В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету
Войти

Федеративный пользователь постоянно предлагается ввести учетные данные во время входа в Office 365, Azure или Intune

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

2461628
Важно: Данная статья содержит сведения о том, как понизить уровень безопасности либо отключить функции безопасности на компьютере. Эти изменения вносятся для устранения определенной проблемы. Прежде чем вносить эти изменения, рекомендуется оценить риски, связанные с ними в конкретной среде. При реализации этого метода обхода необходимо выполните все необходимые дополнительные меры для защиты компьютера.
ПРОБЛЕМА
Федеративный пользователь неоднократно запрашиваться учетные данные при попытке проверки подлинности для конечной точки службы служб федерации Active Directory (AD FS) во время входа в службе облака Microsoft Office 365, Microsoft Intune или Microsoft Azure. При отмене пользователем, пользователь получает следующее сообщение об ошибке:
Отказано в доступе
ПРИЧИНА
Симптом указывает на проблему с встроенной проверки подлинности Windows с AD FS. Эта проблема может возникнуть, если один или нескольких из следующих условий:
  • Было использовано неправильное имя пользователя или пароль.
  • Параметры проверки подлинности Internet Information Services (IIS) заданы неправильно в AD FS.
  • Имя участника службы (SPN), связанный с учетной записью службы, которая используется для запуска фермы серверов федерации AD FS потерян или поврежден.

    Примечание Это происходит только в том случае, когда реализованы в виде фермы серверов федерации AD FS и не реализованы в изолированной конфигурации.
  • Одно или несколько из следующих идентифицируются по расширенной защиты для проверки подлинности как источник атаки в середине:
    • Некоторые интернет-обозреватели сторонних
    • Корпоративной сети, защищенной брандмауэром, балансировки сетевой нагрузки или другие сетевые устройства публикация службы федерации AD FS в Интернете таким образом, что потенциально может быть переписан полезных данных IP. Возможно, это включает следующие типы данных:
      • Secure Sockets Layer (SSL) мост
      • Разгрузки SSL
      • Фильтрация пакетов с отслеживанием состояния

        Для получения дополнительных сведений обратитесь к следующей статье Microsoft Knowledge Base:
        2510193Поддерживаемые сценарии использования службы федерации Active Directory для настройки единого входа в Office 365, Azure или Intune
    • Наблюдение или приложение расшифровки SSL установлен и активен на клиентском компьютере
  • Разрешение доменных имен (DNS) конечной точки службы AD FS была выполнена путем поиска записи CNAME вместо путем поиска записи A.
  • Windows Internet Explorer не настроен для передачи встроенную проверку подлинности Windows на сервере AD FS.

Прежде чем начать устранение неполадок

Проверьте, что имя пользователя и пароль не являются причиной проблемы.
  • Убедитесь, что используется корректное имя пользователя используется и в формате имени участника (UPN) пользователя. For example, johnsmith@contoso.com.
  • Убедитесь, что используется правильный пароль. Чтобы повторно проверьте, что используется правильный пароль, необходимо сбросить пароль пользователя. Для получения дополнительных сведений обратитесь к следующей статье Microsoft TechNet:
  • Убедитесь, что учетная запись не заблокирована, истек или использовать вне времени входа, заданного. Для получения дополнительных сведений обратитесь к следующей статье Microsoft TechNet:

Проверьте причину

Чтобы проверить, что проблему вызывают проблемы с Kerberos, временно обойти проверку подлинности Kerberos с помощью проверки подлинности на основе форм в ферме серверов федерации AD FS. Чтобы сделать это, выполните следующие действия.

Шаг 1: Изменение файла web.config на каждом сервере в ферме серверов федерации AD FS
  1. В проводнике Windows перейдите в папку C:\inetpub\adfs\ls\, а затем создайте резервную копию файла web.config.
  2. Нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши «Блокнот»и выберите команду Запуск от имени администратора.
  3. На файл меню, нажмите кнопку Открыть. В имя файла введитеC:\inetpub\adfs\ls\web.config, а затем нажмите кнопку Открыть.
  4. В файле web.config выполните следующие действия.
    1. Найдите строку, содержащую <authentication mode=""> </authentication>, а затем измените его, чтобы <authentication mode="Forms"> </authentication>.
    2. Найдите раздел, начинающийся с <localAuthenticationTypes> </localAuthenticationTypes>и затем измените раздел таким образом, чтобы <add name="Forms"></add> запись присутствует, во-первых, как показано ниже:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. На файл меню, нажмите кнопку Сохранить.
  6. В командной строке с повышенными привилегиями перезапустите службы IIS с помощью команды iisreset .
Шаг 2: Функциональные возможности тестирования AD FS
  1. На клиентском компьютере, подключение и проверку подлинности на предприятии среды AD DS, вход на портал службы облаков.

