Een federatieve gebruiker wordt herhaaldelijk om referenties gevraagd tijdens het aanmelden bij Microsoft 365, Azure of Intune
Belangrijk
Dit artikel bevat informatie over het verlagen van beveiligingsinstellingen of het uitschakelen van beveiligingsfuncties op een computer. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, raden we u aan de risico's te evalueren die gepaard gaan met het implementeren van deze tijdelijke oplossing in uw specifieke omgeving. Als u deze tijdelijke oplossing implementeert, voert u de benodigde aanvullende stappen uit om de computer te beveiligen.
Probleem
Een federatieve gebruiker wordt herhaaldelijk om referenties gevraagd wanneer de gebruiker probeert te verifiëren bij het service-eindpunt van Active Directory Federation Services (AD FS) tijdens het aanmelden bij een Microsoft-cloudservice, zoals Microsoft 365, Microsoft Azure of Microsoft Intune. Wanneer de gebruiker annuleert, ontvangt de gebruiker het foutbericht Toegang geweigerd .
Oorzaak
Het symptoom duidt op een probleem met geïntegreerde Windows-verificatie met AD FS. Dit probleem kan optreden als aan een of meer van de volgende voorwaarden wordt voldaan:
Er is een onjuiste gebruikersnaam of een onjuist wachtwoord gebruikt.
Verificatie-instellingen voor Internet Information Services (IIS) zijn onjuist ingesteld in AD FS.
De service-principal name (SPN) die is gekoppeld aan het serviceaccount dat wordt gebruikt om de AD FS-federatieserverfarm uit te voeren, is verloren of beschadigd.
Opmerking
Dit gebeurt alleen wanneer AD FS wordt geïmplementeerd als een federatieserverfarm en niet wordt geïmplementeerd in een zelfstandige configuratie.
Een of meer van de volgende worden geïdentificeerd door Uitgebreide beveiliging voor verificatie als een bron van een man-in-the-middle-aanval:
- Sommige internetbrowsers van derden
- De firewall van het bedrijfsnetwerk, de load balancer van het netwerk of een ander netwerkapparaat publiceert de AD FS Federation-service op internet op een zodanige manier dat gegevens van de IP-nettolading mogelijk opnieuw kunnen worden geschreven. Dit omvat mogelijk de volgende soorten gegevens:
SSL-overbrugging (Secure Sockets Layer)
SSL-offloading
Stateful pakketfiltering
Raadpleeg het volgende Microsoft Knowledge Base-artikel voor meer informatie:
2510193 Ondersteunde scenario's voor het gebruik van AD FS voor het instellen van eenmalige aanmelding in Microsoft 365, Azure of Intune
- Er is een bewakings- of SSL-ontsleutelingstoepassing geïnstalleerd of actief op de clientcomputer
Dns-resolutie (Domain Name System) van het AD FS-service-eindpunt is uitgevoerd via CNAME-recordzoekactie in plaats van via een A-recordzoekactie.
Windows Internet Explorer is niet geconfigureerd om geïntegreerde Windows-verificatie door te geven aan de AD FS-server.
Voordat u begint met het oplossen van problemen
Controleer of de gebruikersnaam en het wachtwoord niet de oorzaak van het probleem zijn.
Zorg ervoor dat de juiste gebruikersnaam wordt gebruikt en de UPN-indeling (User Principal Name) heeft. Bijvoorbeeld johnsmith@contoso.com.
Zorg ervoor dat het juiste wachtwoord wordt gebruikt. Als u wilt controleren of het juiste wachtwoord wordt gebruikt, moet u mogelijk het gebruikerswachtwoord opnieuw instellen. Zie het volgende Microsoft TechNet-artikel voor meer informatie:
Zorg ervoor dat het account niet is vergrendeld, verlopen of buiten de aangewezen aanmeldingstijden wordt gebruikt. Zie het volgende Microsoft TechNet-artikel voor meer informatie: Gebruikers beheren
De oorzaak verifiëren
Als u wilt controleren of Kerberos-problemen het probleem veroorzaken, kunt u kerberos-verificatie tijdelijk omzeilen door verificatie op basis van formulieren in te schakelen op de federatieserverfarm van AD FS. Ga hiervoor als volgt te werk:
Stap 1: bewerk het web.config-bestand op elke server in de AD FS-federatieserverfarm
Zoek in Windows Verkenner de map C:\inetpub\adfs\ls\ en maak vervolgens een back-up van het web.config-bestand.
