Un utilizator federativ se solicită în mod repetat acreditările în timpul de conectare la Office 365, Azure sau Intune

Asistența pentru Windows XP s-a încheiat

Microsoft a încheiat asistența pentru Windows XP la data de 8 aprilie 2014. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2461628
Important Acest articol conține informații care vă arată cum să setați un nivel scăzut de securitate sau cum să dezactivați caracteristicile de securitate de pe un calculator. Puteţi face aceste modificări pentru a rezolva o anumită problemă. Înainte de a face aceste modificări, vă recomandăm să evaluați riscurile asociate implementării această soluție în mediul dvs. Dacă implementați această soluție, efectuați orice pași suplimentari adecvați pentru a contribui la protejarea computerului.
PROBLEMA
Un utilizator federativ se solicită în mod repetat acreditările atunci când utilizatorul încearcă să se autentifice la punctul final de serviciul Active Directory Federation Services (AD FS) în timpul de conectare la un serviciu de cloud Microsoft Office 365, Microsoft Azure sau Microsoft Intune. Atunci când utilizatorul se revocă, utilizatorul primește următorul mesaj de eroare:
Acces refuzat
CAUZA
Simptomul indică o problemă cu autentificare Windows integrată cu AD FS. Această problemă poate apărea dacă una sau mai multe dintre următoarele condiții sunt adevărate:
  • S-a utilizat un nume de utilizator incorect sau parola.
  • Setările de autentificare Internet Information Services (IIS) sunt configurate incorect în AD FS.
  • Nume principal serviciu (SPN) asociate cu contul de serviciu, care este utilizat pentru a executa Uniunea de fermă de servere de federalizare AD FS este pierdut sau deteriorat.

    Notă Acest lucru se produce numai atunci când AD FS este implementat ca o fermă de fermă de servere de federalizare și Neimplementat într-o configurație independent.
  • Una sau mai multe dintre următoarele sunt identificate de protecție extins pentru autentificarea ca sursă de atacuri om în mijlocul:
    • Unele terț Internet browsere
    • Paravanul de protecție rețea de firmă, rețea echilibrare sau alt dispozitiv de rețea este publicarea AD FS Federation Service la internet, astfel că IP componentă date potențial poate fi rescris. Aceasta include, eventual, următoarele tipuri de date:
      • Secure Sockets Layer (SSL) legarea punților
      • Descărcarea SSL
      • Filtrarea pachetelor statefull

        Pentru mai multe informații, consultați următorul articol din baza de cunoștințe Microsoft:
        2510193Scenarii acceptate pentru utilizarea AD FS pentru a configura sign-on unic în Office 365, Azure sau Intune
    • Un control sau o aplicație de decriptare SSL este instalat sau este activ pe computer client
  • Domain Name System (DNS) rezoluție de punct final serviciu AD FS s-a efectuat prin CNAME record căutare în loc de la o Căutare după înregistrare A.
  • Windows Internet Explorer nu este configurat pentru a trece la serverul AD FS de autentificare Windows integrată.

Înainte de a începe depanarea

Verificați că nume de sign-in de utilizator și parola nu sunt cauza problemei.
  • Asigurați-vă că nume de sign-in de utilizator corect este utilizat în format de nume principal (UPN) utilizator. De exemplu, johnsmith@contoso.com.
  • Asigurați-vă că este utilizat parola corectă. Pentru a verificaţi că este utilizat parola corectă, trebuie să reinițializați parola de utilizator. Pentru mai multe informații, consultați următorul articol Microsoft TechNet:
  • Asigurați-vă că contul nu este blocat, a expirat sau utilizate în afara În afara orelor de vârf de conecta desemnat. Pentru mai multe informații, consultați următorul articol Microsoft TechNet:

Verificați cauza

Pentru a verifica că Kerberos probleme sunt cauza problemei, temporar bypass autentificarea Kerberos activând Autentificarea bazată pe formulare pe Uniunea de fermă de servere de federalizare AD FS. Pentru a face acest lucru, urmați acești pași:

Pasul 1: Editați fișierul web.config pe fiecare server din Uniunea de fermă de servere de federalizare AD FS
  1. În Windows Explorer, găsiţi folderul C:\inetpub\adfs\ls\ și apoi creați o copie de fișierul web.config.
  2. Faceți clic pe Start, faceți clic pe Toate programele, faceți clic pe accesorii, faceţi clic dreapta pe Notepadși apoi faceți clic pe Executare ca administrator.
  3. Pe fișier meniul, faceți clic pe Deschidere. În nume de fișier , tastațiC:\inetpub\adfs\ls\web.config, apoi faceți clic pe Deschidere.
  4. În fișierul web.config, urmați acești pași:
    1. Găsiți linia care conține <authentication mode=""> </authentication>, apoi să modificați <authentication mode="Forms"> </authentication>.
    2. Găsiți secțiunea care începe cu <localAuthenticationTypes> </localAuthenticationTypes>, apoi modificați secțiunea, astfel încât <add name="Forms"></add> intrare este listat mai întâi, după cum urmează:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Pe fișier meniul, faceți clic pe Salvare.
  6. Într-un prompt de comandă privilegiat, reporniţi IIS utilizând comanda iisreset .
Pasul 2: Funcționalitatea de testare AD FS
  1. Pe un computer client care are conectat și autentificat la local AD DS mediu, faceți sign in la portalul de serviciul cloud.

    În loc de o experiență fără autentificare, un bazată pe formulare de conectare ar trebui să experimentat. Dacă Conectare utilizând autentificarea bazată pe formulare, acest lucru se confirmă că există o problemă cu Kerberos în serviciul de federalizare AD FS.
  2. Restabiliți configurația de fiecare server din Uniunea de fermă de servere federalizare AD FS la setările anterioare de autentificare înainte să urmați pașii din secțiunea "Rezolvare". Pentru a reveni la configurația de fiecare server din Uniunea de fermă de servere de federalizare AD FS, urmați acești pași:
    1. În Windows Explorer, găsiţi folderul C:\inetpub\adfs\ls\, și apoi ștergeți fișierul web.config.
    2. Mutați copia de rezervă a fișierul web.config create în "Pasul 1: editați fișierul web.config pe fiecare server din Uniunea de fermă de servere de federalizare AD FS" secțiune în folderul C:\inetpub\adfs\ls\.
  3. Într-un prompt de comandă privilegiat, reporniţi IIS utilizând comanda iisreset .
  4. Verificați că comportamentul de autentificare AD FS revine la problema original.
SOLUȚIE
Pentru a rezolva problema Kerberos care limitează autentificare AD FS, utilizați una sau mai multe dintre următoarele metode, în funcție de situație.

Rezolvarea 1: Reinițializare AD FS autentificare setările la valorile implicite

Dacă setările de autentificare AD FS IIS sunt incorecte sau setările de autentificare IIS pentru AD FS Federation Services și consolidare servicii Proxy nu se potrivesc, o soluție este să reinițializați toate setările de autentificare IIS la setările implicite AD FS.

Setările implicite de autentificare sunt listate în următorul tabel.
Virtuală de aplicațiiAutentificare (nivelurile)
site web implicit/adfsautentificare anonimă
site web implicit/adfs/lsautentificare anonimă
Autentificare Windows
Pe fiecare server de federalizare AD FS și pe fiecare AD FS federation server proxy, utilizați informațiile din următorul articol Microsoft TechNet pentru a reinițializa AD FS IIS aplicațiile virtuale la setările implicite de autentificare:Pentru mai multe informații despre modul de a rezolva această eroare, consultați următoarele articole din baza de cunoștințe Microsoft:
907273 Depanarea erorilor HTTP 401 în IIS

871179 Primiți o "eroare HTTP 401.1 - Unauthorized: Access is denied Due to invalid credentials" mesaj de eroare când încercați să accesați un site Web care face parte dintr-un rezervor de aplicații IIS 6.0

Rezolvarea 2: Corecta ferma de fermă de servere de federalizare AD FS SPN

Notă Încercați această rezolvare numai atunci când AD FS este implementat ca o federație ferma de fermă de servere. Încercați această rezolvare într-o configurație independent AD FS.

Pentru a rezolva problema dacă SPN pentru serviciul AD FS pierdute sau deteriorate pe contul de serviciu AD FS, urmați acești pași pe un server din Uniunea de fermă de servere de federalizare AD FS:
  1. Deschideți consolidare servicii de completare snap-in management. Pentru aceasta, faceți clic pe Start, faceți clic pe Toate programele, faceți clic pe Instrumente de administrareși apoi faceți clic pe consolidare servicii.
  2. Faceți dublu clic pe serviciul AD FS (2.0) Windows.
  3. Pe conecta , notați contul de serviciu care se afișează în Acest cont.
  4. Faceți clic pe Start, faceți clic pe Toate programele, faceți clic pe accesorii, faceţi clic dreapta pe linia Către de comandăși apoi faceți clic pe Executare ca administrator.
  5. Tip SetSPN – f-q gazdă /<AD fs="" service="" name=""></AD>, apoi apăsați Enter.

    Notă În această comandă, <AD fs="" service="" name=""></AD> reprezintă domeniu complet calificat (FQDN) service nume de punct final serviciu AD FS. Aceasta nu reprezintă nume de sign-in de gazdă Windows server AD FS.
    • Dacă mai mult de o intrare este returnat pentru comanda și rezultatul este asociat cu un cont de utilizator decât cea pe care s-a notat în Pasul 3, eliminați acea asociere. Pentru aceasta, executaţi următoarea comandă:
      SetSPN – d gazdă /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Dacă mai mult de o intrare este returnat pentru comanda și SPN utilizează același nume ca nume de computer al serverului AD FS în Windows, nume de sign-in endpoint federalizare AD FS este incorectă. AD FS trebuie să fi implementat din nou. nume de sign-in FQDN al Uniunea de fermă de servere de federalizare AD FS nu trebuie să fie identic cu nume de sign-in de gazdă Windows de la un server existente.
    • Dacă SPN nu există deja, executaţi următoarea comandă:
      SetSPN – o gazdă /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Notă În această comandă, <username of="" service="" account=""></username> reprezintă nume de sign-in de utilizator care s-a notat în Pasul 3.
  6. După acești pași se efectuează pe toate serverele din Uniunea de fermă de servere de federalizare AD FS, faceți clic dreapta pe Serviciul Windows AD FS (2.0) în serviciile de completare snap-in management și apoi faceți clic pe repornire.

Rezolvarea 3: Rezolva protecție extins pentru probleme de autentificare

Pentru a rezolva problema dacă protecția extins pentru autentificarea împiedică autentificare cu succes, utilizați una dintre următoarele metode recomandate:
  • Metoda 1: utilizarea Windows Internet Explorer 8 (sau o versiune mai recentă a programului) pentru a face sign in.
  • Metoda 2: publică AD FS consolidare servicii Internet într-un mod punte SSL, SSL descărcarea sau filtrarea pachetelor statefull nu rescrie IP componentă date. Recomandarea cea mai bună practică în acest scop este să utilizați un Server de Proxy AD FS.
  • Metoda 3: închide sau dezactiva monitorizarea sau decriptarea SSL aplicații.
Dacă oricare dintre aceste metode, puteți folosi pentru a rezolva această problemă, extins de protecție pentru autentificare pot fi dezactivate pentru clienți activ și pasiv.

Soluție: Dezactiva protecția extinsă pentru autentificare

Avertisment Nu recomandăm să utilizați această procedură ca soluție pe termen lung. Dezactivarea extins de protecție pentru autentificarea slăbeşte AD FS serviciu profil de securitate prin nu detectează anumite atacuri om în mijlocul autentificare Windows integrată puncte finale.

