Você está offline; aguardando reconexão

Um usuário federado é repetidas solicitações de credenciais durante a entrada para o Office 365, o Azure ou o Intune

O suporte para o Windows XP terminou

A Microsoft terminou o suporte para o Windows XP em 8 de abril de 2014. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 2461628
Importante: Este artigo contém informações que mostram como ajudar a diminuir as configurações de segurança ou como desativar os recursos de segurança em um computador. Você pode fazer essas alterações para solucionar um problema específico. Antes de fazer essas alterações, recomendamos que avalie os riscos associados à implementação dessa solução alternativa no ambiente específico. Se você implementar essa solução alternativa, execute quaisquer etapas adicionais apropriadas para ajudar a proteger o computador.
PROBLEMA
Um usuário federado é repetidas solicitações de credenciais quando o usuário tenta autenticar o ponto de extremidade de serviço serviços de Federação do Active Directory (AD FS) durante a entrada em um serviço de nuvem da Microsoft, como o Office 365, Microsoft Azure ou Microsoft Intune. Quando o usuário cancela, o usuário recebe a seguinte mensagem de erro:
Acesso negado
Causa
O sintoma indica um problema com a autenticação integrada do Windows com o AD FS. Esse problema pode ocorrer se uma ou mais das seguintes condições forem verdadeiras:
  • Foi usada um nome de usuário incorreto ou senha.
  • Configurações de autenticação de Internet Information Services (IIS) estiver configuradas incorretamente no AD FS.
  • O nome principal de serviço (SPN) associada a conta de serviço é usada para executar o farm do servidor de Federação do AD FS é perdido ou corrompido.

    Observação: Isso ocorre somente quando o AD FS é implementado como um farm de servidor de Federação e não implementado em uma configuração autônoma.
  • Um ou mais dos procedimentos a seguir são identificados pela proteção estendida para autenticação como uma origem de um ataque no meio:
    • Alguns navegadores de Internet de terceiros
    • O firewall de rede corporativa, o balanceador de carga de rede ou outro dispositivo de rede está publicando o serviço de Federação do AD FS na Internet de forma que dados de carga IP podem potencialmente ser reescritos. Isso possivelmente inclui os seguintes tipos de dados:
      • Secure Sockets Layer (SSL) de ponte
      • Descarregamento de SSL
      • Filtragem de pacotes com monitoração de estado

        Para obter mais informações, consulte o seguinte artigo da Base de Conhecimento Microsoft:
        2510193Cenários com suporte para o uso do AD FS para configurar o logon único no Office 365, o Azure ou o Intune
    • Um aplicativo de descriptografia de SSL ou de monitoramento está instalado ou está ativo no computador cliente
  • Resolução do domínio Name System (DNS) do ponto de extremidade de serviço do AD FS foi realizada por meio de pesquisa de registro CNAME em vez de por meio de uma pesquisa de registro A.
  • Windows Internet Explorer não está configurado para passar a autenticação integrada do Windows para o servidor do AD FS.

Antes de iniciar a solução de problemas

Verifique se o nome de usuário e senha não são a causa do problema.
  • Certifique-se de que o nome de usuário correto é usado e está no formato de nome principal (UPN) do usuário. Johnsmith@contoso.com por exemplo.
  • Certifique-se de que a senha correta é usada. Para verificar se a senha correta é usada, talvez seja necessário redefinir a senha do usuário. Para obter mais informações, consulte o seguinte artigo do Microsoft TechNet:
  • Certifique-se de que a conta não está bloqueada, expirou ou usada fora do horário de logon designado. Para obter mais informações, consulte o seguinte artigo do Microsoft TechNet:

Verificar a causa

Para verificar que os problemas de Kerberos estão causando o problema, ignore temporariamente a autenticação Kerberos, a habilitação da autenticação baseada em formulários no farm de servidores de Federação do AD FS. Para fazer isso, execute as seguintes etapas:

Etapa 1: Editar o arquivo Web. config em cada servidor no farm de servidores de Federação do AD FS
  1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, faça uma cópia de backup do arquivo Web. config.
  2. Clique em Iniciar, em Todos os programas, em Acessórios, clique em Bloco de notase, em seguida, clique em Executar como administrador.
  3. Sobre o arquivo menu, clique em Abrir. No nome de arquivo , digiteC:\inetpub\adfs\ls\web.confige, em seguida, clique em Abrir.
  4. No arquivo Web. config, execute estas etapas:
    1. Localize a linha que contém <authentication mode=""> </authentication>e altere-a para <authentication mode="Forms"> </authentication>.
    2. Localize a seção que começa com <localAuthenticationTypes> </localAuthenticationTypes>e altere a seção para que o <add name="Forms"></add> entrada é listada primeiro, da seguinte forma:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Sobre o arquivo menu, clique em Salvar.
  6. Em um prompt de comando elevado, reinicie o IIS usando o comando iisreset .
Etapa 2: Funcionalidade de teste AD FS
  1. Em um computador cliente que tenha conectado e autenticado para o local ambiente do AD DS, entrar no portal de serviço de nuvem.

