Erro de ADFS 2.0: 401 o recurso pedido necessita da autenticação de utilizador

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3044976
Sumário
A maior parte dos federada serviços do Active Directory (AD FS) 2.0 problemas pertencem a uma das seguintes categorias principais. Este artigo contém instruções passo a passo para resolver problemas de autenticação.
Sintomas
Quando tenta autenticar uma conta nos serviços de Federação do Active Directory (AD FS) 2.0, os seguintes erros ocorrem:
  • O servidor de AD FS devolve a seguinte mensagem de erro:

    Não autorizados-erro HTTP 401. O recurso pedido necessita da autenticação de utilizador.
  • No ecrã de início de sessão baseado no formulário, o servidor devolve a seguinte mensagem de erro:

    O nome de utilizador ou palavra-passe está incorrecto.
  • Continuamente lhe é solicitadas credenciais.
  • Evento 111 é registado no registo de AD FS Admin, do seguinte modo:

    Log Name:  AD FS 2.0/AdminEvent ID: 111Level: Error  Keywords: AD FS  Description:The Federation Service encountered an error while processing the WS-Trust request. Request type: http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue Exception details: Microsoft.IdentityModel.SecurityTokenService.FailedAuthenticationException: MSIS3019: Authentication failed. ---> System.IdentityModel.Tokens.SecurityTokenValidationException: ID4063: LogonUser failed for the 'user1' user. Ensure that the user has a valid Windows account. ---> System.ComponentModel.Win32Exception: Logon failure: unknown user name or bad password
Resolução
Para resolver este problema, siga estes passos, pela ordem indicada. Estes passos irão ajudá-lo a determinar a causa do problema.

Passo 1: Atribuir o registo de nome de serviço de Federação do AD FS correcto

Certifique-se de que o DNS tem um anfitrião (A) para gravar para o nome do serviço de Federação do AD FS e evitar a utilização de um registo CNAME. Para mais informações, consulte Comportamentos do Internet Explorer com a autenticação Kerberos.

Passo 2: Registo de nome de serviço de Federação de verificação

Nome do serviço de Federação de Locatethe e verificar se o nome está registado na conta de serviço do AD FS. Para tal, siga estes passos:
  1. Locatethe anfitrião /<Federation service="" name=""></Federation> nome:
    1. Abra o AD FS 2.0 gestor.
    2. Com o botão direito ADFS 2.0e, em seguida, seleccione Editar propriedades do serviço de Federação.
    3. Sobre o Geral de tabulação, localize o campo de nome de serviço de Federação para ver o nome.

      A captura de ecrã para nome do serviço ADFS
  2. Se HOSPEDAR verificação /<Federation service="" name=""></Federation>nome está registado na conta de serviço do AD FS:
    1. Abra o snap-in de gestão. Para tal, clique em Iniciar, clique em Todos os programas, clique em Ferramentas administrativase, em seguida, clique em Serviços.
    2. Faça duplo clique sobre o serviço do AD FS (2.0) do Windows.
    3. No separador Iniciar sessão , tenha em atenção a conta de serviço que é apresentada no campo esta conta .

      O screenshout sobre a conta de serviço
    4. Clique em Iniciar, clique em Todos os programas, clique em Acessórios, linha de comandosde contexto e, em seguida, clique em Executar como administrador.
    5. Execute o seguinte comando:
      SETSPN -L domain\<ADFS Service Account>
      A captura de ecrã para o resultado de setspn
Se o nome do serviço de Federação ainda não existir, execute o seguinte comando para adicionar o nome principal do serviço (SPN) para a conta de AD FS:
SetSPN –a host/<Federation service name> <username of service account>
A captura de ecrã de comandos setspn

Passo 3: Verificar a existência de SPNs duplicados

Certifique-se de que não existem nenhum SPNs duplicados para o nome de conta do AD FS. Para tal, siga estes passos:
  1. Clique em Iniciar, clique em Todos os programas, clique em Acessórios, linha de comandosde contexto e, em seguida, clique em Executar como administrador.
  2. Execute o seguinte comando para se certificar de que não existem nenhum SPNs duplicados para o nome de conta do AD FS:

    SETSPN –X -F

Passo 4: Verificar se o browser utiliza autenticação integrada do Windows

Certifique-se de que o Internet Explorer que está a utilizar está configurado para utilizar autenticação integrada do Windows. Para fazer isto, inicie o Internet Explorer, clique em Definições, clique em Opções da Internet, clique em Avançadase, em seguida, clique em Activar integrada<b00> </b00> Janelas Autenticação.

Passo 5: Verificar o tipo de autenticação

Certifique-se de que o tipo de autenticação predefinido no servidor de AD FS está correctamente configurado. Para tal, siga estes passos:
  1. No Explorador do Windows, navigateto C:\inetpub\adfs\ls (isto assume que inetpub. exe está localizado na unidade C).
  2. Localize Web. confige, em seguida, abra o ficheiro no bloco de notas.
  3. No ficheiro, localize (Ctrl + F) <localAuthenticationTypes> </localAuthenticationTypes> .
  4. Em <localAuthenticationTypes> </localAuthenticationTypes>, localize as quatro linhas que representam os tipos de autenticação local.
  5. Seleccione e elimine o tipo de autenticação local preferido (a linha inteira). Em seguida, cole a linha na parte superior da lista (em <localAuthenticationTypes> </localAuthenticationTypes>).
  6. Guarde e feche o ficheiro Web. config.
Para mais informações sobre o tipo de autenticação Local, consulte o seguinte tópico da TechNet:

Passo 6: Verificar as definições de autenticação

Certifique-se de que o directoriesare virtual AD FS correctamente configurado para autenticação no Internet Information Services (IIS).
  • No nó "Web Site predefinido/adfs", abra o autenticação a definição e, em seguida, certifique-se aAutenticação anónima é activada.
  • No nó "Predefinidos Web Site/adfs/ls", abra o autenticação a definição e, em seguida, certifique-se de que ambosanónimo e a autenticação do Windows estão activadas.

Passo 7: As definições de fidedignidade de proxy para verificação

Se tiver um servidor de proxy do AD FS configurado, verifique se a fidedignidade de proxy é renovada durante os intervalos de ligação entre os servidores de AD FS e Proxy do AD FS.

O servidor Proxy renova automaticamente fidedignidade com o serviço de Federação do AD FS. Se este processo falhar, é registado o evento 394 no Visualizador de eventos e recebe a seguinte mensagem de erro:

O proxy de servidor de Federação não conseguiu renovar respectiva fidedignidade com o serviço de Federação.

Para resolver este problema, tente executar novamente o Assistente de configuração o proxy do AD FS. Tal como o assistente é executado, certifique-se de que são utilizadas palavras-passe e nome de utilizador de domínio válido. Estas credenciais não são armazenadas no servidor Proxy do AD FS. Ao introduzir credenciais para o Assistente de configuração do proxy fidedignidade, tem duas opções.
  • Utilize credenciais de domínio que tenha direitos administrativos locais em servidores do AD FS.
  • Utilizar as credenciais de conta de serviço do AD FS

Passo 7: Verificação IIS "extended protecção" definições

Alguns browsers não podem ser autenticados se "expandido protecção" (ou seja, a autenticação do Windows) está activado no IIS, tal como apresentado no passo 5. Tente desactivar a autenticação do Windows para determinar se este procedimento resolve o problema.

Também verá protecção alargada não permite a autenticação do Windows quando o SSL proxy está a ser desenvolvida por ferramentas como o Fiddler ou alguns balanceadores de carga inteligente.

Por exemplo: poderá ver os pedidos de autenticação repetidos se tiver Fiddler Web depurador em execução no cliente.

Para desactivar a protecção adicional para autenticação, siga o método adequado, consoante o tipo de cliente.
Para clientes passivos
Utilize este método para as aplicações virtuais "Predefinidos Web Site/adfs/ls" em todos os servidores do farm de servidores de Federação de AD FS. Para tal, siga estes passos:
  1. Abra o Gestor de IIS e, em seguida, localize o nível que pretende gerir.

    Para mais informações sobre como abrir o Gestor de IIS, consulte Abra o Gestor de IIS (IIS 7).
  2. Na Vista de funcionalidades, faça duplo clique sobre a autenticação.
  3. Na página de autenticação , seleccione A autenticação do Windows.
  4. No painel de Acções , clique em Definições avançadas.
  5. Quando aparecer a caixa de diálogo Definições avançadas , clique em desligado no menu Expandido protecção .
Para clientes activos
Utilize este método para o servidor de AD FS primário:
  1. Inicie o Windows PowerShell.
  2. Para carregar o Windows PowerShell para snap-in AD FS, execute o seguinte comando:

    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Para desactivar a protecção adicional para autenticação, execute o seguinte comando:

    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Passo 8: Verificar o Estado de canal seguro entre o servidor ADFS e DC

Certifique-se de que o canal seguro seguro entre o AD FS e os DC é bom. Para tal, execute o seguinte comando:

Nltest /dsgetdc:domainname
Se a resposta for diferente de "êxito", tem de resolver o canal seguro do netlogon. Para tal, certifique-se de que as seguintes condições são verdadeiras:
  • O controlador de domínio (DC) está acessível
  • Nome de DC pode ser resolvido
  • Palavras-passe no computador e a sua conta no site Active Directory são sincronizados.

Passo 9: Verificar a existência de gargalos

Verifique se está perante um congestionamentos relacionados com autenticação pela definição de "MaxconcurrentAPI" no servidor de AD FS ou nos DC. Para mais informações sobre como verificar esta definição, consulte o seguinte artigo da Knowledge Base:

Passo 10: Verificar se o servidor de proxy ADFS está congestionado

Verifique se o servidor de proxy ADFS é optimização ligações porque recebidos vários pedidos ou atrasar a resposta do servidor de AD FS. Para mais informações, consulte o seguinte tópico da TechNet:


Neste cenário, pode anotar falhas de início de sessão intermitente no ADFS.

Passo 11: As definições de fidedignidade de proxy para verificação

Se tiver configurado um servidor de proxy de ADFS, verifique se a fidedignidade de proxy é renovada durante os intervalos de ligação entre os servidores de AD FS e Proxy do AD FS.

O servidor Proxy renova automaticamente fidedignidade com o serviço de Federação do AD FS. Se este processo falhar, é registado o evento 394 no Visualizador de eventos e recebe a seguinte mensagem de erro:
O proxy de servidor de Federação não conseguiu renovar respectiva fidedignidade com o serviço de Federação.

Para resolver este problema, tente executar novamente o Assistente de configuração o proxy do AD FS. Tal como o assistente é executado, certifique-se de que são utilizadas palavras-passe e nome de utilizador de domínio válido. Estas credenciais não são armazenadas no servidor Proxy do AD FS.

Passo 12: Activar o ADFS, bem como "Auditoria de início de sessão eventos" – com e sem êxito de auditoria

Para mais informações, consulte Configurar servidores ADFS para resolução de problemas.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3044976 - Última Revisão: 04/08/2016 10:40:00 - Revisão: 5.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

  • kbsurveynew kbtshoot kbexpertiseinter kbgraphxlink kbmt KB3044976 KbMtpt
Comentários