Klik op Start, klik op Alle programma's, klik op Accessoires, klik met de rechtermuisknop op Kladblok en klik vervolgens op Als beheerder uitvoeren.
Klik in het menu Bestand op Openen. Typ C:\inetpub\adfs\ls\web.config in het vak Bestandsnaam en klik vervolgens op Openen.
Voer in het web.config-bestand de volgende stappen uit:
Zoek de regel met <de verificatiemodus> en wijzig deze in <verificatiemodus="Forms"/>.
Zoek de sectie die begint met <localAuthenticationTypes> en wijzig vervolgens de sectie zodat de < vermelding add name="Forms"> als eerste wordt weergegeven, als volgt:
<localAuthenticationTypes> <add name="Forms" page="FormsSignIn.aspx" /> <add name="Integrated" page="auth/integrated/" /> <add name="TlsClient" page="auth/sslclient/" /> <add name="Basic" page="auth/basic/" />
Klik in het menu Bestand op Opslaan.
Start IIS opnieuw op bij een opdrachtprompt met verhoogde bevoegdheid met behulp van de opdracht iisreset.
Stap 2: AD FS-functionaliteit testen
Meld u aan bij de cloudserviceportal op een clientcomputer die is verbonden met en is geverifieerd met de on-premises AD DS-omgeving.
In plaats van een naadloze verificatie-ervaring moet een aanmelding op basis van formulieren worden ervaren. Als het aanmelden is gelukt met behulp van verificatie op basis van formulieren, bevestigt dit dat er een probleem met Kerberos optreedt in de AD FS Federation-service.
Herstel de configuratie van elke server in de AD FS-federatieserverfarm naar de vorige verificatie-instellingen voordat u de stappen in de sectie Oplossing volgt. Voer de volgende stappen uit om de configuratie van elke server in de AD FS-federatieserverfarm terug te keren:
- Zoek in Windows Verkenner de map C:\inetpub\adfs\ls\ en verwijder vervolgens het bestand web.config.
- Verplaats de back-up van het web.config-bestand dat u hebt gemaakt in de sectie 'Stap 1: het web.config-bestand bewerken op elke server in de AD FS-federatieserverfarm' naar de map C:\inetpub\adfs\ls\.
Start IIS opnieuw op bij een opdrachtprompt met verhoogde bevoegdheid met behulp van de opdracht iisreset.
Controleer of het AD FS-verificatiegedrag wordt hersteld naar het oorspronkelijke probleem.
Oplossing
Als u het Kerberos-probleem dat AD FS-verificatie beperkt, wilt oplossen, gebruikt u een of meer van de volgende methoden, afhankelijk van de situatie.
Oplossing 1: ad FS-verificatie-instellingen opnieuw instellen op de standaardwaarden
Als de ad FS IIS-verificatie-instellingen onjuist zijn of als de IIS-verificatie-instellingen voor AD FS Federation Services en Proxy Services niet overeenkomen, is een oplossing om alle IIS-verificatie-instellingen opnieuw in te stellen op de standaard AD FS-instellingen.