    Вместо возможности эффективной проверки подлинности на основе форм вход должны возникать из. Если вход выполнен успешно с использованием проверки подлинности на основе форм, это подтверждает, что существует проблема с Kerberos в службе федерации AD FS.
  2. Обратное преобразование конфигурации каждого из серверов в ферме серверов федерации AD FS для прежних настроек проверки подлинности выполните действия, описанные в разделе «Решение». Чтобы восстановить настройки каждого сервера в ферме серверов федерации AD FS, выполните следующие действия.
    1. В проводнике Windows перейдите в папку C:\inetpub\adfs\ls\ и затем удалите файл web.config.
    2. Переместите резервную копию файла web.config, который был создан в «шаг 1: изменение файла web.config на каждом сервере в ферме серверов федерации AD FS "раздел в папку C:\inetpub\adfs\ls\.
  3. В командной строке с повышенными привилегиями перезапустите службы IIS с помощью команды iisreset .
  4. Проверьте, что поведение проверки подлинности службы федерации Active Directory возвращается к исходной проблемы.
РЕШЕНИЕ
Для решения проблемы Kerberos, который ограничивает проверки подлинности службы федерации Active Directory, используйте одно или несколько из перечисленных ниже способов, в зависимости от ситуации.

Решение 1: Параметры проверки подлинности AD FS сброса значения по умолчанию

Если параметры проверки подлинности AD FS IIS неверны или параметры проверки подлинности IIS для служб федерации AD FS и службы прокси не совпадают, одним из решений является сбросить все параметры проверки подлинности IIS по умолчанию службы федерации Active Directory.

В следующей таблице перечислены параметры проверки подлинности по умолчанию.
Виртуальное приложениеУровень проверки подлинности
Веб-узел по умолчанию/adfsАнонимная проверка подлинности
По умолчанию веб-узел/adfs/lsАнонимная проверка подлинности
Проверка подлинности Windows
На каждый сервер федерации AD FS и каждый прокси-сервер федерации AD FS используйте сведения в следующей статье Microsoft TechNet для сброса виртуальных приложений AD FS IIS для проверки подлинности по умолчанию:Дополнительные сведения о том, как устранить эту ошибку, обратитесь к следующим статьям Microsoft Knowledge Base:
907273 Устранение ошибок 401 протокола HTTP в IIS

871179 Появляется «HTTP Ошибка 401.1 - доступ запрещен: доступ запрещен из-за неправильные учетные данные» сообщение об ошибке при попытке доступа к веб-узла, который является частью пула приложений IIS 6.0

Решение 2: Решения фермы серверов федерации AD FS SPN

Примечание Попробуйте это решение только при реализации службы федерации Active Directory в ферме серверов федерации. Не используйте это решение в изолированной конфигурации AD FS.

Чтобы устранить эту проблему, если имя участника-службы для службы AD FS потерю или повреждение учетной записи службы AD FS, выполните следующие действия на одном сервере в ферме серверов федерации AD FS.
  1. Откройте оснастку службы управления. Для этого нажмите кнопку Пуск, выберите пункт Все программы, выделите пункт Администрированиеи выберите службы.
  2. Дважды щелкните значок службы AD FS (2.0) Windows.
  3. На Вход вкладке, следует иметь в виду учетной записи службы, которая отображается в поле Учетная запись.
  4. Нажмите кнопку Пуск, выберите пункт Все программы, Стандартные, щелкните правой кнопкой мыши командную строкуи выберите команду Запуск от имени администратора.
  5. Тип Хост – q SetSPN – f /<AD fs="" service="" name=""></AD>, а затем нажмите клавишу ВВОД.

