  1. Pārliecinieties, vai Microsoft Online Services pierakstīšanās palīga pakalpojums ir instalēts un darbojas. Lai to izdarītu, veiciet tālāk norādītās darbības.

    1. Noklikšķiniet uz Sākt, noklikšķiniet uz palaist, ierakstiet Services. mscun pēc tam noklikšķiniet uz Labi.

    2. Atrodiet Microsoft Online Services pierakstīšanās palīga ierakstu un pēc tam pārliecinieties, vai pakalpojums darbojas.

    3. Ja pakalpojums nedarbojas, ar peles labo pogu noklikšķiniet uz ieraksta un pēc tam atlasiet Sākt.

  2. Dodieties uz AD FS MEX tīmekļa vietni, lai pārliecinātos, vai galapunkts ir daļa no Internet Explorer iekštīkla drošības zonas. Lai to izdarītu, veiciet tālāk norādītās darbības.

    1. Startējiet programmu Internet Explorer un pēc tam dodieties uz tīmekļa vietni AD FS Service Endpoint. Tālāk ir sniegts pakalpojuma galapunkta tīmekļa vietnes piemērs:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. Pārbaudiet statusa joslu loga lejasdaļā, lai pārliecinātos, vai šī vietrāža URL norādītā drošības zona ir Lokālais iekštīkls.

6. darbība: galīgā validācija

Konfigurētā klienta datorā pārbaudiet paredzētās SSO autentifikācijas iespējas. Lai to izdarītu, autentificējiet, izmantojot Federatīvajām lietotāja kontu. Iespējams, vēlēsities testēt ārēja lietotāja autentifikāciju šādos scenārijos:

  • Lokālā tīklā un autentificēts lokālajā pakalpojumā Active Directory

  • No interneta Neutral IP atrašanās vietas un nav autentificēts uz lokālo Active Directory

Lai validētu, veiciet tālāk norādītās darbības.

  1. Pārbaudiet tīmekļa autentifikāciju. Lai to izdarītu, izmantojiet kādu no tālāk norādītajām metodēm.

    • Pierakstieties mākoņa pakalpojumu portālā kā ārējs lietotājs, izmantojot lokālā Active Directory akreditācijas datus.

    • Pierakstieties programmā Outlook Web App kā ārējs lietotājs (izmantojot lokālo Active Directory akreditācijas datus), kam ir Exchange Online pastkaste. Piemēram, pierakstieties programmā Outlook Web App, izmantojot šādu vietrādi URL:

      https://outlook.com/owa/contoso.comPiezīme.Šajā vietrādī URL "contoso.com" apzīmē Federatīvajā domēna nosaukumu.

    • Pierakstieties pakalpojumā Microsoft SharePoint Online kā ārējs lietotājs (izmantojot lokālos Active Directory akreditācijas datus), kam ir piekļuve grupas vietņu kolekcijai. Piemēram, pierakstieties pakalpojumā SharePoint Online, izmantojot šādu vietrādi URL:

      http://contoso.sharepoint.comPiezīme. Šajā vietrādī URL "Contoso" apzīmē organizācijas nosaukumu.

  2. Pārbaudiet bagātinātu klientu vai aktīvo pieprasīšanas autentifikāciju. Lai to izdarītu, veiciet tālāk norādītās darbības.

    1. Konfigurēt Skype darbam Online (iepriekš Lync Online) klienta profilu ārējam lietotāja kontam un pēc tam pierakstieties kontā, izmantojot lokālā Active Directory akreditācijas datus.

    2. Pierakstieties Azure Active Directory modulī Windows PowerShell, izmantojot Federatīvajām lietotāja kontu, kuram ir globālie administratora akreditācijas dati, izmantojot Connect-MsolService cmdlet.

  3. Testējiet Exchange Online pamata autentifikāciju, izmantojot rīku Microsoft attālā savienojamības analizators. Papildinformāciju par attālās savienojamības analīzes izmantošanu skatiet šajā Microsoft zināšanu bāzes rakstā:

    2650717  Kā izmantot Remote Connectivity Analyzer, lai novērstu vienotās pierakstīšanās problēmas Office 365, Azure vai Intune

Vai tomēr ir nepieciešamas palīdzības? Dodieties uz Microsoft Community vai Azure Active Directory forumi tīmekļa vietni.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.