Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

Een federatieve gebruiker herhaaldelijk om referenties gevraagd tijdens het aanmelden bij Office 365, Azure of Intune

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 2461628
Belangrijk Dit artikel bevat informatie over hoe u de beveiligingsinstellingen kunt verlagen of de beveiligingsfuncties op uw computer kunt uitschakelen. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, wordt u aangeraden de risico's die gekoppeld zijn aan de implementatie van deze oplossing in uw omgeving te evalueren. Als u deze methode implementeert, neem dan alle mogelijke extra maatregelen om de computer te beveiligen.
PROBLEEM
Een federatieve gebruiker wordt herhaaldelijk gevraagd om referenties als de gebruiker probeert te verifiëren op het eindpunt van de service Active Directory Federation Services (AD FS) tijdens het aanmelden bij een Microsoft-service cloud zoals Office 365, Azure Microsoft of Microsoft Intune. Wanneer de gebruiker annuleert, wordt het volgende foutbericht weergegeven:
Toegang geweigerd
OORZAAK
Het symptoom duidt op een probleem met geïntegreerde Windows-verificatie met AD FS. Dit probleem kan optreden als een of meer van de volgende voorwaarden wordt voldaan:
  • Een onjuiste gebruikersnaam of wachtwoord er is gebruikt.
  • Internet Information Services (IIS) verificatie-instellingen zijn niet correct ingesteld in AD FS.
  • De service principal name (SPN) die is gekoppeld aan de service-account die wordt gebruikt voor het uitvoeren van de AD FS-federation-serverfarm is verloren gegaan of beschadigd.

    Opmerking Dit gebeurt alleen als AD FS wordt geïmplementeerd als een federatieserverfarm en niet geïmplementeerd in een zelfstandige configuratie.
  • Een of meer van de volgende opties worden aangeduid met uitgebreide beveiliging voor verificatie als een bron van een man-in-the-middle-aanval:
    • Sommige Internet-browsers van derden
    • De firewall van het netwerk, netwerk-taakverdeling of ander netwerkapparaat is de Federation-Service van AD FS publiceren op Internet op zodanige wijze dat IP-nettolading mogelijk worden herschreven. Deze bevat mogelijk de volgende soorten gegevens:
      • Secure Sockets Layer (SSL)-bridging
      • SSL-offloading
      • Via statusafhankelijke pakketfiltering

        Zie voor meer informatie het volgende artikel in de Microsoft Knowledge Base:
        2510193Ondersteunde scenario's voor het gebruik van AD FS kunt u eenmalige aanmelding in Office 365, Azure of Intune instellen
    • Een controle- of SSL-decodering-toepassing is geïnstalleerd of is actief op de clientcomputer
  • Domain Name System (DNS) de resolutie van de AD FS-service-eindpunt is uitgevoerd via een CNAME-record opzoeken in plaats van via een A-record opzoeken.
  • Windows Internet Explorer is niet geconfigureerd om geïntegreerde Windows-verificatie door te geven aan de AD FS-server.

Voordat u begint met het oplossen van problemen

Controleer of de gebruikersnaam en het wachtwoord niet de oorzaak van het probleem zijn.
  • Zorg ervoor dat de juiste gebruikersnaam wordt gebruikt en gebruiker UPN (User Principal Name)-indeling. For example, johnsmith@contoso.com.
  • Zorg ervoor dat het juiste wachtwoord wordt gebruikt. Als u wilt controleren of het juiste wachtwoord wordt gebruikt, moet u wellicht het gebruikerswachtwoord opnieuw instellen. Zie voor meer informatie de volgende Microsoft TechNet-artikel:
  • Zorg ervoor dat de account niet is vergrendeld, verlopen of buiten de aanmeldingstijd aangewezen gebruikt. Zie voor meer informatie de volgende Microsoft TechNet-artikel:

Controleer of de oorzaak

Als u wilt controleren dat het probleem wordt veroorzaakt door problemen met Kerberos, Kerberos-verificatie tijdelijk te omzeilen door het forms-verificatie op de AD FS-federation-serverfarm inschakelen. Ga hiervoor als volgt te werk:

Stap 1: Het bestand web.config op elke server in het AD FS-federation-serverfarm bewerken
  1. In Windows Verkenner, zoek de map C:\inetpub\adfs\ls\ en brengt u een back-up van het bestand web.config.
  2. Klik op Start, op Alle programma'sBureau-accessoires, klik met de rechtermuisknop op Kladbloken klik vervolgens op Als administrator uitvoeren.
  3. Op het bestand menu, klik op openen. In de de naam typt uC:\inetpub\adfs\ls\web.config, en klik vervolgens op openen.
  4. In het bestand web.config de volgende stappen uit:
    1. Zoek de regel met <authentication mode=""> </authentication>, en vervolgens naar <authentication mode="Forms"> </authentication>.
    2. Ga naar de sectie die met begint <localAuthenticationTypes> </localAuthenticationTypes>, en vervolgens de sectie te wijzigen zodat het <add name="Forms"></add> eerst, als volgt wordt vermeld:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Op het bestand menu, klik op Opslaan.
  6. Bij een verhoogde opdrachtprompt IIS opnieuw starten met de opdracht iisreset .
Stap 2: Test AD FS-functionaliteit
  1. Op een clientcomputer die is verbonden en geverifieerd aan de installaties op AD DS-omgeving kunt aanmelden bij de service cloud portal.