    Примечание В этой команде <AD fs="" service="" name=""></AD> представляет имя службы полное доменное имя (FQDN) конечной точки службы AD FS. Он не представляет имя узла Windows сервера AD FS.
    • Если возвращается более одной операции для команды, и результат связан с учетной записью пользователя не было указано в шаге 3, удалите эту связь. Чтобы сделать это, выполните следующую команду:
      Узел SetSPN – d /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Если возвращается более одной операции для команды и имя участника службы использует то же имя, как имя компьютера сервера службы федерации Active Directory в Windows, используется неправильное имя федерации конечной точки для службы федерации Active Directory. Службы федерации Active Directory должен быть реализован повторно. Полное доменное имя фермы серверов федерации AD FS не должны быть идентичны с именем узла Windows существующего сервера.
    • Если имя SPN не существует, выполните следующую команду:
      SetSPN-узла /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Примечание В этой команде <username of="" service="" account=""></username> представляет имя пользователя, которое было указано в шаге 3.
  6. После эти шаги выполняются на всех серверах в ферме серверов федерации AD FS, щелкните правой кнопкой мыши Службу Windows AD FS (2.0) в оснастке службы управления и выберите пункт перезапустить.

Решение 3: Касается разрешения расширенную защиту для проверки подлинности

Чтобы решить проблему, если расширенная защита для проверки подлинности препятствует успешной проверки подлинности, используйте один из следующих способов:
  • Метод 1: использование Windows Internet Explorer 8 (или более поздней версии программы) для входа.
  • Способ 2: публикация служб AD FS в Интернете таким образом, мост SSL, разгрузки SSL или фильтрации пакетов с состояниями не переписывать полезных данных IP. Рекомендации для этой цели рекомендуется использовать прокси-сервер AD FS.
  • Способ 3: закрытие или отключение мониторинга или расшифровки SSL приложений.
Если любой из этих методов нельзя использовать для временного решения этой проблемы, можно отключить расширенную защиту для проверки подлинности для пассивных и активных клиентов.

Решение: Отключите расширенную защиту для проверки подлинности

Предупреждение Не рекомендуется использовать эту процедуру в качестве долгосрочного решения. Отключить расширенную защиту для проверки подлинности ослабляет профиля безопасности службы AD FS не обнаруживает некоторые атаки в середине в конечных точках встроенную проверку подлинности Windows.

Примечание При применении этого метода обхода для функциональных возможностей приложения независимых производителей для расширенной защиты для проверки подлинности необходимо также удалить исправления в клиентской операционной системе. Дополнительные сведения об исправлениях обратитесь к следующей статье Microsoft Knowledge Base:
968389 Расширенная защита для проверки подлинности
Для клиентов, пассивный
Чтобы отключить расширенную защиту для проверки подлинности для клиентов, пассивный, выполните следующую процедуру для следующих виртуальных приложений IIS на всех серверах в ферме серверов федерации AD FS:
  • Веб-узел по умолчанию/adfs
  • По умолчанию веб-узел/adfs/ls
Чтобы сделать это, выполните следующие действия.
  1. Откройте диспетчер IIS и перейдите на уровень, которым нужно управлять. Сведения об открытии диспетчера служб IIS см. Откройте диспетчер служб IIS (IIS 7).
  2. Просмотр возможностей дважды щелкните Проверка подлинности.
  3. На странице Проверка подлинности выберите Проверку подлинности Windows.
  4. В области действий нажмите кнопку Дополнительные параметры.
  5. Когда появится диалоговое окно Дополнительные параметры , выберите команду Отключитьизрасширенной защиты раскрывающееся меню.
Для активных клиентов
Чтобы отключить расширенную защиту для проверки подлинности для активных клиентов, выполните следующие действия на основном сервере службы федерации Active Directory:
  1. Открыть Windows PowerShell.
  2. Выполните следующую команду для загрузки Windows PowerShell для оснастки AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Выполните следующую команду, чтобы отключить расширенную защиту для проверки подлинности:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Включить расширенную защиту для проверки подлинности

Для клиентов, пассивный
Чтобы включить расширенную защиту для проверки подлинности для клиентов, пассивный, выполните следующие действия для следующих виртуальных приложений IIS на всех серверах в ферме серверов федерации AD FS:
  • Веб-узел по умолчанию/adfs
  • По умолчанию веб-узел/adfs/ls
Чтобы сделать это, выполните следующие действия.
  1. Откройте диспетчер IIS и перейдите на уровень, которым нужно управлять. Сведения об открытии диспетчера служб IIS см. Откройте диспетчер служб IIS (IIS 7).
  2. Просмотр возможностей дважды щелкните Проверка подлинности.
  3. На странице Проверка подлинности выберите Проверку подлинности Windows.
  4. В области действий нажмите кнопку Дополнительные параметры.
  5. Когда появится диалоговое окно Дополнительные параметры , выберите из раскрывающегося меню Расширенную защиту принять.
Для активных клиентов
Чтобы включить расширенную защиту для проверки подлинности для активных клиентов, выполните следующие действия на основном сервере службы федерации Active Directory:
  1. Открыть Windows PowerShell.
  2. Выполните следующую команду для загрузки Windows PowerShell для оснастки AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Выполните следующую команду, чтобы включить расширенную защиту для проверки подлинности:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Решение 4: Заменить записи CNAME с записями для работы AD FS

