Błąd podczas próby skonfigurowania innej domeny federacyjnej w Office 365, azure lub Intune: Identyfikator usługi federacyjnej określony na serwerze usług AD FS 2.0 jest już używany
Ten artykuł zawiera informacje dotyczące rozwiązywania problemu, w którym podczas uruchamiania New-MSOLFederatedDomain polecenia lub Convert-MSOLDomainToFederated polecenia jest wyświetlany komunikat o błędzie przy użyciu modułu usługi Azure Active Directory dla Windows PowerShell.
Oryginalna wersja produktu: Cloud Services (role sieci Web/role procesu roboczego), Tożsamość Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2618887
Uwaga
Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.
Symptomy
W usłudze w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Azure lub Microsoft Intune, nie można skonfigurować drugiej domeny federacyjnej na serwerze Active Directory Federation Services (AD FS). Gdy używasz modułu usługi Azure Active Directory dla Windows PowerShell do uruchomienia New-MSOLFederatedDomain polecenia lub Convert-MSOLDomainToFederated polecenia, zostanie wyświetlony następujący komunikat o błędzie:
Identyfikator usługi federacyjnej określony na serwerze Active Directory Federation Services 2.0 jest już używany. Popraw tę wartość w konsoli zarządzania usług AD FS 2.0 i uruchom polecenie ponownie.
Przyczyna
System uwierzytelniania Microsoft Entra wymaga unikatowego identyfikatora jednolitego zasobu (URI) marki federacyjnej dla każdej domeny federacyjnej. Domyślnie usługi AD FS używa wartości globalnej dla wszystkich federacyjnych relacji zaufania. Podczas próby federowania drugiej domeny w scenariuszu, w którym już istnieje zaufanie federacyjne, żądanie kończy się niepowodzeniem, ponieważ identyfikator URI jest już używany.
Rozwiązanie
Aby rozwiązać ten problem, należy użyć przełącznika -supportmultipledomain , aby dodać lub przekonwertować każdą domenę federacyjną przez usługę w chmurze. Obejmuje to domeny federacyjne, które już istnieją.
Krok 1. Instalowanie pakietu zbiorczego aktualizacji 1 dla usług AD FS 2.0
W każdym węźle farmy usług federacyjnych usług AD FS 2.0 pobierz i zainstaluj pakiet zbiorczy aktualizacji 1 dla usług AD FS 2.0. Aby uzyskać więcej informacji na temat pobierania i instalowania pakietu zbiorczego aktualizacji 1 dla usług AD FS 2.0, zobacz Opis pakietu zbiorczego aktualizacji 1 dla Active Directory Federation Services (AD FS) 2.0.
Uwaga
Ta aktualizacja wymaga ponownego uruchomienia komputera. Jeśli komputer nie zostanie uruchomiony ponownie, wystąpi problem "Niestety, ale mamy problem z zalogowaniem się" i błędem "8004789A", gdy użytkownik federacyjny próbuje zalogować się do Office 365, platformy Azure lub Intune.
Krok 2. Sprawdzanie, Update-MSOLFederatedDomain czy polecenie można uruchomić pomyślnie w środowisku usług AD FS
Wybierz pozycję Uruchom>wszystkie programy>w usłudze Windows Azure Active Directory, kliknij prawym przyciskiem myszy moduł Windows Azure Active Directory dla Windows PowerShell i wybierz pozycję Uruchom jako administrator.
W wierszu polecenia uruchom następujące polecenia w kolejności, w jakiej są prezentowane. Po wprowadzeniu każdego polecenia naciśnij klawisz Enter.
Connect-MSOLServiceUwaga
Po wyświetleniu monitu wprowadź poświadczenia administratora globalnego usługi w chmurze.
Set-MSOLADFSContext -Computer <AD FS 2.0 server name>Uwaga
W tym poleceniu <nazwa> serwera usług AD FS 2.0 jest nazwą komputera węzła w farmie usług federacyjnych usług AD FS.
Update-MSOLFederatedDomain -DomainName <Federated Domain Name>Uwaga
W tym poleceniu <federacyjna nazwa> domeny jest nazwą domeny, która jest już sfederowana z Tożsamość Microsoft Entra logowania jednokrotnego.
Update-MSOLFederatedDomainJeśli polecenie zakończy się pomyślnie i nie zostaną wyświetlone komunikaty o błędach, przejdź do kroku 3, aby usunąć zaufanie federacyjne z serwera usług AD FS.
Krok 3. Aktualizowanie zaufania federacyjnego na serwerze usług AD FS
Ostrzeżenie
Poniższe kroki należy dokładnie zaplanować. Użytkownicy, dla których funkcja logowania jednokrotnego jest włączona w domenie federacyjnej, nie będą mogli uwierzytelniać się między wykonaniem kroków C i D. Update-MSOLFederatedDomain Jeśli test polecenia w kroku 2 nie został ukończony pomyślnie, krok D tej procedury nie zakończy się poprawnie. Użytkownicy federacyjni nie będą mogli uwierzytelniać się, dopóki Update-MSOLFederatedDomain polecenie nie zostanie pomyślnie uruchomione.
Zaloguj się do konsoli serwera usług AD FS, wybierz pozycję Uruchom>wszystkie programy>Narzędzia administracyjne, a następnie wybierz pozycjęZarządzanie usługami D FS (2.0).
W okienku nawigacji po lewej stronie wybierz pozycję AD FS (2.0), wybierz pozycję Relacje zaufania, a następnie wybierz pozycję Relacje jednostki uzależnionej.
W okienku po prawej stronie usuń wpis Microsoft Office 365 Identity Platform.
Utwórz ponownie usunięty obiekt zaufania przy użyciu przełącznika
-supportmultipledomain. W oknie programu PowerShell otwartym od kroku 1C uruchom następujące polecenie, a następnie naciśnij klawisz Enter:Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
Uwaga
W tym poleceniu <federacyjna nazwa> domeny to nazwa domeny, która jest już sfederowana z usługą w chmurze dla logowania jednokrotnego.
Krok 4. Dodawanie lub konwertowanie dodatkowych domen federacyjnych za pomocą -supportmultipledomain przełącznika
Po zaktualizowaniu istniejącego zaufania w kroku 2 użyj przełącznika -supportmultipledomain, aby dodać lub przekonwertować dodatkowe domeny federacyjne. Ten przełącznik informuje polecenie o użyciu unikatowej przestrzeni nazw identyfikatora URI dla każdej domeny federacyjnej przez usługę w chmurze. W tym celu użyj jednej z następujących składni poleceń:
New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain
Uwaga
W tym poleceniu nazwa> domeny reprezentuje nazwę domeny, <którą próbujesz sfederować.
Obejście problemu
Zaimplementuj farmę usług federacyjnych usług AD FS, aby federować każdą domenę usługi w chmurze, dla której będą używane funkcje logowania jednokrotnego. Wskazówki dotyczące implementacji usług AD FS dotyczące Office 365 można znaleźć w następującym artykule:
Wskazówki dotyczące implementacji krok po kroku: planowanie i wdrażanie Active Directory Federation Services 2.0 do użycia z logowaniem jednokrotnym
Skontaktuj się z nami, aby uzyskać pomoc
Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla