En bruker i forbund blir gjentatte ganger bedt om legitimasjon under pålogging til Microsoft 365, Azure eller Intune

Problem

En organisasjonsbasert bruker blir gjentatte ganger bedt om legitimasjon når brukeren prøver å godkjenne til tjenesteendepunktet for Active Directory Federation Services (AD FS) under pålogging til en Microsoft-skytjeneste, for eksempel Microsoft 365, Microsoft Azure eller Microsoft Intune. Når brukeren avbryter, får brukeren feilmeldingen Ingen tilgang.

Årsak

Symptomet indikerer et problem med Windows-integrert godkjenning med AD FS. Dette problemet kan oppstå hvis én eller flere av følgende betingelser er oppfylt:

• Feil brukernavn eller passord ble brukt.

• Godkjenningsinnstillinger for Internet Information Services (IIS) konfigureres feil i AD FS.

• Tjenestekontohavernavnet (SPN) som er knyttet til tjenestekontoen som brukes til å kjøre serverfarmen for AD FS-forbund, går tapt eller er skadet.

  Obs!

  Dette skjer bare når AD FS implementeres som en forbundsserverfarm og ikke implementeres i en frittstående konfigurasjon.

• Ett eller flere av følgende identifiseres av Utvidet beskyttelse for godkjenning som en kilde til et mann-i-midten-angrep:

  • Noen tredjeparts nettlesere
  • Bedriftens nettverksbrannmur, nettverksbelastningsfordeling eller en annen nettverksenhet publiserer AD FS Federation Service på Internett på en slik måte at IP-nyttelastdata potensielt kan skrives om. Dette omfatter muligens følgende typer data:

    • SSL-bro (Secure Sockets Layer)

    • SSL-avlastning

    • Tilstandsfull pakkefiltrering

      Hvis du vil ha mer informasjon, kan du gå til følgende artikkel i Microsoft Knowledge Base:

      2510193 støttede scenarioer for bruk av AD FS til å konfigurere enkel pålogging i Microsoft 365, Azure eller Intune

  • Et overvåkings- eller SSL-dekrypteringsprogram er installert eller er aktivt på klientdatamaskinen

• Dns-oppløsningen (Domain Name System) for AD FS-tjenestens endepunkt ble utført gjennom CNAME-postoppslag i stedet for gjennom et A-postoppslag.

• Windows Internet Explorer er ikke konfigurert til å sende Windows-integrert godkjenning til AD FS-serveren.

Før du begynner feilsøkingen

Kontroller at brukernavnet og passordet ikke er årsaken til problemet.

• Kontroller at riktig brukernavn brukes og er i brukerhovednavnformat (UPN). Eksempel: johnsmith@contoso.com.

• Kontroller at riktig passord brukes. Hvis du vil dobbeltsjekke at riktig passord brukes, må du kanskje tilbakestille brukerpassordet. Hvis du vil ha mer informasjon, kan du se følgende Microsoft TechNet-artikkel:

  Tilbakestille et brukerpassord

• Kontroller at kontoen ikke er låst ute, utløpt eller brukt utenfor angitte påloggingstimer. Hvis du vil ha mer informasjon, kan du se følgende Microsoft TechNet-artikkel: Administrere brukere

Kontroller årsaken

Hvis du vil kontrollere at Kerberos-problemer forårsaker problemet, må du midlertidig omgå Kerberos-godkjenning ved å aktivere skjemabasert godkjenning på serverfarmen for AD FS-forbund. Dette gjør du slik:

Trinn 1: Rediger web.config-filen på hver server i serverfarmen for AD FS-forbund

1. Finn mappen C:\inetpub\adfs\ls\ i Windows Utforsker, og lag deretter en sikkerhetskopi av web.config-filen.

2. Klikk Start, klikk Alle programmer, klikk Tilbehør, høyreklikk Notisblokk, og klikk deretter Kjør som administrator.

3. Klikk Åpne på Fil-menyen. Skriv inn C:\inetpub\adfs\ls\web.config i Filnavn-boksen , og klikk deretter Åpne.

4. Følg disse trinnene i web.config-filen:

   1. Finn linjen som inneholder <godkjenningsmodus>, og endre den deretter til <godkjenningsmodus="Skjemaer"/>.

   2. Finn inndelingen som begynner med <localAuthenticationTypes>, og endre deretter inndelingen slik at < oppføringen add name="Forms"> vises først, som følger:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      