De standaardverificatie-instellingen worden weergegeven in de volgende tabel.
| Virtuele toepassing | Verificatieniveau(s) |
|---|---|
| Standaardwebsite/adfs | Anonieme verificatie |
| Standaardwebsite/adfs/ls | Anonieme verificatie, Windows-verificatie |
Gebruik op elke AD FS-federatieserver en op elke AD FS-federatieserverproxy de informatie in het volgende Microsoft TechNet-artikel om de virtuele AD FS IIS-toepassingen opnieuw in te stellen op de standaardverificatie-instellingen:
Verificatie configureren in IIS 7
Oplossing 2: Corrigeer de SPN van de FEDERATIEve serverfarm van AD FS
Opmerking
Probeer deze oplossing alleen wanneer AD FS is geïmplementeerd als een federatieserverfarm. Probeer deze oplossing niet in een zelfstandige AD FS-configuratie.
Als u het probleem wilt oplossen als de SPN voor de AD FS-service verloren gaat of beschadigd is in het AD FS-serviceaccount, volgt u deze stappen op één server in de federatieve serverfarm van AD FS:
Open de module Servicesbeheer. Klik hiervoor op Start, klik op Alle programma's, klik op Systeembeheer en klik vervolgens op Services.
Dubbelklik op AD FS (2.0) Windows-service.
Noteer op het tabblad Aanmelden het serviceaccount dat wordt weergegeven in Dit account.
Klik op Start, klik op Alle programma's, klik op Accessoires, klik met de rechtermuisknop op Opdrachtprompt en klik vervolgens op Als administrator uitvoeren.
Typ de volgende opdracht en druk daarna op Enter.
SetSPN –f –q host/<AD FS service name>Opmerking
In deze opdracht <vertegenwoordigt AD FS-servicenaam> de FQDN-servicenaam (Fully Qualified Domain Name) van het AD FS-service-eindpunt. Het vertegenwoordigt niet de Windows-hostnaam van de AD FS-server.
Als er meer dan één vermelding wordt geretourneerd voor de opdracht en het resultaat is gekoppeld aan een ander gebruikersaccount dan het account dat is genoteerd in stap 3, verwijdert u die koppeling. Voer hiervoor de volgende opdracht uit:
SetSPN –d host/<AD FS service name><bad_username>Als meer dan één vermelding wordt geretourneerd voor de opdracht en de SPN dezelfde naam gebruikt als de computernaam van de AD FS-server in Windows, is de naam van het federatie-eindpunt voor AD FS onjuist. AD FS moet opnieuw worden geïmplementeerd. De FQDN van de AD FS-federatieserverfarm mag niet identiek zijn aan de Windows-hostnaam van een bestaande server.
Als de SPN nog niet bestaat, voert u de volgende opdracht uit:
SetSPN –a host/<AD FS service name><username of service account>Opmerking
In deze opdracht <vertegenwoordigt de gebruikersnaam van het serviceaccount> de gebruikersnaam die is genoteerd in stap 3.
Nadat deze stappen zijn uitgevoerd op alle servers in de federatieve serverfarm van AD FS, klikt u met de rechtermuisknop op AD FS (2.0) Windows-service in de module Servicesbeheer en klikt u vervolgens op Opnieuw opstarten.
Oplossing 3: Uitgebreide beveiliging voor verificatieproblemen oplossen
Gebruik een van de volgende aanbevolen methoden om het probleem op te lossen als uitgebreide beveiliging voor verificatie een geslaagde verificatie verhindert:
- Methode 1: Gebruik Windows Internet Explorer 8 (of een latere versie van het programma) om u aan te melden.
- Methode 2: Publiceer AD FS-services op internet op een zodanige manier dat SSL-bridging, SSL-offloading of stateful pakketfiltering geen IP-nettoladinggegevens opnieuw schrijven. De aanbevolen procedure voor dit doel is om een AD FS-proxyserver te gebruiken.
- Methode 3: Toepassingen voor bewaking of SSL-ontsleuteling sluiten of uitschakelen.
Als u geen van deze methoden kunt gebruiken om dit probleem te omzeilen, kan Uitgebreide beveiliging voor verificatie worden uitgeschakeld voor passieve en actieve clients.
