En samlet bruker spurt konstant etter legitimasjon under påloggingen til Office 365, Azure eller Intune

Kundestøtte for Windows XP er avsluttet

Microsoft avsluttet kundestøtte for Windows XP den 8. april 2014. Denne endringen har påvirket programvareoppdateringene og sikkerhetsalternativene dine. Finn ut hvordan dette påvirker deg og hvordan du forblir beskyttet.

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 2461628
Viktig Denne artikkelen inneholder informasjon som viser deg hvordan du kan svekke sikkerhetsinnstillingene eller deaktivere sikkerhetsfunksjonene på en datamaskin. Du kan gjøre disse endringene for å løse et bestemt problem. Før du foretar disse endringene, anbefaler vi at du evaluerer risikoen som er knyttet til implementering av denne løsningen i ditt bestemte miljø. Hvis du implementerer denne midlertidige løsningen, må du ta alle nødvendige forholdsregler for å beskytte datamaskinen.
PROBLEMET
En samlet bruker er gjentatte ganger bedt om legitimasjon når brukeren prøver å godkjenne til Tjenesteendepunktet Active Directory Federation Services (AD FS) under påloggingen til en skytjeneste for Microsoft Office 365, Microsoft Azure eller Microsoft Intune. Når brukeren avbryter, får brukeren følgende feilmelding:
Ingen tilgang
ÅRSAK
Symptomet indikerer et problem med Windows-integrert godkjenning med AD FS. Dette problemet kan oppstå hvis én eller flere av følgende betingelser er oppfylt:
  • En feil brukernavn eller passord ble brukt.
  • Godkjenningsinnstillinger for Internet Information Services (IIS) er feilaktig definert i AD FS.
  • Hovednavn for tjeneste (SPN) som er tilknyttet tjenestekontoen som brukes til å kjøre AD FS federation serverfarmen er tapt eller skadet.

    Obs! Dette skjer bare når AD FS er implementert som en serverfarm federation og implementert ikke i en frittstående konfigurasjon.
  • Ett eller flere av følgende er identifisert av Extended Protection for Authentication som en kilde til en mann-i-midten-angrep:
    • Noen weblesere fra tredjeparter
    • Brannmuren firmanettverk, belastningsfordeling for nettverket eller andre nettverksenheten publiserer AD FS Federation Service på Internett på en slik måte at IP-nyttelasten data kan potensielt bli skrevet på nytt. Dette inkluderer kanskje følgende typer data:
      • Secure Sockets Layer (SSL)-bro
      • SSL-avlasting
      • Stateful packet filtrering

        Hvis du vil ha mer informasjon, kan du se følgende artikkel i Microsoft Knowledge Base:
        2510193Scenarier som støttes for bruk av AD FS for å konfigurere enkel pålogging i Office 365, Azure eller Intune
    • En overvåking eller SSL dekryptering program er installert eller er aktive på klientdatamaskinen
  • Domain Name System (DNS) oppløsning på serviceendepunktet AD FS ble utført gjennom CNAME post oppslag i stedet for gjennom en A post oppslag.
  • Windows Internet Explorer er ikke konfigurert for å sende Windows-integrert godkjenning til AD FS-serveren.

Før du starter å feilsøke

Kontroller at brukernavnet og passordet ikke er årsaken til problemet.
  • Kontroller at riktig brukernavn brukes og brukeren hovednavnet (UPN)-format. Johnsmith@contoso.com for eksempel.
  • Kontroller at det er brukt riktig passord. Hvis du vil dobbeltsjekke at det er brukt riktig passord, må du tilbakestille brukerpassord. Hvis du vil ha mer informasjon, kan du se følgende Microsoft TechNet-artikkel:
  • Kontroller at kontoen ikke er låst, er utløpt eller brukes utenfor utpekt påloggingstid. Hvis du vil ha mer informasjon, kan du se følgende Microsoft TechNet-artikkel:

Bekreft årsaken

Hvis du vil kontrollere at Kerberos-problemer som forårsaker problemet, omgå dem midlertidig Kerberos-godkjenning ved å aktivere skjemabasert godkjenning på serverfarmen AD FS federation. Følg denne fremgangsmåten:

Trinn 1: Redigere filen web.config på hver server i serverfarmen AD FS federation
  1. I Windows Utforsker, Finn mappen C:\inetpub\adfs\ls\, og deretter ta en sikkerhetskopi av filen web.config.
  2. Klikk Start, klikk Alle programmer, Tilbehør, høyreklikk Notisblokkog deretter klikker du Kjør som administrator.
  3. På den filen -menyen klikker du Åpne. I den filen navnet skriverC:\inetpub\adfs\ls\web.config, og klikk deretter Åpne.
  4. I web.config-filen, gjør du følgende:
    1. Finn linjen som inneholder <authentication mode=""> </authentication>, og endre den til <authentication mode="Forms"> </authentication>.
    2. Finn delen som begynner med <localAuthenticationTypes> </localAuthenticationTypes>, og endre deretter delen slik at den <add name="Forms"></add> stikkordet er oppført først, som følger:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. På den filen -menyen klikker du Lagre.
  6. Starte IIS på nytt ved hjelp av kommandoen iisreset fra en ledetekst.
Trinn 2: Teste AD FS-funksjonalitet
  1. På en klientdatamaskin som er koblet til og godkjent for lokalene AD DS-miljø, Logg på cloud service-portalen.