Notă Atunci când această rezolvare se aplică pentru aplicație terță funcționalitatea, trebuie să dezinstalați, de asemenea, remedieri rapide pe sistemul de operare client pentru protecție extins pentru autentificare. Pentru mai multe informații despre remedierile rapide, consultaţi următorul articol din baza de cunoștințe Microsoft:
968389 Protecţie extinsă pentru autentificare
Pentru clienții pasiv
Pentru a dezactiva protecția extins pentru autentificarea pentru clienții pasiv, efectuați procedura următoare pentru următoarele aplicații virtuale IIS pe toate serverele din Uniunea de fermă de servere de federalizare AD FS:
  • site web implicit/adfs
  • site web implicit/adfs/ls
Pentru a face acest lucru, urmați acești pași:
  1. Deschideți IIS Manager și navigați la nivelul dorit de gestionare. Pentru informații despre deschiderea IIS Manager, consultați Deschideți IIS Manager (IIS 7).
  2. În vizualizarea caracteristici, faceți dublu clic pe autentificare.
  3. Pe pagină de autentificare, selectați Autentificare Windows.
  4. În panoul acțiuni , faceți clic pe Setări complexe.
  5. Atunci când apare casetă de dialog Setări complexe , selectați Dezactivaredinextins protecție meniul vertical.
Pentru clienții activ
Pentru a dezactiva protecția extins pentru autentificarea pentru clienții active, efectuați următoarea procedură pe serverul AD FS principală:
  1. Deschideți Windows PowerShell.
  2. Executaţi următoarea comandă pentru a încărca Windows PowerShell pentru AD FS de completare snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Executaţi următoarea comandă pentru a dezactiva protecția extins pentru autentificare:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Reactivați protecția extinsă pentru autentificare

Pentru clienții pasiv
Pentru a reactiva extins de protecție pentru autentificarea pentru clienții pasiv, efectuați procedura următoare pentru următoarele aplicații virtuale IIS pe toate serverele din Uniunea de fermă de servere de federalizare AD FS:
  • site web implicit/adfs
  • site web implicit/adfs/ls
Pentru a face acest lucru, urmați acești pași:
  1. Deschideți IIS Manager și navigați la nivelul dorit de gestionare. Pentru informații despre deschiderea IIS Manager, consultați Deschideți IIS Manager (IIS 7).
  2. În vizualizarea caracteristici, faceți dublu clic pe autentificare.
  3. Pe pagină de autentificare, selectați Autentificare Windows.
  4. În panoul acțiuni , faceți clic pe Setări complexe.
  5. Atunci când apare casetă de dialog Setări complexe , selectați Acceptdin meniul vertical Extins Protection .
Pentru clienții activ
Pentru a reactiva extins de protecție pentru autentificarea pentru clienții active, efectuați următoarea procedură pe serverul AD FS principală:
  1. Deschideți Windows PowerShell.
  2. Executaţi următoarea comandă pentru a încărca Windows PowerShell pentru AD FS de completare snap-in:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Executaţi următoarea comandă pentru a activa extins de protecție pentru autentificare:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Rezolvarea 4: Înlocuiți înregistrări CNAME cu un înregistrări pentru AD FS

Utilizați instrumentele de gestionare DNS pentru a înlocui fiecare înregistrare DNS Alias (CNAME) care a utilizat pentru serviciul de federalizare cu o adresă DNS înregistrare (A). De asemenea, verificați sau firmă setărilor DNS să luăm în considerare atunci când se implementează o configurație split-brain DNS. Pentru mai multe informații despre cum se gestionează înregistrările DNS, mergeţi la următorul site Web Microsoft TechNet:

Soluţia 5: Configura Internet Explorer ca un client AD FS pentru sign-on unic (SSO)