5. Klikk Lagre på Fil-menyen.

6. Start IIS på nytt ved hjelp av iisresetcommand ved en hevet ledetekst.

Trinn 2: Test AD FS-funksjonalitet

1. Logg på skytjenesteportalen på en klientdatamaskin som er koblet til og godkjent til det lokale AD DS-miljøet.

   I stedet for en sømløs godkjenningsopplevelse, skal det oppleves en skjemabasert pålogging. Hvis påloggingen lykkes ved hjelp av skjemabasert godkjenning, bekrefter dette at det finnes et problem med Kerberos i AD FS Federation Service.

2. Gjenopprett konfigurasjonen for hver server i AD FS-forbundsserverfarmen til de forrige godkjenningsinnstillingene før du følger trinnene i Delen Løsning. Følg disse trinnene for å gjenopprette konfigurasjonen av hver server i AD FS-forbundsserverfarmen:

   1. Finn mappen C:\inetpub\adfs\ls\ i Windows Utforsker, og slett deretter web.config-filen.
   2. Flytt sikkerhetskopien av web.config filen som du opprettet i trinn 1: Rediger web.config-filen på hver server i AD FS-forbundsserverfarmen til mappen C:\inetpub\adfs\ls\.

3. Start IIS på nytt ved hjelp av iisresetcommand ved en hevet ledetekst.

4. Kontroller at virkemåten for AD FS-godkjenning går tilbake til det opprinnelige problemet.

Løsning

Hvis du vil løse Kerberos-problemet som begrenser AD FS-godkjenning, kan du bruke én eller flere av følgende metoder, avhengig av situasjonen.

Løsning 1: Tilbakestille AD FS-godkjenningsinnstillinger til standardverdiene

Hvis AD FS IIS-godkjenningsinnstillingene er feil, eller IIS-godkjenningsinnstillinger for AD FS Federation Services og Proxy Services ikke samsvarer, er én løsning å tilbakestille alle IIS-godkjenningsinnstillinger til standard AD FS-innstillinger.

Standardinnstillingene for godkjenning er oppført i tabellen nedenfor.

På hver AD FS-forbundsserver og på hver AD FS-forbundsserverproxy bruker du informasjonen i følgende Microsoft TechNet-artikkel til å tilbakestille de virtuelle AD FS IIS-programmene til standard godkjenningsinnstillinger:

Konfigurere godkjenning i IIS 7

Løsning 2: Rett AD FS-forbundsserverfarmen SPN

Hvis du vil løse problemet hvis SPN-en for AD FS-tjenesten går tapt eller er skadet på AD FS-tjenestekontoen, følger du disse trinnene på én server i AD FS-forbundsserverfarmen:

1. Åpne snapin-modulen for tjenesteadministrasjon. Dette gjør du ved å klikke Start, klikke Alle programmer, klikke Administrative verktøy og deretter klikke Tjenester.

2. Dobbeltklikk på Windows-tjenesten AD FS (2.0).

3. Legg merke til tjenestekontoen som vises i denne kontoen, på Loggpå-fanen.

4. Klikk Start, klikk Alle programmer, klikk Tilbehør, høyreklikk ledetekst, og klikk deretter Kjør som administrator.

5. Skriv inn følgende kommando, og trykk deretter ENTER.

   SetSPN –f –q host/<AD FS service name>
   

   Obs!

   I denne kommandoen <representerer AD FS-tjenestenavnet> det fullstendige domenenavnet (FQDN) for AD FS-tjenesteendepunktet. Det representerer ikke Windows-vertsnavnet for AD FS-serveren.

   • Hvis mer enn én oppføring returneres for kommandoen, og resultatet er knyttet til en annen brukerkonto enn den som ble angitt i trinn 3, fjerner du denne tilknytningen. Du gjør dette ved å gi følgende kommando:

     SetSPN –d host/<AD FS service name><bad_username>
     

   • Hvis mer enn én oppføring returneres for kommandoen, og SPN-en bruker samme navn som datamaskinnavnet på AD FS-serveren i Windows, er forbundsendepunktnavnet for AD FS feil. AD FS må implementeres på nytt. FQDN for AD FS-forbundsserverfarmen må ikke være identisk med Windows-vertsnavnet for en eksisterende server.

   • Hvis SPN-en ikke allerede finnes, kjører du følgende kommando:

     SetSPN –a host/<AD FS service name><username of service account>  
     

     Obs!

     I denne kommandoen <representerer brukernavnet til tjenestekontoen> brukernavnet som ble angitt i trinn 3.

6. Når disse trinnene er utført på alle servere i serverfarmen for AD FS-forbund, høyreklikker du på AD FS (2.0) Windows-tjenesten i snapin-modulen for tjenestebehandling, og deretter klikker du Start på nytt.

Løsning 3: Løs utvidet beskyttelse for godkjenningsproblemer

Hvis du vil løse problemet hvis utvidet beskyttelse for godkjenning hindrer vellykket godkjenning, bruker du én av følgende anbefalte metoder:

• Metode 1: Bruk Windows Internet Explorer 8 (eller en senere versjon av programmet) til å logge på.
• Metode 2: Publiser AD FS-tjenester på Internett på en slik måte at SSL-brobygging, SSL-avlasting eller tilstandsfull pakkefiltrering ikke omskriver IP-nyttelastdata. Anbefalt fremgangsmåte for dette formålet er å bruke en AD FS-proxyserver.
• Metode 3: Lukk eller deaktiver overvåkings- eller SSL-dekrypteringsprogrammer.

Hvis du ikke kan bruke noen av disse metodene, kan utvidet beskyttelse for godkjenning deaktiveres for passive og aktive klienter for å omgå dette problemet.

Midlertidig løsning: Deaktiver utvidet beskyttelse for godkjenning

For passive klienter

Hvis du vil deaktivere utvidet beskyttelse for godkjenning for passive klienter, utfører du følgende fremgangsmåte for følgende virtuelle IIS-programmer på alle servere i AD FS-forbundsserverfarmen:

• Standard webområde/adf-er
• Standard webområde/adf-er/ls

Dette gjør du slik:

1. Åpne IIS Manager, og naviger til nivået du vil administrere. Hvis du vil ha informasjon om hvordan du åpner IIS Manager, kan du se Open IIS Manager (IIS 7).
2. Dobbeltklikk godkjenning i funksjonsvisning.
3. Velg Windows-godkjenning på godkjenningssiden.
4. Klikk Avanserte innstillinger i Handlinger-ruten.
5. Når dialogboksen Avanserte innstillinger vises, velger du Av fra rullegardinmenyen Utvidet beskyttelse .

For aktive klienter

Hvis du vil deaktivere utvidet beskyttelse for godkjenning for aktive klienter, utfører du følgende prosedyre på den primære AD FS-serveren:

1. Åpne Windows PowerShell.

2. Kjør følgende kommando for å laste inn Windows PowerShell for snapin-modulen AD FS:

   Add-PsSnapIn Microsoft.Adfs.Powershell
   

3. Kjør følgende kommando for å deaktivere utvidet beskyttelse for godkjenning:

   Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
   

Aktiver utvidet beskyttelse for godkjenning på nytt

For passive klienter

Hvis du vil aktivere utvidet beskyttelse for godkjenning for passive klienter på nytt, utfører du følgende fremgangsmåte for følgende virtuelle IIS-programmer på alle servere i AD FS-forbundsserverfarmen:

• Standard webområde/adf-er
• Standard webområde/adf-er/ls

Dette gjør du slik:

1. Åpne IIS Manager, og naviger til nivået du vil administrere. Hvis du vil ha informasjon om hvordan du åpner IIS Manager, kan du se Open IIS Manager (IIS 7).
2. Dobbeltklikk godkjenning i funksjonsvisning.
3. Velg Windows-godkjenning på godkjenningssiden.
4. Klikk Avanserte innstillinger i Handlinger-ruten.
5. Når dialogboksen Avanserte innstillinger vises, velger du Godta fra rullegardinmenyen Utvidet beskyttelse .