    I stedet for en sømløs godkjenning-opplevelse, bør et skjemabasert-påloggingen være oppdaget. Hvis påloggingen er vellykket ved hjelp av skjemabasert godkjenning, bekrefter det at det finnes et problem med Kerberos i AD FS Federation Service.
  2. Tilbakestill konfigurasjonen for hver server i serverfarmen AD FS federation til de forrige godkjenningsinnstillingene før du følger trinnene i delen "Løsning". Hvis du vil tilbakestille konfigurasjonen av hver server i serverfarmen AD FS federation, følger du denne fremgangsmåten:
    1. I Windows Utforsker, Finn mappen C:\inetpub\adfs\ls\, og slett deretter filen web.config.
    2. Flytte sikkerhetskopien av web.config-filen som du opprettet i den "trinn 1: redigere filen web.config på hver server i serverfarmen AD FS federation" delen til mappen C:\inetpub\adfs\ls\.
  3. Starte IIS på nytt ved hjelp av kommandoen iisreset fra en ledetekst.
  4. Kontroller at virkemåte for AD FS-godkjenning går tilbake til det opprinnelige problemet.
LØSNING
Hvis du vil løse problemet Kerberos som begrenser AD FS-godkjenning, kan du bruke ett eller flere av følgende metoder, avhengig av situasjonen.

Løsning 1: Tilbakestille AD FS-godkjenningsinnstillingene til standardverdiene

Hvis AD FS IIS-godkjenningsinnstillingene er feil, eller IIS-godkjenningsinnstillingene for AD FS Federation tjenester og Proxy-tjenester ikke samsvarer, er én løsning å tilbakestille alle IIS-godkjenningsinnstillingene til standard AD FS-innstillinger.

Standardinnstillingene for godkjenning er oppført i følgende tabell.
Virtuelle programmetGodkjenning nivå(er)
Standard webområde/adfsAnonym godkjenning
Standard webområde/adfs/lsAnonym godkjenning
Windows-godkjenning
På hver federation AD FS-server og proxy hver AD FS federation server, kan du bruke informasjonen i følgende Microsoft TechNet-artikkelen til å tilbakestille de virtuelle AD FS IIS-applikasjonene til standardinnstillingene for godkjenning:Hvis du vil ha mer informasjon om hvordan du løser denne feilen, kan du se følgende artikler i Microsoft Knowledge Base:
907273 Feilsøking i forbindelse med HTTP 401-feil i IIS

871179 Du får en "HTTP-feil 401.1 - uautorisert: tilgang på grunn av ugyldige legitimasjonsbeskrivelser" når du prøver å få tilgang til et webområde som er en del av et applikasjonsutvalg i IIS 6.0

Løsning 2: Rette serverfarmen for AD FS-føderasjonen SPN

Obs! Prøv denne løsningen bare når AD FS er implementert som en federation serverfarm. Ikke prøv denne løsningen i en frittstående konfigurasjon for AD FS.

Følg denne fremgangsmåten på én server i serverfarmen AD FS federation for å løse problemet hvis SPN for AD FS-tjenesten går tapt eller blir skadet på kontoen for AD FS:
  1. Åpne snapin-modulen Services management. Hvis du vil gjøre dette, klikker du Start, klikk Alle programmer, Administrativeverktøy og deretter tjenester.
  2. Dobbeltklikk AD FS (2.0) Windows-tjenesten.
  3. På den Logg på kategorien, Merk tjenestekontoen som vises i Denne kontoen.
  4. Klikk Start, klikk Alle programmer, Tilbehør, høyreklikk ledetekst, og deretter Kjør som administrator.
  5. Type SetSPN – f – q vert /<AD fs="" service="" name=""></AD>, og trykk deretter Enter.