Tijdelijke oplossing: Uitgebreide beveiliging voor verificatie uitschakelen
Waarschuwing
We raden u af om deze procedure te gebruiken als een langetermijnoplossing. Het uitschakelen van uitgebreide beveiliging voor verificatie verzwakt het beveiligingsprofiel van de AD FS-service door bepaalde man-in-the-middle-aanvallen op geïntegreerde Windows-verificatie-eindpunten niet te detecteren.
Opmerking
Wanneer deze tijdelijke oplossing wordt toegepast op toepassingsfunctionaliteit van derden, moet u ook hotfixes verwijderen op het clientbesturingssysteem voor uitgebreide beveiliging voor verificatie.
Voor passieve clients
Als u uitgebreide beveiliging voor verificatie voor passieve clients wilt uitschakelen, voert u de volgende procedure uit voor de volgende virtuele IIS-toepassingen op alle servers in de federatieve serverfarm van AD FS:
- Standaardwebsite/adfs
- Standaardwebsite/adfs/ls
Ga hiervoor als volgt te werk:
- Open IIS-beheer en navigeer naar het niveau dat u wilt beheren. Zie IIS-beheer openen (IIS 7) voor meer informatie over het openen van IIS-beheer.
- Dubbelklik in de weergave Functies op Verificatie.
- Selecteer op de pagina Verificatie de optie Windows-verificatie.
- Klik in het deelvenster Acties op Geavanceerde instellingen.
- Wanneer het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u Uit in de vervolgkeuzelijst Uitgebreide beveiliging .
Voor actieve clients
Als u Uitgebreide beveiliging voor verificatie voor actieve clients wilt uitschakelen, voert u de volgende procedure uit op de primaire AD FS-server:
Open Windows PowerShell.
Voer de volgende opdracht uit om de Windows PowerShell voor AD FS-module te laden:
Add-PsSnapIn Microsoft.Adfs.PowershellVoer de volgende opdracht uit om Uitgebreide beveiliging voor verificatie uit te schakelen:
Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
Uitgebreide beveiliging opnieuw inschakelen voor verificatie
Voor passieve clients
Als u uitgebreide beveiliging voor verificatie voor passieve clients opnieuw wilt inschakelen, voert u de volgende procedure uit voor de volgende virtuele IIS-toepassingen op alle servers in de federatieve serverfarm van AD FS:
- Standaardwebsite/adfs
- Standaardwebsite/adfs/ls
Ga hiervoor als volgt te werk:
- Open IIS-beheer en navigeer naar het niveau dat u wilt beheren. Zie IIS-beheer openen (IIS 7) voor meer informatie over het openen van IIS-beheer.
- Dubbelklik in de weergave Functies op Verificatie.
- Selecteer op de pagina Verificatie de optie Windows-verificatie.
- Klik in het deelvenster Acties op Geavanceerde instellingen.
- Wanneer het dialoogvenster Geavanceerde instellingen wordt weergegeven, selecteert u Accepteren in de vervolgkeuzelijst Uitgebreide beveiliging .
Voor actieve clients
Als u uitgebreide beveiliging voor verificatie voor actieve clients opnieuw wilt inschakelen, voert u de volgende procedure uit op de primaire AD FS-server:
Open Windows PowerShell.
Voer de volgende opdracht uit om de Windows PowerShell voor AD FS-module te laden:
Add-PsSnapIn Microsoft.Adfs.PowershellVoer de volgende opdracht uit om Uitgebreide beveiliging voor verificatie in te schakelen:
Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
Oplossing 4: CNAME-records vervangen door A-records voor AD FS
Gebruik DNS-beheerhulpprogramma's om elke DNS-aliasrecord (CNAME) die wordt gebruikt voor de federatieservice te vervangen door een DNS-adresrecord (A). Controleer of overweeg ook bedrijfs-DNS-instellingen wanneer een split-brain DNS-configuratie wordt geïmplementeerd. Zie DNS-records beheren voor meer informatie over het beheren van DNS-records.
Oplossing 5: Internet Explorer instellen als een AD FS-client voor eenmalige aanmelding (SSO)
Zie Een federatieve gebruiker wordt onverwacht gevraagd om referenties voor werk- of schoolaccounts in te voeren voor meer informatie over het instellen van Internet Explorer voor AD FS-toegang.
