Momentálne ste offline a čaká sa, kým sa znova pripojíte na internet

Váš prehliadač nie je podporovaný

Ak chcete lokalitu používať, aktualizujte svoj prehliadač.

Aktualizovať na najnovšiu verziu Internet Explorera

Externý opakovane výzva na zadanie poverení počas prihlásenia Office 365, Azure alebo Intune

Poskytovanie technickej podpory pre systém Windows XP sa skončilo

8. apríla 2014 ukončila spoločnosť Microsoft poskytovanie technickej podpory pre systém Windows XP. Táto zmena ovplyvnila aktualizácie softvéru a možnosti zabezpečenia. Zistite, čo to pre vás znamená a ako ponechať počítač zabezpečený.

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2461628
Dôležité upozornenie: Tento článok obsahuje informácie, ktoré vedú k oslabeniu zabezpečenia počítača alebo k vypnutiu funkcií zabezpečenia v počítači. Môžete tieto zmeny obísť špecifického problému. Pred vykonaním zmien, odporúčame, aby ste vyhodnotili riziká súvisiace s implementáciou tohto riešenia v konkrétnom prostredí. Ak implementujete toto riešenie, vykonajte všetky zodpovedajúce dodatočné opatrenia na ochranu počítača.
PROBLÉM
Externý sa opakovane výzva na zadanie poverení pri pokuse o overenie koncový bod služby Active Directory Federation Services (ADFS) (AD FS) počas prihlasovania cloud služby Microsoft Office 365, Microsoft Azure alebo Microsoft Intune používateľa. Ak používateľ zruší, používateľovi sa zobrazí nasledujúce chybové hlásenie:
Prístup bol odmietnutý
PRÍČINA
Príznak označuje problém s Integrované overovanie systému Windows so službami AD FS. Tento problém môže nastať v prípade splnenia niektorých z nasledujúcich podmienok:
  • Nesprávne meno používateľa alebo heslo bolo použité.
  • Nastavenie overovania služby Internet Information Services (IIS) sú správne nastavené v AD FS.
  • Hlavný názov služby (SPN) priradené konto služby, ktorá sa používa na spustenie AD FS federácia serverovej farmy stratili alebo poškodili.

    Poznámka: To sa vyskytuje iba v prípade, že AD FS je implementovaná ako federácia serverovej farmy a nie v samostatných konfigurácie.
  • Niektoré z nasledujúcich sú označené ako zdroj man-in-middle útok rozšírenú ochranu pre overovanie:
    • Niektoré prehľadávače Internet tretích strán
    • Podnikovej sieti firewall, vyrovnávanie zaťaženia siete alebo iných sieťových zariadení uverejňuje AD FS federácia služby Internet tak, že údaje IP údajová časť potenciálne prepísať. Prípadne patria nasledujúce typy údajov:
      • Secure Sockets Layer (SSL) premostenie
      • Zníženie záťaže SSL
      • Filtrovanie paketov stavové

        Ďalšie informácie nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:
        2510193Podporované scenáre používania AD FS nastaviť jediným prihlásením so službami Office 365, Azure alebo Intune
    • Monitorovanie SSL dešifrovanie aplikácie je nainštalovaný alebo je aktívna na klientskom počítači
  • Domain Name System (DNS) riešenie AD FS koncový bod služby bola vykonaná prostredníctvom CNAME záznam vyhľadávania namiesto prostredníctvom A záznamu vyhľadávania.
  • Windows Internet Explorer nie je nakonfigurovaný tak, aby odovzdať server AD FS Integrované overovanie systému Windows.

