Brukere i organisasjonsforbund kan ikke koble til en Exchange Online postboks
Symptomer
En organisasjonsbasert bruker kan ikke godkjenne Microsoft Outlook eller Microsoft Exchange ActiveSync ved hjelp av en smarttelefon i Exchange Online.
Årsak
Dette problemet kan oppstå hvis én av følgende betingelser er sann:
- Forbundstjenesten lokal Active Directory Federation Services (AD FS) 2.0 er ikke tilgjengelig fra offentlig Internett.
- SSL-sertifikatet (Secure Sockets Layer) som brukes av AD FS 2.0-endepunktet, utstedes av en sertifiseringsinstans som ikke er klarert av Exchange Online datasenter.
Gjeldende Exchange Online endepunkt for Outlook bruker enkel godkjenning eller proxy-godkjenning. Dette betyr at Outlook-klienter godkjenner Outlook.com-tjenesten ved hjelp av enkel godkjenning. Hvis Outlook.com fastslår at brukeren er en organisasjonsbasert bruker, proxyerer den enkel godkjenning over SSL til brukerens AD FS 2.0-server på vegne av klienten. Denne handlingen godkjenner brukeren lokalt og ber om et SAML-krav (Security Assertion Markup Language) eller tilgangstoken for brukeren. Hvis et offentlig tilgjengelig AD FS 2.0-endepunkt ikke er tilgjengelig, er ikke godkjenningsprosessen vellykket, og brukeren blir nektet tilgang til tjenesteendepunktet.
Bruk Microsoft Remote Connectivity Analyzer til å teste om den lokale AD FS 2.0-forbundstjenesten forårsaker påloggingsproblemer i Outlook for brukere i forbund. Dette gjør du slik:
Gå til Microsoft Remote Connectivity Analyzer i Internet Explorer.
Skriv inn e-postadressen og legitimasjonen, merk av for bekreftelse nederst på siden, skriv inn bekreftelseskoden, og velg deretter Utfør test. Denne testen bør kjøres to ganger. Kjør testen ved å bruke hver av følgende legitimasjoner:
- En organisasjonskonto som har en postboks i Exchange Online
- En standard brukerkonto som har en postboks i Exchange Online
Kontroller resultatene av begge testene for å finne ut om AD FS 2.0 forårsaker påloggingsproblemet i Outlook.
Drill ned til følgende node i testdetaljertreet :
Testing av RPC/HTTP-tilkobling
ExRCA prøver å teste Autosøk for
john@contoso.com
Prøver hver metode for å kontakte Autosøk-tjenesten
Prøver å kontakte Autosøk-tjenesten ved hjelp av HTTP-omadresseringsmetoden
Forsøk på å sende en Post-forespørsel for Autosøk til potensielle nettadresser for Autosøk
ExRCA prøver å hente og XML Autodiscover-svar fra URL-adressen
https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml
for brukeren
Kontroller om begge følgende betingelser er oppfylt:
- Den organisasjonssamlede kontoen får ikke tilgang til Autosøk og mottar feilmeldingen HTTP 401-godkjent svar.
- Standard brukerkonto kan få tilgang til Autosøk.
Hvis begge betingelsene er oppfylt, har du bekreftet at SSO-feil forårsaker at Outlook-godkjenning mislykkes.
Løsning 1 – Vis den lokale AD FS 2.0-forbundstjenesten på Internett
Konfigurer en AD FS 2.0-forbundsserverproxy for det lokale AD FS 2.0-miljøet (eller konfigurer en brannmurrevert proxy for AD FS 2.0 Federation Service) som støtter SSO, og publiser deretter proxyen til Internett.
Løsning 2 – Feilsøke problemer med AD FS 2.0-proxyserveren
Hvis du vil ha mer informasjon om hvordan du feilsøker AD FS 2.0-proxyserverproblemer, kan du se Hvordan feilsøke tilkoblingsproblemer med AD FS-endepunktet når brukere logger seg på Microsoft 365, Intune eller Azure.
Trenger du fremdeles hjelp? Gå til nettstedet for Microsoft Community .
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for