    Em vez de uma experiência de autenticação normal, um sign-in com base em formulários deve ocorrer. Se a entrada for bem-sucedida usando a autenticação baseada em formulários, isso confirma que existe um problema com o Kerberos no serviço de Federação do AD FS.
  2. Reverta a configuração de cada servidor no farm de servidores de Federação do AD FS para as configurações de autenticação anterior antes de executar as etapas na seção "Resolução". Para reverter a configuração de cada servidor no farm de servidores de Federação do AD FS, siga estas etapas:
    1. No Windows Explorer, localize a pasta C:\inetpub\adfs\ls\ e, em seguida, exclua o arquivo Web. config.
    2. Mover o backup do arquivo Web. config que você criou a "etapa 1: editar o arquivo Web. config em cada servidor no farm de servidores de Federação do AD FS" seção para a pasta C:\inetpub\adfs\ls\.
  3. Em um prompt de comando elevado, reinicie o IIS usando o comando iisreset .
  4. Verifique se o comportamento de autenticação do AD FS é revertido para o problema original.
SOLUÇÃO
Para resolver o problema de Kerberos que limita a autenticação do AD FS, use um ou mais dos seguintes métodos, conforme apropriado para a situação.

Resolução 1: Configurações de autenticação redefinir o AD FS para os valores padrão

Se as configurações de autenticação do AD FS IIS estão incorretas ou não coincidem com as configurações de autenticação do IIS para serviços de Proxy e dos serviços de Federação do AD FS, uma solução é redefinir todas as configurações de autenticação do IIS com as configurações padrão do AD FS.

As configurações de autenticação padrão estão listadas na tabela a seguir.
Aplicativo virtualNíveis de autenticação
Site da Web padrão/adfsAutenticação anônima
Padrão da Web Site, o adfs/lsAutenticação anônima
Autenticação do Windows
Em cada servidor de Federação do AD FS e cada proxy de servidor de Federação do AD FS, use as informações no seguinte artigo do Microsoft TechNet para redefinir os aplicativos virtuais do IIS do AD FS para as configurações de autenticação padrão:Para obter mais informações sobre como resolver esse erro, consulte os seguintes artigos da Base de Conhecimento Microsoft:
907273 Solucionando problemas de erros de HTTP 401 no IIS

871179 Você receberá um "Erro de HTTP 401.1 - não autorizado: acesso negado devido a credenciais inválidas" mensagem de erro quando você tentar acessar um site que faz parte de um pool de aplicativos do IIS 6.0

Resolução 2: Corrigir o farm de servidores de Federação do AD FS SPN

Observação: Tente essa resolução apenas quando o AD FS é implementado como um farm de servidor de Federação. Não tente essa resolução em uma configuração autônoma do AD FS.

Para resolver o problema se o SPN para o serviço AD FS for perdido ou corrompido na conta de serviço do AD FS, execute estas etapas em um servidor no farm de servidores de Federação do AD FS:
  1. Abra o snap-in de gerenciamento de serviços. Para fazer isso, clique em Iniciar, clique em Todos os programas, clique em Ferramentas administrativase, em seguida, clique em Serviços.
  2. Clique duas vezes em serviço de Windows (2.0) do AD FS.
  3. Sobre o Log On guia, observe a conta de serviço é exibida em Esta conta.
  4. Clique em Iniciar, em Todos os programas, em Acessórios, clique com botão direito Prompt de comandoe, em seguida, clique em Executar como administrador.
  5. Tipo Host do SetSPN – f – q /<AD fs="" service="" name=""></AD>, e então pressione Enter.

    Observação: Neste comando, <AD fs="" service="" name=""></AD> representa o nome do serviço do domínio totalmente qualificado (FQDN) do nome do ponto de extremidade de serviço do AD FS. Ela não representa o nome do host do Windows do servidor do AD FS.
    • Se mais de uma entrada é retornada para o comando e o resultado é associado uma conta de usuário diferente daquele que foi observado na etapa 3, remova a associação. Para fazer isso, execute o seguinte comando:
      SetSPN-d host /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Se mais de uma entrada é retornada para o comando e o SPN usa o mesmo nome como o nome do computador do servidor do AD FS no Windows, o nome de ponto de extremidade de Federação do AD FS é incorreto. O AD FS deve ser implementado novamente. O FQDN do farm de servidor de Federação do AD FS não pode ser idêntico ao nome de host do Windows de um servidor existente.
    • Se o SPN não existir, execute o seguinte comando:
      SetSPN – um host /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Observação: Neste comando, <username of="" service="" account=""></username> representa o nome do usuário que foi observado na etapa 3.
  6. Depois que as etapas são realizadas em todos os servidores no farm de servidores de Federação do AD FS, clique com botão direito o Serviço do Windows do AD FS (2.0) no snap-in Gerenciamento de serviços e, em seguida, clique em Reiniciar.

Resolução 3: Resolver proteção estendido para questões de autenticação

Para resolver o problema se proteção estendida para autenticação impede a autenticação bem-sucedida, use um dos seguintes métodos recomendados:
  • Método 1: usar o Windows Internet Explorer 8 (ou uma versão posterior do programa) para entrar.
  • Método 2: publicar serviços do AD FS na Internet de forma que a ponte SSL, descarregamento de SSL ou filtragem de pacotes com monitoração de estado não regrava dados de carga IP. A proposta das práticas recomendadas para essa finalidade é usar um servidor de Proxy do AD FS.
  • Método 3: fechar ou desativar monitoramento ou aplicativos descriptografar o SSL.
Se você não pode usar qualquer um dos seguintes métodos para solucionar esse problema, proteção estendida para autenticação pode ser desativada para clientes passivos e ativos.

Solução alternativa: Desabilitar proteção estendida para autenticação

Aviso Não é recomendável que você usar esse procedimento como uma solução a longo prazo. Desabilitar a proteção estendida para autenticação enfraquece o perfil de segurança do AD FS serviço por não detectar certos ataques no meio em pontos de extremidade de autenticação integrada do Windows.

Observação: Quando esta solução alternativa for aplicada para a funcionalidade do aplicativo de terceiros, você também deve desinstalar hotfixes no sistema operacional do cliente para proteção estendida para autenticação. Para obter mais informações sobre os hotfixes, consulte o seguinte artigo da Base de Conhecimento Microsoft:
968389 Proteção estendida para autenticação
Para os clientes passivos
Para desativar a proteção estendida para autenticação de clientes passivos, execute o procedimento a seguir para os seguintes aplicativos virtuais do IIS em todos os servidores no farm de servidores de Federação do AD FS:
  • Site da Web padrão/adfs
  • Padrão da Web Site, o adfs/ls
Para fazer isso, execute as seguintes etapas:
  1. Abra o Gerenciador do IIS e navegue para o nível que você deseja gerenciar. Para obter informações sobre como abrir o Gerenciador do IIS, consulte Abra o Gerenciador do IIS (IIS 7).
  2. No modo de exibição de recursos, clique duas vezes em autenticação.
  3. Na página de autenticação, selecione Autenticação do Windows.
  4. No painel de ações , clique em Configurações avançadas.
  5. Quando for exibida a caixa de diálogo Configurações avançadas , selecione Desativardoproteção estendido menu drop-down.
Para os clientes do active
Para desativar a proteção estendida para autenticação de clientes ativos, execute o procedimento a seguir no servidor primário do AD FS:
  1. Abrir o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para desativar a proteção estendida para autenticação:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Reabilitar a proteção estendida para autenticação

Para os clientes passivos
Para reabilitar a proteção estendida para autenticação de clientes passivos, execute o procedimento a seguir para os seguintes aplicativos virtuais do IIS em todos os servidores no farm de servidores de Federação do AD FS:
  • Site da Web padrão/adfs
  • Padrão da Web Site, o adfs/ls
Para fazer isso, execute as seguintes etapas:
  1. Abra o Gerenciador do IIS e navegue para o nível que você deseja gerenciar. Para obter informações sobre como abrir o Gerenciador do IIS, consulte Abra o Gerenciador do IIS (IIS 7).
  2. No modo de exibição de recursos, clique duas vezes em autenticação.
  3. Na página de autenticação, selecione Autenticação do Windows.
  4. No painel de ações , clique em Configurações avançadas.
  5. Quando for exibida a caixa de diálogo Configurações avançadas , selecione Aceitarno menu suspenso Proteção estendida .
Para os clientes do active
Para reabilitar a proteção estendida para autenticação de clientes ativos, execute o procedimento a seguir no servidor primário do AD FS:
  1. Abrir o Windows PowerShell.
  2. Execute o seguinte comando para carregar o Windows PowerShell para o snap-in do AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Execute o seguinte comando para ativar a proteção estendida para autenticação:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Resolução 4: Substituir registros CNAME com registros do AD FS

Usar ferramentas de gerenciamento de DNS para substituir cada registro de Alias do DNS (CNAME) que é usado para o serviço de federação com um DNS (A) registro de endereço. Além disso, verifique ou considerar as configurações de DNS corporativas quando a configuração de DNS Split-Brain é implementada. Para obter mais informações sobre como gerenciar os registros de DNS, consulte o seguinte site da Microsoft TechNet:

Resolução 5: Configurar o Internet Explorer como um cliente do AD FS para single sign-on (SSO)

Para obter mais informações sobre como configurar o Internet Explorer para acessar o AD FS, consulte o seguinte artigo da Base de Conhecimento Microsoft:
2535227Um usuário federado é-lhe pedido inesperadamente para inserir seu trabalho ou escola credenciais de conta
Mais informações
Para ajudar a proteger uma rede, o AD FS usa proteção estendida para autenticação. Proteção estendida para autenticação pode ajudar a impedir ataques no meio, no qual um invasor intercepta as credenciais do cliente e os encaminha para um servidor. Proteção contra esses ataques é possibilitada por meio de canal de ligação Works (CBT). CBT pode ser necessária, permitido ou não requerido pelo servidor quando as comunicações estabelecidas com os clientes.

A configuração ExtendedProtectionTokenCheck AD FS Especifica o nível de proteção estendida para autenticação é suportada pelo servidor de Federação. Estes são os valores disponíveis para essa configuração:
  • Exigir: O servidor não está totalmente protegido. Proteção estendida é aplicada.
  • Permitir: esta é a configuração padrão. O servidor está parcialmente protegido. Proteção estendida será aplicada a sistemas envolvidos são alterados para oferecer suporte a esse recurso.
  • Nenhum: O servidor está vulnerável. Proteção estendida não é imposta.
As tabelas a seguir descrevem o funcionamento da autenticação de três sistemas operacionais e navegadores, dependendo das opções de proteção estendida diferentes que estão disponíveis no AD FS com o IIS.

Observação: Sistemas operacionais clientes Windows deve ter as atualizações específicas que são instaladas para usar com eficiência os recursos de proteção estendida. Por padrão, os recursos são ativados no AD FS. Essas atualizações estão disponíveis no seguinte artigo da Base de Conhecimento Microsoft:
968389 Proteção estendida para autenticação
Por padrão, o Windows 7 inclui os binários apropriados para usar proteção estendida.

O Windows 7 (ou atualizadas apropriadamente as versões do Windows Vista ou do Windows XP)
ConfiguraçãoExigirPermitir (padrão)Nenhum
Comunicação do Windows
Cliente Foundation (WCF) (todos os pontos de extremidade)
WorksWorksWorks
8and Internet Explorer versões posterioresWorksWorksWorks
Firefox 3.6FalhaFalhaWorks
Safari 4.0.4FalhaFalhaWorks
Windows Vista sem atualizações apropriadas
ConfiguraçãoExigirPermitir (padrão)Nenhum
Cliente do WCF (todos os pontos de extremidade)FalhaWorksWorks
8and Internet Explorer versões posterioresWorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Windows XP sem atualizações apropriadas
ConfiguraçãoExigirPermitir (padrão)Nenhum
8and Internet Explorer versões posterioresWorksWorksWorks
Firefox 3.6FalhaWorks Works
Safari 4.0.4FalhaWorks Works
Para obter mais informações sobre a proteção estendida para autenticação, consulte os seguintes recursos da Microsoft:
968389 Proteção estendida para autenticação
Para obter mais informações sobre o cmdlet Set-ADFSProperties , visite o seguinte site da Microsoft:

Ainda precisa de ajuda? Vá para o Comunidade do Office 365 site ou o Fóruns do Azure do Active Directory .

Os produtos de terceiros descritos neste artigo são fabricados por empresas que são independentes da Microsoft. Microsoft não oferece nenhuma garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2461628 - Última Revisão: 01/14/2016 19:58:00 - Revisão: 24.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtpt
Comentários