Pred spustením riešenia problémov

Skontrolujte, či meno používateľa a heslo nie sú príčinou problému.
  • Uistite sa, že správne meno používateľa používa a používateľ hlavný názov (UPN) formát. Napríklad johnsmith@contoso.com.
  • Uistite sa, či sa používa správne heslo. Skontrolovať, či sa používa správne heslo, budete musieť vytvoriť nové heslo používateľa. Ďalšie informácie nájdete v nasledujúcom článku Microsoft TechNet:
  • Uistite sa, že konto nie je uzamknutý skončila a používaná mimo určeného prihlásenia. Ďalšie informácie nájdete v nasledujúcom článku Microsoft TechNet:

Overenie príčina

Skontrolujte, či problém spôsobujú problémy Kerberos, dočasne obísť overovanie Kerberos povoliť overovanie na základe formulárov na AD FS federácia serverovej farmy. Ak to chcete urobiť, postupujte nasledovne:

Krok 1: Upraviť súbor web.config na každý server AD FS federácia serverovej farmy
  1. V programe Prieskumník vyhľadajte priečinok C:\inetpub\adfs\ls\ a potom vytvorte záložnú kópiu súboru web.config.
  2. Kliknite na tlačidlo Štart, kliknite na položku Všetky programy, kliknite na položku príslušenstvo, kliknite pravým tlačidlom myši na Poznámkový bloka kliknite na položku Spustiť ako správca.
  3. Na súbor ponuky, kliknite na tlačidlo Otvoriť. V názov súboru zadajteC:\inetpub\adfs\ls\web.config, a kliknite na tlačidlo Otvoriť.
  4. V súbore web.config, postupujte nasledovne:
    1. Nájdite riadok, ktorý obsahuje <authentication mode=""> </authentication>, a potom ho <authentication mode="Forms"> </authentication>.
    2. Vyhľadajte časť, ktorý začína <localAuthenticationTypes> </localAuthenticationTypes>, a potom v časti tak, aby <add name="Forms"></add> položka je uvedené, takto:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Na súbor ponuky, kliknite na tlačidlo Uložiť.
  6. V príkazovom riadku s právami správcu reštartujte službu IIS pomocou príkazu iisreset .
Krok 2: Test AD FS funkcie
  1. Na klientskom počítači, ktorý pripojené a overené na lokálnom prostredí AD DS, prihláste sa na portál služieb cloud.

    Namiesto bezproblémové overovanie skúseností by ste skúsený formuláre na prihlásenie. Ak prihlásenie úspešné pomocou overovanie na základe formulárov, to potvrdzuje existenciu problému s protokolom Kerberos AD FS federácia služby.
  2. Obnoviť konfiguráciu každý server AD FS federácia serverová farma predchádzajúce nastavenie overovania pred vykonaním krokov v časti "Riešenie". Vrátiť sa na konfiguráciu každý server AD FS federácia serverovej farmy, postupujte nasledovne:
    1. V programe Prieskumník vyhľadajte priečinok C:\inetpub\adfs\ls\ a potom odstráňte súbor web.config.
    2. Premiestnenie zálohu súboru web.config, ktorý ste vytvorili v "krok 1: upraviť súbor web.config na každý server AD FS federácia serverová farma" časť C:\inetpub\adfs\ls\ priečinok.
  3. V príkazovom riadku s právami správcu reštartujte službu IIS pomocou príkazu iisreset .
  4. Skontrolujte, či AD FS overovania správanie obnoví pôvodné vydanie.
RIEŠENIE
Obmedzuje AD FS overovania Kerberos problém vyriešite pomocou niektorého z nasledujúcich postupov v závislosti od situácie.

Riešenie 1: Obnovenie AD FS overovania nastavenia na predvolené hodnoty

Ak nesprávne nastavenie overovania na AD FS IIS alebo nastavenie overovania služby IIS pre AD FS federácia služby a Proxy sa nezhodujú, riešenie sa obnoviť všetky nastavenie overovania služby IIS AD FS predvolené nastavenia.