Используйте средства управления DNS для замены каждой записи DNS псевдонима (CNAME), которая использована для службы федерации с адресом DNS (запись). Кроме того проверьте или рассмотрим параметры DNS организации при реализации split-brain конфигурации DNS. Дополнительные сведения об управлении DNS-записи, перейдите на следующий веб-узел Microsoft TechNet:

Решение 5: Настройка Internet Explorer как клиент службы федерации Active Directory для единого входа (SSO)

Дополнительные сведения о настройке Internet Explorer для доступа к AD FS обратитесь к следующей статье Microsoft Knowledge Base:
2535227Федеративный пользователь неожиданно запрос на ввод свою работу или школу учетные данные учетной записи
Дополнительные сведения
Для защиты сети, службы федерации Active Directory использует расширенную защиту для проверки подлинности. Расширенная защита для проверки подлинности может помочь в предотвращении атак в середине которых злоумышленник перехватывает учетные данные клиента и отправляет их на сервер. Защиты от таких атак стало возможным с помощью Works привязки канала (CBT). CBT может обязательный, разрешено или не требуется на сервере, после установления связи с клиентами.

Параметр ExtendedProtectionTokenCheck AD FS уровень расширенной защиты для проверки подлинности, поддерживаемый сервером федерации. Ниже приведены допустимые значения для этого параметра:
  • Требуется: сервер полностью жесткой. Расширенная защита применяется.
  • Разрешить: значение по умолчанию. Сервер является частично жесткой. Расширенная защита применяется для участвующих систем, которые изменены для поддержки этой возможности.
  • Нет: сервер является уязвимым. Расширенная защита не налагаются.
В следующих таблицах описываются, как работает проверка подлинности для трех операционных систем и обозревателей, в зависимости от различных параметров расширенной защиты, доступных в службах IIS службы федерации Active Directory.

Примечание Клиентские операционные системы Windows должен иметь определенные обновления, установленные для эффективного использования функции расширенной защиты. По умолчанию функции включены в AD FS. Эти обновления можно загрузить из следующей статьи базы знаний Майкрософт:
968389 Расширенная защита для проверки подлинности
По умолчанию Windows 7 включает соответствующие двоичные файлы для использования расширенной защиты.

Windows 7 (или соответствующие обновленные версии операционной системы Windows Vista или Windows XP)
ПараметрТребуетсяРазрешить (по умолчанию)Нет
Связи Windows
Клиент Foundation (WCF) (все конечные точки)
WorksWorksWorks
8and Internet Explorer более поздних версийWorksWorksWorks
Firefox 3.6Происходит сбойПроисходит сбойWorks
Safari 4.0.4Происходит сбойПроисходит сбойWorks
Windows Vista без обновления
ПараметрТребуетсяРазрешить (по умолчанию)Нет
Клиент WCF (все конечные точки)Происходит сбойWorksWorks
8and Internet Explorer более поздних версийWorksWorksWorks
Firefox 3.6Происходит сбойWorks Works
Safari 4.0.4Происходит сбойWorks Works
Windows XP без обновления
ПараметрТребуетсяРазрешить (по умолчанию)Нет
8and Internet Explorer более поздних версийWorksWorksWorks
Firefox 3.6Происходит сбойWorks Works
Safari 4.0.4Происходит сбойWorks Works
Дополнительные сведения о расширенной защиты для проверки подлинности ресурсах корпорации Майкрософт см.
968389 Расширенная защита для проверки подлинности
Дополнительные сведения о командлет Set-ADFSProperties посетите следующий веб-узел корпорации Майкрософт:

По-прежнему нужна помощь? Перейдите на Сообщество Office 365 веб-узел или Форумы Azure Active Directory .

Продукты независимых производителей, обсуждаемые в этой статье, производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых гарантий относительно производительности или надежности этих продуктов

Предупреждение: эта статья переведена автоматически

Свойства

Номер статьи: 2461628 — последний просмотр: 01/15/2016 06:04:00 — редакция: 24.0

  • Microsoft Azure Cloud Services
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtru
Отзывы и предложения