Meer informatie
Om een netwerk te beveiligen, gebruikt AD FS Uitgebreide beveiliging voor verificatie. Uitgebreide beveiliging voor verificatie kan helpen bij het voorkomen van man-in-the-middle-aanvallen waarbij een aanvaller de referenties van een client onderschept en deze doorstuurt naar een server. Bescherming tegen dergelijke aanvallen wordt mogelijk gemaakt met behulp van Channel Binding Works (CBT). CBT kan worden vereist, toegestaan of niet vereist door de server wanneer communicatie met clients tot stand wordt gebracht.
De instelling ExtendedProtectionTokenCheck AD FS geeft het niveau van uitgebreide beveiliging voor verificatie op dat wordt ondersteund door de federatieserver. Dit zijn de beschikbare waarden voor deze instelling:
- Vereisen: de server is volledig beveiligd. Uitgebreide beveiliging wordt afgedwongen.
- Toestaan: dit is de standaardinstelling. De server is gedeeltelijk beveiligd. Uitgebreide beveiliging wordt afgedwongen voor betrokken systemen die zijn gewijzigd om deze functie te ondersteunen.
- Geen: de server is kwetsbaar. Uitgebreide beveiliging wordt niet afgedwongen.
In de volgende tabellen wordt beschreven hoe verificatie werkt voor drie besturingssystemen en browsers, afhankelijk van de verschillende opties voor uitgebreide beveiliging die beschikbaar zijn op AD FS met IIS.
Opmerking
Windows-clientbesturingssystemen moeten specifieke updates hebben die zijn geïnstalleerd om functies voor uitgebreide beveiliging effectief te kunnen gebruiken. De functies zijn standaard ingeschakeld in AD FS.
Standaard bevat Windows 7 de juiste binaire bestanden voor het gebruik van uitgebreide beveiliging.
Windows 7 (of op de juiste wijze bijgewerkte versies van Windows Vista of Windows XP)
| Instelling | Vereisen | Toestaan (de standaardinstelling) | Geen |
|---|---|---|---|
| Wcf-client (Windows Communication Foundation) (alle eindpunten) | Werkt | Werkt | Werkt |
| Internet Explorer 8 en latere versies | Werkt | Werkt | Werkt |
| Firefox 3.6 | Mislukt | Mislukt | Werkt |
| Safari 4.0.4 | Mislukt | Mislukt | Werkt |
Windows Vista zonder de juiste updates
| Instelling | Vereisen | Toestaan (de standaardinstelling) | Geen |
|---|---|---|---|
| WCF-client (alle eindpunten) | Mislukt | Werkt | Werkt |
| Internet Explorer 8 en latere versies | Werkt | Werkt | Werkt |
| Firefox 3.6 | Mislukt | Werkt | Werkt |
| Safari 4.0.4 | Mislukt | Werkt | Werkt |
Windows XP zonder de juiste updates
| Instelling | Vereisen | Toestaan (de standaardinstelling) | Geen |
|---|---|---|---|
| Internet Explorer 8 en latere versies | Werkt | Werkt | Werkt |
| Firefox 3.6 | Mislukt | Werkt | Werkt |
| Safari 4.0.4 | Mislukt | Werkt | Werkt |
Zie de volgende Microsoft-resource voor meer informatie over uitgebreide beveiliging voor verificatie:
Geavanceerde opties configureren voor AD FS 2.0
Ga naar de volgende Microsoft-website voor meer informatie over de cmdlet Set-ADFSProperties:
Meer hulp nodig? Ga naar de Microsoft-community of de website Microsoft Entra Forums.
De producten van derden die in dit artikel worden vermeld, worden vervaardigd door bedrijven die onafhankelijk zijn van Microsoft. Microsoft verleent dan ook geen enkele garantie, impliciet noch anderszins, omtrent de prestaties of de betrouwbaarheid van deze producten.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor