Você está offline; aguardando reconexão

Erro de ADFS 2.0: 401 o recurso solicitado requer a autenticação do usuário

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3044976
Sumário
A maioria dos Federated serviços de Active Directory (AD FS) 2.0 problemas pertencem a uma das seguintes categorias principais. Este artigo contém instruções passo a passo para solucionar problemas de autenticação.
Sintomas
Quando você tenta autenticar uma conta nos serviços de Federação do Active Directory (AD FS) 2.0, os seguintes erros ocorrem:
  • O servidor do AD FS retorna a seguinte mensagem de erro:

    Não autorizado-erro de HTTP 401. O recurso solicitado requer a autenticação do usuário.
  • Na tela de logon baseado em formulários, o servidor retorna a seguinte mensagem de erro:

    O nome de usuário ou senha está incorreta.
  • Continuamente, você será solicitado para credenciais.
  • Evento 111 é registrado no log do AD FS Admin, da seguinte maneira:

    Log Name:  AD FS 2.0/AdminEvent ID: 111Level: Error  Keywords: AD FS  Description:The Federation Service encountered an error while processing the WS-Trust request. Request type: http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue Exception details: Microsoft.IdentityModel.SecurityTokenService.FailedAuthenticationException: MSIS3019: Authentication failed. ---> System.IdentityModel.Tokens.SecurityTokenValidationException: ID4063: LogonUser failed for the 'user1' user. Ensure that the user has a valid Windows account. ---> System.ComponentModel.Win32Exception: Logon failure: unknown user name or bad password
Resolução
Para resolver esse problema, siga estas etapas na ordem apresentada. Essas etapas o ajudarão a determinar a causa do problema.

Etapa 1: Atribuir o registro correto de nome de serviço de Federação AD FS

Certifique-se de que o DNS tem um HOST (A) registro para o nome do serviço de Federação do AD FS e evitar o uso de um registro CNAME. Para obter mais informações, consulte Comportamentos do Internet Explorer com a autenticação Kerberos.

Etapa 2: Registro de nome de serviço de federação de seleção

Locatethe nome de serviço de Federação e verificar se o nome está registrado com a conta de serviço do AD FS. Para fazer isso, execute as seguintes etapas:
  1. Locatethe HOST /<Federation service="" name=""></Federation> nome:
    1. Abra o AD FS 2.0 Manager.
    2. Clique com botão direito ADFS 2.0e, em seguida, selecione Editar propriedades de serviço de Federação.
    3. Sobre o geral guia, localize o campo de nome de serviço de federação para ver o nome.

      A captura de tela para o nome do serviço ADFS
  2. Seleção se HOSPEDAR /<Federation service="" name=""></Federation>nome é registrado com a conta de serviço do AD FS:
    1. Abra o snap-in de gerenciamento. Para fazer isso, clique em Iniciar, clique em Todos os programas, clique em Ferramentas administrativase, em seguida, clique em Serviços.
    2. Clique duas vezes em serviço de Windows (2.0) do AD FS.
    3. Na guia Log , observe a conta de serviço é exibida no campo essa conta .

      Screenshout sobre a conta de serviço
    4. Clique em Iniciar, em Todos os programas, em Acessórios, clique com botão direito Prompt de comandoe, em seguida, clique em Executar como administrador.
    5. Execute o seguinte comando:
      SETSPN -L domain\<ADFS Service Account>
      A captura de tela para o resultado de setspn
Se o nome do serviço de Federação ainda não existir, execute o seguinte comando para adicionar o nome principal de serviço (SPN) para a conta do AD FS:
SetSPN –a host/<Federation service name> <username of service account>
Captura de tela do comando setspn

Etapa 3: Verifique se os SPNs duplicados

Verifique se não existem SPNs duplicados para o nome de conta do AD FS. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar, em Todos os programas, em Acessórios, clique com botão direito Prompt de comandoe, em seguida, clique em Executar como administrador.
  2. Execute o comando a seguir para certificar-se de que não existem SPNs duplicados para o nome de conta do AD FS:

    SETSPN –X -F

Etapa 4: Verifique se o navegador usa autenticação integrada do Windows

Certifique-se de que o navegador Internet Explorer que você está usando está configurado para usar autenticação integrada do Windows. Para fazer isso, inicie o Internet Explorer, clique em configurações, clique em Opções da Internet, clique em Avançadoe, em seguida, clique em integrado permitem<b00> </b00> Windows Autenticação.

Etapa 5: Verificar o tipo de autenticação

Certifique-se de que o tipo de autenticação padrão do servidor do AD FS está configurado corretamente. Para fazer isso, execute as seguintes etapas:
  1. No Windows Explorer, navigateto C:\inetpub\adfs\ls (Isso pressupõe que inetpub está localizado na unidade C).
  2. Localize o Web. confige, em seguida, abra o arquivo no bloco de notas.
  3. No arquivo, localize (Ctrl + F) <localAuthenticationTypes> </localAuthenticationTypes> .
  4. Em <localAuthenticationTypes> </localAuthenticationTypes>, localize as quatro linhas que representam os tipos de autenticação local.
  5. Selecione e exclua o tipo de autenticação local preferencial (a linha inteira). Em seguida, colar a linha na parte superior da lista (em <localAuthenticationTypes> </localAuthenticationTypes>).
  6. Salve e feche o arquivo Web. config.
Para obter mais informações sobre o tipo de autenticação Local, consulte o seguinte tópico no TechNet:

Etapa 6: Verificar as configurações de autenticação

Certifique-se de que o directoriesare virtual do AD FS corretamente configurado para a autenticação no Internet Information Services (IIS).
  • No nó "Site da Web padrão/adfs", abra a autenticação configuração e verifique se oAcesso anônimo está ativado.
  • No nó "Padrão da Web Site/adfs/ls", abra a autenticação a configuração e, em seguida, certifique-se de que ambosanônimo e a autenticação do Windows são ativados.

Etapa 7: Verifique as configurações de confiança do proxy

Se você tiver um servidor de proxy AD FS configurado, verifique se a confiança de proxy é renovada durante os intervalos de conexão entre os servidores do AD FS e Proxy do AD FS.

O servidor Proxy automaticamente renova a relação de confiança com o serviço de Federação do AD FS. Se esse processo falhar, 394 de evento é registrado no Visualizar eventos e você recebe a seguinte mensagem de erro:

O proxy de servidor de Federação não pôde renovar sua relação de confiança com o serviço de Federação.

Para resolver esse problema, tente executar o proxy do AD FS Assistente de configuração novamente. Como o assistente é executado, certifique-se de que as senhas e nome de usuário de domínio válido são usadas. Essas credenciais não são armazenadas no servidor Proxy do AD FS. Ao inserir as credenciais para o Assistente de configuração de confiança do proxy, você tem duas opções.
  • Use credenciais de domínio que tenham direitos administrativos locais nos servidores do AD FS.
  • Usar as credenciais de conta de serviço do AD FS

Etapa 7: Seleção IIS "proteção estendida" configurações

Alguns navegadores não podem autenticar se "proteção estendida" (ou seja, a autenticação do Windows) está habilitada no IIS, conforme mostrado na etapa 5. Tente desativar a autenticação do Windows para determinar se isso resolve o problema.

Você também vê proteção estendida não permitir que a autenticação do Windows quando o proxy SSL está sendo feito por ferramentas como o Fiddler ou alguns balanceadores de carga inteligente.

Por exemplo: você pode ver solicitações repetidas de autenticação se você tiver o depurador do Fiddler Web executados no cliente.

Para desativar a proteção estendida para autenticação, execute o método apropriado, dependendo do tipo de cliente.
Para os clientes passivos
Use esse método para os aplicativos virtuais "Padrão da Web Site/adfs/ls" em todos os servidores no farm de servidores de Federação do AD FS. Para fazer isso, execute as seguintes etapas:
  1. Abra o Gerenciador do IIS e, em seguida, localize o nível que você deseja gerenciar.

    Para obter mais informações sobre como abrir o Gerenciador do IIS, consulte Abra o Gerenciador do IIS (IIS 7).
  2. No modo de Exibição de recursos, clique duas vezes em autenticação.
  3. Na página de autenticação , selecione Autenticação do Windows.
  4. No painel de ações , clique em Configurações avançadas.
  5. Quando for exibida a caixa de diálogo Configurações avançadas , clique em Desativar no menu Proteção estendida .
Para os clientes do active
Use este método para o servidor primário do AD FS:
  1. Inicie o Windows PowerShell.
  2. Para carregar o Windows PowerShell para o snap-in do AD FS, execute o seguinte comando:

    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Para desativar a proteção estendida para autenticação, execute o seguinte comando:

    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Etapa 8: Verifique o status de canal seguro entre controladores de domínio e o servidor ADFS

Certifique-se de que o canal seguro seguro entre controladores de domínio e o AD FS é bom. Para fazer isso, execute o seguinte comando:

Nltest /dsgetdc:domainname
Se a resposta for algo diferente de "sucesso", você deve solucionar o canal seguro de netlogon. Para fazer isso, certifique-se de que as seguintes condições forem verdadeiras:
  • O controlador de domínio (DC) está acessível
  • Nomes de controlador de domínio podem ser resolvidos
  • Senhas no computador e sua conta no site do Active Directory são sincronizados.

Etapa 9: Seleção de gargalos

Verifique se você está enfrentando gargalos relacionados à autenticação por servidor do AD FS ou DCs a configuração de "MaxconcurrentAPI". Para obter mais informações sobre como fazer essa configuração, consulte o seguinte artigo da Base de Conhecimento:

Etapa 10: Verificar se o servidor de proxy do ADFS é congestionamento

Verifique se o servidor de proxy do ADFS está otimizando conexões porque ele foi recebido muitas solicitações ou atraso da resposta do servidor do AD FS. Para obter mais informações, consulte o seguinte tópico no TechNet:


Nesse cenário, você pode observar falhas de login intermitente no ADFS.

Etapa 11: Verifique as configurações de confiança do proxy

Se você tiver um servidor de proxy do ADFS configurado, verifique se a confiança de proxy é renovada durante os intervalos de conexão entre os servidores do AD FS e Proxy do AD FS.

O servidor Proxy automaticamente renova a relação de confiança com o serviço de Federação do AD FS. Se esse processo falhar, 394 de evento é registrado no Visualizar eventos e você recebe a seguinte mensagem de erro:
O proxy de servidor de Federação não pôde renovar sua relação de confiança com o serviço de Federação.

Para resolver esse problema, tente executar o proxy do AD FS Assistente de configuração novamente. Como o assistente é executado, certifique-se de que as senhas e nome de usuário de domínio válido são usadas. Essas credenciais não são armazenadas no servidor Proxy do AD FS.

Etapa 12: Habilitar ADFS com "Auditoria eventos de logon" – sucesso e falha de auditoria

Para obter mais informações, consulte Configurando servidores ADFS para solução de problemas.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3044976 - Última Revisão: 04/10/2016 05:39:00 - Revisão: 5.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

  • kbsurveynew kbtshoot kbexpertiseinter kbgraphxlink kbmt KB3044976 KbMtpt
Comentários
>s.dqid"; document.getElementsByTagName("head")[0].appendChild(m);