For aktive klienter

Hvis du vil aktivere utvidet beskyttelse for godkjenning for aktive klienter på nytt, utfører du følgende prosedyre på den primære AD FS-serveren:

1. Åpne Windows PowerShell.

2. Kjør følgende kommando for å laste inn Windows PowerShell for snapin-modulen AD FS:

   Add-PsSnapIn Microsoft.Adfs.Powershell
   

3. Kjør følgende kommando for å aktivere utvidet beskyttelse for godkjenning:

   Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
   

Løsning 4: Erstatt CNAME-poster med A-poster for AD FS

Bruk DNS-administrasjonsverktøy til å erstatte hver DNS Alias (CNAME)-post som brukes for forbundstjenesten med en DNS-adressepost (A). Kontroller eller vurder dns-innstillinger for bedriften når en DNS-konfigurasjon for delt hjerne implementeres. Hvis du vil ha mer informasjon om hvordan du administrerer DNS-poster, kan du se Administrere DNS-poster.

Oppløsning 5: Konfigurere Internet Explorer som en AD FS-klient for enkel pålogging (SSO)

Hvis du vil ha mer informasjon om hvordan du konfigurerer Internet Explorer for AD FS-tilgang, kan du se En bruker i forbund blir bedt om uventet å angi legitimasjon for jobb- eller skolekonto.

Mer informasjon

AD FS bruker utvidet beskyttelse for godkjenning for å beskytte et nettverk. Utvidet beskyttelse for godkjenning kan bidra til å forhindre mann-i-midten-angrep der en angriper avskjærer klientens legitimasjon og videresender dem til en server. Beskyttelse mot slike angrep gjøres mulig ved hjelp av Channel Binding Works (CBT). CBT kan være nødvendig, tillatt eller ikke påkrevd av serveren når det opprettes kommunikasjon med klienter.

Innstillingen ExtendedProtectionTokenCheck AD FS angir nivået for utvidet beskyttelse for godkjenning som støttes av forbundsserveren. Dette er de tilgjengelige verdiene for denne innstillingen:

• Krev: Serveren er fullstendig herdet. Utvidet beskyttelse håndheves.
• Tillat: Dette er standardinnstillingen. Serveren er delvis herdet. Utvidet beskyttelse håndheves for involverte systemer som er endret for å støtte denne funksjonen.
• Ingen: Serveren er sårbar. Utvidet beskyttelse håndheves ikke.

Tabellene nedenfor beskriver hvordan godkjenning fungerer for tre operativsystemer og nettlesere, avhengig av de ulike alternativene for utvidet beskyttelse som er tilgjengelige på AD FS med IIS.

Som standard inneholder Windows 7 de aktuelle binærfilene for å bruke utvidet beskyttelse.

Windows 7 (eller riktig oppdaterte versjoner av Windows Vista eller Windows XP)

Windows Vista uten riktige oppdateringer

Windows XP uten riktige oppdateringer

Hvis du vil ha mer informasjon om utvidet beskyttelse for godkjenning, kan du se følgende Microsoft-ressurs:

Konfigurere avanserte alternativer for AD FS 2.0

Hvis du vil ha mer informasjon om Set-ADFSProperties cmdlet, kan du gå til følgende Microsoft-nettsted:

Set-ADFSProperties

Trenger du fremdeles hjelp? Gå til Microsoft Community eller nettstedet Microsoft Entra Forums.

Tredjepartsproduktene som er omtalt i denne artikkelen, produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, implisitt eller på annen måte, om disse produktenes ytelse eller pålitelighet.