Pentru mai multe informații despre cum se configurează Internet Explorer pentru AD FS access, consultaţi următorul articol din baza de cunoștințe Microsoft:
2535227Un utilizator federativ este solicită în mod neașteptat să introduceți activitate de firmă sau school acreditările de cont
MAI MULTE INFORMAȚII
Pentru a proteja o rețea, AD FS utilizează protecție extins pentru autentificare. Protecţie extinsă pentru autentificarea poate ajuta la prevenirea atacurilor de om în mijlocul în care un atacator intercepteaza acreditările de un client și le redirecționează la un server. Protecție împotriva atacurilor astfel este posibilă utilizând canal de legare funcționează (CBT). CBT pot fi necesare, permis sau nu este obligatorie de server când communications sunt stabilite cu clienții.

Setarea ExtendedProtectionTokenCheck AD FS specifică nivelul de protecţie extinsă pentru autentificare care este acceptat de federalizare server. Acestea sunt disponibile valorile pentru această setare:
  • Necesită: serverul este complet securizată. Protecţie extinsă este activat.
  • Allow: aceasta este setarea implicită. Serverul este parțial securizată. Protecţie extinsă este impusă pentru sistemele implicate care sunt modificate pentru a accepta această caracteristică.
  • None: serverul este vulnerabil. Protecție extins nu este activat.
Următorul tabel descrie modul de autentificare funcţionează pentru trei sisteme de operare și browsere, în funcție de opțiunile de protecție extins diferite care sunt disponibile pe AD FS cu IIS.

Notă Sisteme de operare Windows client trebuie să aibă anumite actualizări care sunt instalate pentru a utiliza în mod eficient caracteristicile de protecție împotriva extins. implicit, caracteristicile sunt activate în AD FS. Aceste actualizări sunt disponibile din următorul articol din baza de cunoștințe Microsoft:
968389 Protecţie extinsă pentru autentificare
implicit, Windows 7 include fișierele binare corespunzătoare pentru a utiliza extins Protection.

Windows 7 (sau versiuni actualizate în mod corespunzător de Windows Vista sau Windows XP)
SetareNecesităPermite (implicit)None
Windows Communication
Client Foundation (WCF) (toate puncte finale)
LucrăriLucrăriLucrări
Internet Explorer 8and versiuni mai recenteLucrăriLucrăriLucrări
Firefox 3.6Nu reușeșteNu reușeșteLucrări
Safari 4.0.4Nu reușeșteNu reușeșteLucrări
Windows Vista fără actualizările adecvate
SetareNecesităPermite (implicit)None
Client WCF (toate puncte finale)Nu reușeșteLucrăriLucrări
Internet Explorer 8and versiuni mai recenteLucrăriLucrăriLucrări
Firefox 3.6Nu reușeșteLucrări Lucrări
Safari 4.0.4Nu reușeșteLucrări Lucrări
Windows XP fără actualizările adecvate
SetareNecesităPermite (implicit)None
Internet Explorer 8and versiuni mai recenteLucrăriLucrăriLucrări
Firefox 3.6Nu reușeșteLucrări Lucrări
Safari 4.0.4Nu reușeșteLucrări Lucrări
Pentru mai multe informații despre protecția extins pentru autentificarea, consultați următoarele resurse Microsoft:
968389 Protecţie extinsă pentru autentificare
Pentru mai multe informații despre cmdletul Set-ADFSProperties , mergeţi la următorul site Web Microsoft:

Încă mai aveți nevoie de ajutor? Accesați Comunitatea Office 365 site-ul sau Forumuri Azure Active Directory .

Produsele terţe despre care se discută în acest articol sunt fabricate de companii independente de Microsoft. Microsoft nu garantează în niciun fel, implicit sau în alt mod, funcționarea sau fiabilitatea acestor produse

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2461628 - Ultima examinare: 01/15/2016 06:03:00 - Revizie: 22.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtro
Feedback