Verbindingsproblemen met AD FS-eindpunten oplossen wanneer gebruikers zich aanmelden bij Microsoft 365, Intune of Azure

Probleem

Wanneer gebruikers zich aanmelden bij een Microsoft-cloudservice zoals Microsoft 365, Microsoft Intune of Microsoft Azure met behulp van een federatief gebruikersaccount, mislukt de verbinding met de service Active Directory Federation Services (AD FS) alleen wanneer gebruikers het volgende proberen te doen:

  • Verbinding maken vanaf een externe internetlocatie
  • E-mailverbindingen gebruiken om u aan te melden

Deze situatie zorgt er ook voor dat eenmalige aanmeldingstests die de Remote Connectivity Analyzer uitvoert, mislukken.

Zie de volgende artikelen in de Microsoft Knowledge Base voor meer informatie over het uitvoeren van de Remote Connectivity Analyzer om eenmalige aanmeldingsverificatie in Microsoft 365 te testen:

  • 2650717 Remote Connectivity Analyzer gebruiken om problemen met eenmalige aanmelding op te lossen voor Microsoft 365, Azure of Intune
  • 2466333 federatieve gebruikers kunnen geen verbinding maken met een Exchange Online postvak

Oorzaak

Deze fouten kunnen optreden als de AD FS-service niet correct wordt weergegeven op internet. Normaal gesproken wordt de AD FS-proxyserver voor dit doel gebruikt en problemen met de AD FS-proxyserver veroorzaken deze symptomen. Veelvoorkomende problemen zijn onder andere:

  • Verlopen SSL-certificaat dat is toegewezen aan de AD FS-proxyserver

    Vaak wordt hetzelfde SSL-certificaat gebruikt om communicatie (HTTPS) te beveiligen voor zowel de AD FS Federation-service als de AD FS-proxyserver. Wanneer dit certificaat is verlopen en het certificaat wordt vernieuwd of bijgewerkt op de AD FS Federation Service-farm, moet het SSL-certificaat ook worden bijgewerkt op alle AD FS-proxyservers. Als het SSL-certificaat van de AD FS-proxyserver in dit geval niet wordt bijgewerkt, kunnen internetverbindingen met de AD FS-service mislukken, zelfs als de AD FS Federation-service in orde is.

  • Onjuiste configuratie van IIS-verificatie-eindpunten

    De rol van de AD FS-proxyserver is om internetcommunicatie te ontvangen die is gericht op AD FS en om die communicatie door te geven aan de AD FS Federation Service. Daarom is het belangrijk dat de IIS-verificatie-instelling van de AD FS Federation-service en proxyserver elkaar aanvullen. Wanneer de IIS-verificatie-instellingen van de AD FS-proxyserver niet zijn ingesteld als aanvulling op de AD FS Federation Service IIS-verificatie-instellingen, kan de aanmelding mislukken of kan er meerdere, onverwachte prompts worden gegenereerd.

  • Verbroken vertrouwensrelatie tussen de AD FS-proxyserver en de AD FS Federation-service

    De AD FS-proxyservice is ontworpen om te worden geïnstalleerd op een computer die niet lid is van een domein. Daarom kan de communicatie tussen de AD FS-proxyserver en de AD FS Federation-service niet worden gebaseerd op een Active Directory-vertrouwensrelatie of referenties. In plaats daarvan wordt de communicatie tussen deze twee serverfuncties tot stand gebracht met behulp van een token dat is uitgegeven aan de AD FS-proxyserver door de AD FS Federation-service en is ondertekend door het AD FS-tokenondertekeningscertificaat. Wanneer deze vertrouwensrelatie is verlopen of ongeldig is, kan de AD FS-proxyservice geen AD FS-aanvragen doorgeven en moet de vertrouwensrelatie opnieuw worden opgebouwd om de functionaliteit te herstellen.

Oplossing

Om dit probleem op te lossen, gebruikt u een van de volgende methoden, afhankelijk van uw situatie, op alle niet-werkende AD FS-proxyservers.

Methode 1: Problemen met AD FS SSL-certificaten op de AD FS-server oplossen

Ga hiervoor als volgt te werk:

  1. Los problemen met SSL-certificaten op de AD FS Federation-service (niet de proxyservice) op met behulp van het volgende Microsoft Knowledge Base-artikel:

    2523494 U ontvangt een certificaatwaarschuwing van AD FS wanneer u zich probeert aan te melden bij Microsoft 365, Azure of Intune

  2. Als het SSL-certificaat van de AD FS Federation Service correct werkt, werkt u het SSL-certificaat op de AD FS-proxyserver bij met behulp van de export- en importfuncties voor certificaten. Zie het volgende Microsoft Knowledge Base-artikel voor meer informatie:
    179380 Digitale certificaten verwijderen, importeren en exporteren

Methode 2: De IIS-verificatie-instellingen van de AD FS-proxyserver opnieuw instellen op de standaardinstelling

Volg hiervoor de stappen die worden beschreven in Oplossing 1 van het volgende Microsoft Knowledge Base-artikel voor de AD FS-proxyserver:

2461628 Een federatieve gebruiker wordt herhaaldelijk om referenties gevraagd tijdens het aanmelden bij Microsoft 365, Azure of Intune

Methode 3: De wizard AD FS-proxy configureren opnieuw uitvoeren

Voer hiervoor de wizard Ad FS-federatieserverproxy opnieuw uit vanuit de interface van de beheerprogramma's van alle betrokken AD FS-proxyservers.

Opmerking

Het is gebruikelijk om een waarschuwing te ontvangen van de stap 'Browser aanmelden website implementeren' wanneer u de configuratiewizard opnieuw uitvoert. Dit is geen indicatie dat de wizard de vertrouwensrelatie tussen de AD FS-proxyserver en de AD FS Federation-service niet opnieuw heeft opgebouwd.

Meer informatie

Ga naar de volgende Microsoft-website voor meer informatie over het beschikbaar maken van de AD FS-service op internet met behulp van een AD FS-proxyserver:

AD FS 2.0 plannen en implementeren voor gebruik met eenmalige aanmelding

Meer hulp nodig? Ga naar Microsoft Community.