    Obs! I denne kommandoen er <AD fs="" service="" name=""></AD> representerer fully qualified domain name (FQDN) service names for AD FS serviceendepunktet. Det betyr ikke at Windows vertsnavnet for AD FS-serveren.
    • Hvis mer enn én post returneres for kommandoen, og resultatet er knyttet til en konto enn den som ble angitt i trinn 3, kan du fjerne denne tilknytningen. Hvis du vil gjøre dette, kjører du følgende kommando:
      SetSPN – d vert /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Hvis mer enn én post returneres for kommandoen og SPN bruker samme navn som navnet på AD FS-server i Windows, er federation endepunktet navnet for AD FS feil. AD FS må implementeres på nytt. Det fullstendige Domenenavnet for AD FS federation serverfarmen må ikke være identisk med Windows vertsnavnet til en eksisterende server.
    • Hvis SPN ikke allerede finnes, kjører du følgende kommando:
      SetSPN – en vert /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Obs! I denne kommandoen er <username of="" service="" account=""></username> representerer navnet som ble angitt i trinn 3.
  6. Når disse trinnene er utført på alle servere i serverfarmen AD FS federation, høyreklikk AD FS (2.0) Windows-tjenesten i snapin-modulen Services management, og klikk deretter Start på nytt.

Løsning 3: Løse Extended Protection for Authentication bekymringer

Anbefalte metoder å løse problemet hvis Extended Protection for Authentication forhindrer vellykket godkjenning, bruker du ett av følgende:
  • Metode 1: Bruk Windows Internet Explorer 8 (eller en senere versjon av programmet) til å logge på.
  • Metode 2: publisere AD FS-tjenester på Internett på en slik måte at SSL-bro, avlaste SSL eller stateful packet filtrering ikke skrive data for IP-nyttelasten. Den beste praksis-anbefalingen for dette formålet er å bruke en Proxy-Server for AD FS.
  • Metode 3: Lukk eller deaktiver overvåking eller dekryptering av SSL-programmer.
Hvis du ikke kan bruke noen av disse metodene til å omgå dette problemet, vil Extended Protection for Authentication kan være deaktivert for passive og aktive klienter.

Løsning: Deaktiver Utvidet beskyttelse for autentisering

Advarsel Vi anbefaler ikke at du bruker denne prosedyren som en langsiktig løsning. Hvis du deaktiverer Utvidet beskyttelse for autentisering svekker sikkerhetsprofilen AD FS-tjenesten ved å ikke registrere bestemte mann-i-midten angrep på endepunkt for integrert Windows-godkjenning.

Obs! Når denne løsningen brukes for tredjepartsprogrammet funksjonalitet, bør du også avinstallere hurtigreparasjoner på klient-operativsystem for Utvidet beskyttelse for autentisering. Hvis du vil ha mer informasjon om hurtigreparasjoner, kan du se følgende artikkel i Microsoft Knowledge Base:
968389 Utvidet beskyttelse for autentisering
For passiv klienter
Hvis du vil deaktivere Utvidet beskyttelse for autentisering for passiv-klienter, kan du utføre følgende fremgangsmåte for følgende IIS virtual programmer på alle servere i serverfarmen AD FS føderasjonen:
  • Standard webområde/adfs
  • Standard webområde/adfs/ls
Følg denne fremgangsmåten:
  1. Åpne IIS-behandling og navigerer til nivået du vil administrere. Se for informasjon om hvordan du åpner du IIS-behandling Åpne IIS-behandling (IIS 7).
  2. Dobbeltklikk godkjenningi funksjoner.
  3. I godkjenning-siden velger du Windows-godkjenning.
  4. Klikk Avanserte innstillingeri Handlinger -ruten.
  5. Når dialogboksen Avanserte innstillinger vises, merker du avfra denUtvidet beskyttelse -menyen.
For aktive klienter
Hvis du vil deaktivere Utvidet beskyttelse for autentisering for aktive klienter, kan du utføre følgende fremgangsmåte på den primære AD FS-serveren:
  1. Åpne Windows PowerShell.
  2. Kjør følgende kommando for å laste inn Windows PowerShell for AD FS-snapin-modulen:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kjør følgende kommando for å deaktivere Extended Protection for Authentication:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Aktivere Utvidet beskyttelse for autentisering

For passiv klienter
For å aktivere Extended Protection for Authentication for passiv-klienter, kan du utføre følgende fremgangsmåte for følgende IIS virtual programmer på alle servere i serverfarmen AD FS føderasjonen:
  • Standard webområde/adfs
  • Standard webområde/adfs/ls
Følg denne fremgangsmåten:
  1. Åpne IIS-behandling og navigerer til nivået du vil administrere. Se for informasjon om hvordan du åpner du IIS-behandling Åpne IIS-behandling (IIS 7).
  2. Dobbeltklikk godkjenningi funksjoner.
  3. I godkjenning-siden velger du Windows-godkjenning.
  4. Klikk Avanserte innstillingeri Handlinger -ruten.
  5. Når dialogboksen Avanserte innstillinger vises, velger du Godtafra rullegardinmenyen Utvidet beskyttelse .
For aktive klienter
For å aktivere Extended Protection for Authentication for aktive klienter, kan du utføre følgende fremgangsmåte på den primære AD FS-serveren:
  1. Åpne Windows PowerShell.
  2. Kjør følgende kommando for å laste inn Windows PowerShell for AD FS-snapin-modulen:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kjør følgende kommando for å aktivere Extended Protection for Authentication:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Løsning 4: Erstatt CNAME-postene med oppføringer for AD FS

