Federatieve gebruikers kunnen geen verbinding maken met een Exchange Online postvak

Symptomen

Een federatieve gebruiker kan zich niet verifiëren bij Microsoft Outlook of Microsoft Exchange ActiveSync met behulp van een smartphone in Exchange Online.

Oorzaak

Dit probleem kan optreden als aan een van de volgende voorwaarden wordt voldaan:

• De federatieservice on-premises Active Directory Federation Services (AD FS) 2.0 is niet beschikbaar via het openbare internet.
• Het SSL-certificaat (Secure Sockets Layer) dat wordt gebruikt door het AD FS 2.0-eindpunt, wordt uitgegeven door een certificeringsinstantie die niet wordt vertrouwd door het Exchange Online datacenter.

Het huidige Exchange Online-eindpunt voor Outlook maakt gebruik van basisverificatie of proxyverificatie. Dit betekent dat Outlook-clients worden geverifieerd bij de Outlook.com-service met behulp van basisverificatie. Als Outlook.com bepaalt dat de gebruiker een federatieve gebruiker is, wordt de basisverificatie via SSL namens de client doorgeschakeld naar de AD FS 2.0-server van de gebruiker. Met deze actie wordt de gebruiker lokaal geverifieerd en wordt een SAML-claim (Security Assertion Markup Language) of toegangstoken voor de gebruiker aangevraagd. Als een openbaar beschikbaar AD FS 2.0-eindpunt niet beschikbaar is, is het verificatieproces niet geslaagd en wordt de gebruiker de toegang tot het service-eindpunt geweigerd.

Gebruik Microsoft Remote Connectivity Analyzer om te testen of de on-premises AD FS 2.0-federatieservice Outlook-aanmeldingsproblemen veroorzaakt voor federatieve gebruikers. Ga hiervoor als volgt te werk:

1. Ga in Internet Explorer naar Microsoft Remote Connectivity Analyzer.

2. Typ het e-mailadres en de referenties, schakel het selectievakje bevestiging onder aan de pagina in, typ de verificatiecode en selecteer test uitvoeren. Deze test moet twee keer worden uitgevoerd. Voer de test uit met elk van de volgende referenties:

   • Een federatief account met een postvak in Exchange Online
   • Een standaardgebruikersaccount met een postvak in Exchange Online

   

3. Controleer de resultaten van beide tests om te bepalen of AD FS 2.0 het outlook-aanmeldingsprobleem veroorzaakt.

   1. Zoom in op het volgende knooppunt van de structuur Testdetails :

      RPC-/HTTP-connectiviteit testen

      • ExRCA probeert Autodiscover te testen voor john@contoso.com

      • Elke methode proberen om contact op te maken met de Autodiscover-service

      • Poging om contact op te maken met de Autodiscover-service met behulp van de HTTP-omleidingsmethode

      • Een poging om een Autodiscover POST-aanvraag te verzenden naar potentiële Autodiscover-URL's

      • ExRCA probeert een automatisch XML-antwoord op te halen van de URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml voor de gebruiker

        

   2. Controleer of aan beide voorwaarden wordt voldaan:

      • Het federatieve account heeft geen toegang tot Automatisch opsporen en ontvangt het foutbericht 'HTTP 401 geautoriseerd antwoord'.
      • Het standaardgebruikersaccount heeft toegang tot Automatisch opsporen.

   Als aan beide voorwaarden wordt voldaan, hebt u bevestigd dat SSO-fouten ertoe leiden dat Outlook-verificatie mislukt.

Oplossing 1: de on-premises AD FS 2.0-federatieservice beschikbaar maken voor internet

Stel een AD FS 2.0 federatieserverproxy in voor de on-premises AD FS 2.0-omgeving (of stel een omgekeerde firewallproxy van de AD FS 2.0 Federation Service in) die ondersteuning biedt voor eenmalige aanmelding en publiceer de proxy vervolgens op internet.

Oplossing 2: problemen met de AD FS 2.0-proxyserver oplossen

Zie Verbindingsproblemen met AD FS-eindpunten oplossen wanneer gebruikers zich aanmelden bij Microsoft 365, Intune of Azure voor meer informatie over het oplossen van problemen met ad FS 2.0-proxyservers.

Meer hulp nodig? Ga naar de website van de Microsoft-community .