    In plaats van een naadloze verificatie ervaring, moet een op formulieren gebaseerde aanmelden worden ervaren. Als aanmelden lukt met behulp van verificatie op basis van formulieren, bevestigt dit dat er een probleem met Kerberos in de Federation-Service van AD FS is.
  2. De configuratie van elke server in de federation-serverfarm AD FS op de vorige verificatie-instellingen herstellen voordat u de stappen in de sectie 'Oplossing'. Als u de configuratie van elke server in het AD FS-federation-serverfarm, volg deze stappen:
    1. In Windows Verkenner, zoek de map C:\inetpub\adfs\ls\ en verwijder vervolgens het bestand web.config.
    2. Verplaatsen van de back-up van het web.config-bestand dat u hebt gemaakt in de ' stap 1: het bestand web.config op elke server in het AD FS-federation-serverfarm bewerken "sectie naar de map C:\inetpub\adfs\ls\.
  3. Bij een verhoogde opdrachtprompt IIS opnieuw starten met de opdracht iisreset .
  4. Controleer dat de werking van AD FS-verificatie wordt teruggezet naar het oorspronkelijke probleem.
OPLOSSING
Gebruik een of meer van de volgende methoden, afhankelijk van de situatie de Kerberos-probleem waardoor de AD FS-verificatie op te lossen.

Oplossing 1: Reset AD FS verificatie-instellingen op de standaardwaarden

Als AD FS IIS-verificatie-instellingen onjuist zijn of niet overeenkomen met IIS-verificatie-instellingen voor AD FS-Federation-Services en -Proxy Services, is een oplossing voor alle IIS-verificatie-instellingen op de AD FS-standaardinstellingen herstellen.

De standaardinstellingen voor verificatie worden in de volgende tabel weergegeven.
Virtuele toepassingVerificatie coderingsniveau
Standaard website/adfsAnonieme verificatie
Standaard adfs-website/lsAnonieme verificatie
Windows-verificatie
Gebruik de informatie in de volgende Microsoft TechNet-artikel op elke AD FS-federation-server en op elke AD FS-federation-serverproxy de virtuele AD FS IIS-toepassingen op de standaardverificatie-instellingen opnieuw instellen:Zie de volgende artikelen in de Microsoft Knowledge Base voor meer informatie over het oplossen van deze fout:
907273 HTTP 401-probleemoplossing in IIS

871179 U ontvangt een ' HTTP-fout 401.1 - niet: toegang is geweigerd vanwege ongeldige referenties ' foutbericht wanneer u probeert toegang te krijgen tot een website die deel uitmaakt van een groep van IIS 6.0 toepassingen

Oplossing 2: AD FS federation-serverfarm SPN corrigeren

Opmerking Probeer deze oplossing alleen als AD FS wordt geïmplementeerd als een federatieserverfarm. Probeer deze oplossing in een zelfstandige AD FS-configuratie niet.

Ga als volgt te werk op een server in het AD FS-federation-serverfarm op te lossen als de SPN van de service van AD FS verloren is gegaan of beschadigd op de AD FS-account:
  1. Open de module Services-beheer. Hiertoe klikt u op Start, klik op Alle programma's, Systeembeheeren klik vervolgens op Services.
  2. Dubbelklik op de Service van AD FS (2.0) van Windows.
  3. Op de op Bekijk de serviceaccount die bij Deze Accountwordt weergegeven.
  4. Klik op Start, klik op Alle programma'sop Bureau-accessoires, klik met de rechtermuisknop op opdrachtprompten klik vervolgens op Als administrator uitvoeren.
  5. Type SetSPN – f – q host /<AD fs="" service="" name=""></AD>, en druk vervolgens op Enter.

    Opmerking In deze opdracht <AD fs="" service="" name=""></AD> Hiermee geeft u de servicenaam van de FQDN-naam (Fully Qualified Domain Name) van het AD FS-service-eindpunt. Vertegenwoordigt niet de naam van de Windows-host van de AD FS-server.
    • Als meer dan één vermelding voor de opdracht weergegeven en het resultaat is gekoppeld aan een andere gebruikersaccount dan de in stap 3 hebt genoteerd is, wordt deze koppeling verwijderen. Voer hiertoe de volgende opdracht uit:
      SetSPN-d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Als meer dan één vermelding voor de opdracht weergegeven en de SPN wordt gebruikt dezelfde naam als de naam van de server met AD FS in Windows, wordt de naam van de Federatie voor AD FS is onjuist. AD FS moet opnieuw worden geïmplementeerd. De FQDN-naam van de AD FS-federation-serverfarm moet niet gelijk zijn aan de naam van de Windows-host van een bestaande server.
    • Als de SPN niet bestaat, voert u de volgende opdracht:
      SetSPN – een host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Opmerking In deze opdracht <username of="" service="" account=""></username> Hiermee geeft u de naam van de gebruiker in stap 3 hebt genoteerd is.
  6. Nadat u deze stappen zijn uitgevoerd op alle servers in het AD FS-federation-serverfarm, met de rechtermuisknop op de Windows-Service van AD FS (2.0) in de module Services-beheer en klik vervolgens op opnieuw starten.

Oplossing 3: Uitgebreide beveiliging voor verificatie, problemen oplossen

Aanbevolen als uitgebreide beveiliging voor verificatie wordt voorkomen dat de verificatie is geslaagd het probleem is opgelost, gebruikt u een van de volgende methoden:
  • Methode 1: gebruik Windows Internet Explorer 8 (of een latere versie van het programma) aan te melden.
  • Methode 2: AD FS-services te publiceren op Internet op zodanige wijze dat SSL-bridging, SSL-offloading of via statusafhankelijke pakketfiltering IP-nettolading niet herschrijven. De aanbeveling van de beste praktijken voor dit doel is het gebruik van een proxyserver voor AD FS.
  • Methode 3: sluiten of uitschakelen controleren of decoderen van SSL toepassingen.
Als u niet een van deze methoden gebruiken om dit probleem te omzeilen, kan uitgebreide beveiliging voor verificatie voor passieve en actieve clients worden uitgeschakeld.

De tijdelijke oplossing: Uitgebreide beveiliging voor verificatie uitschakelen

Waarschuwing Gebruik van deze procedure als een oplossing op lange termijn wordt niet aanbevolen. Uitgebreide beveiliging voor verificatie uitschakelen van verzwakt de AD FS-beveiliging serviceprofiel door bepaalde man-in-the-middle-aanvallen op de eindpunten van de geïntegreerde Windows-verificatie niet detecteren.

Opmerking Wanneer deze oplossing wordt toegepast voor de functionaliteit van de toepassing van derden, moet u ook hotfixes van het besturingssysteem van de client verwijderen voor uitgebreide beveiliging voor verificatie. Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie over de hotfixes:
968389 Uitgebreide beveiliging voor verificatie
Voor passieve clients
Uitgebreide beveiliging voor verificatie voor passieve clients uitschakelen, moet u de volgende procedure uitvoeren voor de volgende virtuele IIS-toepassingen op alle servers in het AD FS-federation-serverfarm:
  • Standaard website/adfs
  • Standaard adfs-website/ls
Ga hiervoor als volgt te werk:
  1. Open IIS-beheer en navigeer naar het niveau dat u wilt beheren. Zie voor meer informatie over het openen van IIS-beheer Open IIS-beheer (IIS 7).
  2. Dubbelklik op verificatiefuncties in de weergave.
  3. Selecteer Windows-verificatieop de pagina verificatie.
  4. Klik in het deelvenster Acties op Geavanceerde instellingen.
  5. Wanneer het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u uitvan deuitgebreide beveiliging in het vervolgmenu.
Voor actieve clients
Uitgebreide beveiliging voor verificatie voor actieve clients uitschakelen, moet u de volgende procedure uitvoeren op de primaire server voor AD FS:
  1. Open Windows PowerShell.
  2. Voer de volgende opdracht om de Windows PowerShell voor AD FS-module te laden:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Voer de volgende opdracht uit te schakelen, uitgebreide beveiliging voor verificatie:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Uitgebreide beveiliging voor verificatie opnieuw in te schakelen

Voor passieve clients
Als u uitgebreide beveiliging voor verificatie voor passieve clients opnieuw in te schakelen, moet u de volgende procedure uitvoeren voor de volgende virtuele IIS-toepassingen op alle servers in het AD FS-federation-serverfarm:
  • Standaard website/adfs
  • Standaard adfs-website/ls
Ga hiervoor als volgt te werk:
  1. Open IIS-beheer en navigeer naar het niveau dat u wilt beheren. Zie voor meer informatie over het openen van IIS-beheer Open IIS-beheer (IIS 7).
  2. Dubbelklik op verificatiefuncties in de weergave.
  3. Selecteer Windows-verificatieop de pagina verificatie.
  4. Klik in het deelvenster Acties op Geavanceerde instellingen.
  5. Wanneer in het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u accepterenvanuit het menu Uitgebreide beveiliging .
Voor actieve clients
Als u uitgebreide beveiliging voor verificatie voor actieve clients opnieuw in te schakelen, moet u de volgende procedure uitvoeren op de primaire server voor AD FS:
  1. Open Windows PowerShell.
  2. Voer de volgende opdracht om de Windows PowerShell voor AD FS-module te laden:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Voer de volgende opdracht uitgebreide beveiliging voor verificatie wilt inschakelen:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Resolutie 4: Vervang CNAME-records met de A-records voor AD FS

Gebruik DNS-beheerprogramma's op elke DNS-Alias (CNAME)-die wordt gebruikt voor de federation-service met een DNS-record vervangen de adresrecord (A). Ook, Controleer of zakelijke DNS-instellingen kunt u bij een split-brain DNS-configuratie wordt geïmplementeerd. Ga naar de volgende Microsoft TechNet-website voor meer informatie over het beheren van DNS-records:

Resolutie 5: Internet Explorer instellen als een AD FS-client voor eenmalige aanmelding (SSO)

Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie over het instellen van Internet Explorer voor toegang tot AD FS:
2535227Een federatieve gebruiker wordt onverwacht gevraagd om de referenties van zijn werk- of schoolaccount in te voeren
MEER INFORMATIE
Als u wilt helpen beveiligen van een netwerk, gebruikt AD FS uitgebreide beveiliging voor verificatie. Uitgebreide beveiliging voor verificatie voorkomen man-in-the-middle-aanvallen waarbij een aanvaller onderschept de referenties van de client en stuurt deze door naar een server. Bescherming tegen dergelijke aanvallen is mogelijk gemaakt met behulp van kanaal Binding Works (CBT). CBT kan worden vereist, toegestaan of niet door de server wordt vereist wanneer communicatie met clients zijn ingesteld.

De instelling van de ExtendedProtectionTokenCheck van AD FS wordt het niveau van uitgebreide beveiliging voor verificatie die door de federation-server wordt ondersteund. Dit zijn de beschikbare waarden voor deze instelling:
  • Vereisen: de server is volledig harde. Uitgebreide beveiliging wordt afgedwongen.
  • Toestaan: dit is de standaardinstelling. De server is deels harde. Uitgebreide beveiliging wordt afgedwongen voor de betrokken systemen die deze functie ondersteunt, worden gewijzigd.
  • Geen: de server kwetsbaar is. Uitgebreide beveiliging niet afgedwongen.
De volgende tabellen wordt beschreven hoe de verificatie voor drie besturingssystemen en browsers, afhankelijk van de verschillende opties voor uitgebreide beveiliging die beschikbaar in AD FS met IIS zijn werkt.

Opmerking Windows-besturingssystemen moet updates die zijn geïnstalleerd voor het effectief gebruik van uitgebreide beveiliging functies hebben. De functies zijn standaard ingeschakeld in AD FS. Deze updates zijn beschikbaar via de volgende Microsoft Knowledge Base-artikel:
968389 Uitgebreide beveiliging voor verificatie
Windows 7 bevat standaard de juiste binaire bestanden voor het gebruik van uitgebreide beveiliging.

Windows 7 (of op de juiste wijze bijgewerkte versies van Windows Vista of Windows XP)
InstellingVereistToestaan (standaard)Geen
Windows-communicatie
Foundation (WCF) Client (alle eindpunten)
WorksWorksWorks
Internet Explorer 8and latere versiesWorksWorksWorks
Firefox 3.6MisluktMisluktWorks
Safari-4.0.4MisluktMisluktWorks
Windows Vista zonder juiste updates
InstellingVereistToestaan (standaard)Geen
WCF-Client (alle eindpunten)MisluktWorksWorks
Internet Explorer 8and latere versiesWorksWorksWorks
Firefox 3.6MisluktWorks Works
Safari-4.0.4MisluktWorks Works
Windows XP zonder juiste updates
InstellingVereistToestaan (standaard)Geen
Internet Explorer 8and latere versiesWorksWorksWorks
Firefox 3.6MisluktWorks Works
Safari-4.0.4MisluktWorks Works
Zie de volgende Microsoft-bronnen voor meer informatie over uitgebreide beveiliging voor verificatie:
968389 Uitgebreide beveiliging voor verificatie
Ga naar de volgende Microsoft-website voor meer informatie over de cmdlet Set-ADFSProperties :

Nog steeds hulp nodig? Ga naar de Office 365-Community website of de Azure Active Directory-Forums website.

De producten van andere leveranciers die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk van Microsoft zijn. Microsoft biedt geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of betrouwbaarheid van deze producten

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 2461628 - Laatst bijgewerkt: 01/14/2016 19:57:00 - Revisie: 24.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtnl
Feedback