Bruk DNS management verktøy til å erstatte hver post i DNS-Alias (CNAME) som brukes for med federation service med en DNS-adresse (A) post. Også, sjekk, eller Vurder å corporate DNS-innstillingene når en split-brain DNS-konfigurasjon er implementert. Hvis du vil ha mer informasjon om hvordan du administrerer DNS-poster, kan du gå til følgende Microsoft TechNet-webområde:

Løsning 5: Konfigurere Internet Explorer som en AD FS-klient for enkel pålogging (SSO)

Hvis du vil ha mer informasjon om hvordan du konfigurerer Internet Explorer for AD FS-tilgang, kan du se følgende artikkel i Microsoft Knowledge Base:
2535227En samlet bruker er uventet bedt om å skrive inn arbeidet eller skolen kontoinformasjon
HVIS DU VIL HA MER INFORMASJON
For å beskytte et nettverk, bruker AD FS Extended Protection for Authentication. Utvidet beskyttelse for autentisering kan forhindre mann-i-midten-angrep der angriperen fanger opp en klientens legitimasjon og videresender dem til en server. Beskyttelse mot slike angrep kan gjøres ved hjelp av kanalen Binding Works (CBT). CBT kan være obligatoriske, tillatt eller ikke kreves av serveren når kommunikasjon er etablert med klienter.

ExtendedProtectionTokenCheck AD FS-innstillingen angir nivået for Utvidet beskyttelse for autentisering som støttes av serveren federation. Dette er de tilgjengelige verdiene for denne innstillingen:
  • Krever: serveren er fullt skjerpet. Utvidet beskyttelse er gjennomført.
  • Tillat: Dette er standardinnstillingen. Serveren er delvis skjerpet. Utvidet beskyttelse er gjennomført for involvert systemer som er endret for å støtte denne funksjonen.
  • Ingen: serveren er sårbar. Utvidet beskyttelse er ikke gjennomført.
De følgende tabellene beskriver hvordan godkjenning fungerer for tre operativsystemer og weblesere, avhengig av de forskjellige alternativene for Utvidet beskyttelse som er tilgjengelige på AD FS med IIS.

Obs! Windows-klientoperativsystemer må ha bestemte oppdateringer som er installert for å kunne bruke funksjonene for Utvidet beskyttelse effektivt. Funksjonene er som standard aktivert i AD FS. Disse oppdateringene er tilgjengelige fra følgende artikkel i Microsoft Knowledge Base:
968389 Utvidet beskyttelse for autentisering
Som standard er inneholder Windows 7 de riktige binærfilene for å bruke Utvidet beskyttelse.

Windows 7 (eller riktig oppdaterte versjoner av Windows Vista eller Windows XP)
InnstillingenKreverTillat (standard)Ingen
Windows kommunikasjon
Foundation (WCF)-klient (alle sluttpunkt)
WorksWorksWorks
8and for Internet Explorer senere versjonerWorksWorksWorks
Firefox 3.6MislykkesMislykkesWorks
Safari 4.0.4MislykkesMislykkesWorks
Windows Vista uten aktuelle oppdateringer
InnstillingenKreverTillat (standard)Ingen
WCF-klient (alle sluttpunkt)MislykkesWorksWorks
8and for Internet Explorer senere versjonerWorksWorksWorks
Firefox 3.6MislykkesWorks Works
Safari 4.0.4MislykkesWorks Works
Windows XP uten aktuelle oppdateringer
InnstillingenKreverTillat (standard)Ingen
8and for Internet Explorer senere versjonerWorksWorksWorks
Firefox 3.6MislykkesWorks Works
Safari 4.0.4MislykkesWorks Works
Hvis du vil ha mer informasjon om Utvidet beskyttelse for autentisering, kan du se følgende Microsoft-ressurser:
968389 Utvidet beskyttelse for autentisering
Hvis du vil ha mer informasjon om cmdleten Set-ADFSProperties , kan du gå til følgende Microsoft-webområde:

Trenger du fortsatt hjelp? Gå til den Office 365-fellesskapet webområdet eller Azure Active Directory-forum webområdet.

Tredjepartsprodukter som denne artikkelen diskuterer, produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, stilltiende eller på annen måte, om ytelsen eller påliteligheten til disse produktene

Advarsel: Denne artikkelen er autooversatt

Egenskaper

Artikkel-ID: 2461628 – Forrige gjennomgang: 01/14/2016 19:56:00 – Revisjon: 21.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtno
Tilbakemelding