Federatieve gebruikers kunnen geen verbinding maken met een Exchange Online-postbus

Van toepassing: Exchange OnlineAzure Active Directory

PROBLEEM


Een federatieve gebruiker kan niet worden geverifieerd bij Microsoft Outlook of Microsoft Exchange ActiveSync met behulp van een smartphone in Exchange Online.

OORZAAK


Dit probleem kan optreden als een van de volgende voorwaarden voldaan wordt:
  • De on-premises Active Directory Federation Services (AD FS) 2,0 Federation-service is niet beschikbaar via het openbare Internet.
  • De Secure Sockets Layer (SSL)-certificaat dat wordt gebruikt door de AD FS-2,0 eindpunt wordt uitgegeven door een certificeringsinstantie die niet wordt vertrouwd door de Exchange Online-datacenter.
Het huidige Exchange Online-eindpunt voor Outlook maakt gebruik van basisverificatie of proxy verificatie. Dit betekent dat Outlook-clients worden geverifieerd bij de service Outlook.com met behulp van basisverificatie. Als Outlook.com vaststelt dat de gebruiker een federatieve gebruiker is, wordt de basisverificatie via SSL naar de AD FS 2,0-server van de gebruiker namens de client proxy's. Deze actie verifieert de gebruiker lokaal en vraagt een Security Assertion Markup Language (SAML) claim of toegangstoken voor de gebruiker. Als een openbaar beschikbare AD FS 2,0-eindpunt niet beschikbaar is, wordt het verificatieproces is niet gelukt en de gebruiker toegang tot het service-eindpunt wordt geweigerd. Gebruik Microsoft Remote Connectivity Analyzer om te testen of de on-premises AD FS 2,0 Federation-service Outlook-aanmeldingsproblemen voor federatieve gebruikers veroorzaakt. Hiertoe gaat u als volgt te werk:
  1. Ga in Internet Explorer naar https://www.testconnectivity.Microsoft.com/?testid=O365Ola.
  2. Typ het e-mailadres en de referenties, schakel het selectievakje bevestiging onder aan de pagina in, typ de verificatiecode en klik op test uitvoeren. Deze test moet twee keer worden uitgevoerd. Voer de test uit met behulp van elk van de volgende referenties:
    • Een federatieve account met een postbus in Exchange Online
    • Een standaardgebruikersaccount met een postbus in Exchange OnlineScreen shot of the Microsoft Remote Connectivity Analyzer page
  3. Controleer de resultaten van beide tests om te bepalen of AD FS 2,0 wordt veroorzaakt door de Outlook-aanmeldingsprobleem. a. Inzoomen op het volgende knooppunt van de structuur van de Test Details :
    Testing RPC/HTTP connectivity- ExRCA is attempting to test Autodiscover for john@contoso.com- Attempting each method of contacting the Autodiscover service- Attempting to contact the Autodiscover service using the HTTP redirect method- Attempting to send an Autodiscover POST request to potential Autodiscover URLs- ExRCA is attempting to retrieve and XML Autodiscover response from URL htts://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml for user  
    Screen shot of the SSO-enabled mailbox and the standard mailbox test results b. Controleer of aan beide volgende voorwaarden wordt voldaan:
    • De federatieve account geen toegang tot Autodiscover en ontvangt een foutbericht ' HTTP 401 geautoriseerde antwoord '.
    • De standaardgebruikersaccount heeft toegang tot Autodiscover.
    Als beide voorwaarden waar zijn, hebt u bevestigd dat SSO-fouten worden veroorzaakt door Outlook-verificatie mislukken.

OPLOSSING


U dit probleem oplossen door een van de volgende methoden te gebruiken, afhankelijk van uw situatie:

Methode 1: de on-premises AD FS 2,0 Federation-service aan het Internet blootstellen

Instellen van een AD FS 2,0 Federation-server proxy voor de on-premises AD FS 2,0 omgeving (of instellen van een firewall omgekeerde proxy van de AD FS 2,0 Federation-service) die ondersteuning biedt voor eenmalige aanmelding, en vervolgens de proxy publiceren naar het internet. voor meer informatie over de AD FS 2,0 Federation server PR Oxy-implementatie, gaat u naar de volgende Microsoft-website:

Methode 2: problemen met de AD FS 2,0-proxyserver oplossen

Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie over het oplossen van problemen met AD FS 2,0-proxyserver:
2712961 het oplossen van problemen met AD FS-endpoint verbinding wanneer gebruikers zich aanmelden bij Office 365, intune of Azure

VERWIJZINGEN


Nog steeds hulp nodig? Ga naar de website van de Microsoft Community .