Overenie nastavenia sú uvedené v nasledujúcej tabuľke.
Virtuálne aplikácieÚroveň overovania
Predvolenú webovú lokalitu alebo adfsAnonymné overenie
Predvolenú webovú lokalitu alebo adfs/lsAnonymné overenie
Overovanie systému Windows
Na každý server AD FS federácia a každý AD FS federácia servera proxy, použite informácie v nasledujúcom článku databázy Microsoft TechNet obnovenie virtuálnych aplikácií AD FS IIS predvolené nastavenie overovania:Ďalšie informácie o odstránenie tejto chyby nájdete v nasledujúcich článkoch databázy Microsoft Knowledge Base:
907273 Odstraňovanie chýb HTTP 401 v službe IIS

871179 Dostanete "chyba HTTP 401.1 – neoprávnené: prístup bol odmietnutý z dôvodu neplatných poverenia" chybové hlásenie pri pokuse o prístup na webovú lokalitu, ktorá je súčasťou fondu aplikácií služby IIS 6.0

Riešenie 2: Opraviť AD FS federácia serverová farma SPN

Poznámka: Skúste toto riešenie, len v prípade, že AD FS je implementovaná ako federácia serverovej farmy. Nepokúšajte sa toto riešenie AD FS samostatné konfigurácie.

Ak chcete vyriešiť problém Ak SPN služby AD FS stratili alebo poškodili v konte služby AD FS, postupujte podľa nasledujúcich krokov na jednom serveri v serverovej farmy AD FS federácia:
  1. Otvorte modul Správa služby. Chcete urobiť, kliknite na tlačidlo Štart, Všetkyprogramy, kliknite na položku Nástroje na správua kliknite na položku služby.
  2. Dvakrát kliknite na AD FS (2.0) Windows Service.
  3. Na Prihlásenie kartu, poznačte konto služby, zobrazené Toto konto.
  4. Kliknite na tlačidlo Štart, na položku Všetky programy, kliknite na položku príslušenstvo, kliknite pravým tlačidlom myši na Príkazový riadoka kliknite na položku Spustiť ako správca.
  5. Typ Pomôcka SetSPN-f-q hostiteľa /<AD fs="" service="" name=""></AD>, a potom stlačte kláves Enter.

    Poznámka: V tomto príkaze <AD fs="" service="" name=""></AD> predstavuje názov služby názov domény AD FS koncový bod služby. Nepredstavuje to Windows server AD FS názov.
    • Ak príkaz vráti viac položiek a výsledok súvisí s používateľským kontom, okrem tých, ktoré ste si poznačili v kroku 3, odstráňte toto združenie. Na nasledujúci príkaz:
      Pomôcka SetSPN-d hostiteľa /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Ak príkaz vráti viacero a SPN má rovnaký názov ako názov počítača v systéme Windows server AD FS, federácia názov koncový bod AD FS je nesprávny. AD FS sa vykoná znova. DOMÉNY AD FS federácia serverovej farmy nesmie byť rovnaký názov hostiteľa Windows existujúci server.
    • Ak SPN už neexistuje, spustite nasledujúci príkaz:
      Pomôcka SetSPN-hostiteľa /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Poznámka: V tomto príkaze <username of="" service="" account=""></username> predstavuje meno používateľa, ktoré ste si poznačili v kroku 3.
  6. Keď tieto kroky sa vykonajú na všetkých serveroch AD FS federácia serverovej farmy, kliknite pravým tlačidlom myši AD FS (2.0) služba Windows modul Správa služby a kliknite na tlačidlo reštartovať.

Riešenie 3: Odstrániť rozšírenú ochranu pre overovanie problémy

Ak chcete vyriešiť problém, ak rozšíriť ochranu pre overovanie zabraňuje úspešné overovanie pomocou jedného z nasledovnými spôsobmi:
  • Metóda 1: použitie Windows Internet Explorer 8 (alebo novšiu verziu programu) na prihlásenie.
  • Metóda 2: publikovanie služby AD FS na Internet tak, že premostenie SSL, SSL zníženie záťaže alebo filtrovanie paketov stavové nechcete prepísať IP údajová časť údajov. Najlepšie postupy na tento účel odporúča používať AD FS Proxy Server.
  • Metóda 3: zavrieť alebo zakázať sledovanie alebo dešifrovanie SSL aplikácie.
Ak nemôžete použiť niektorý z týchto postupov, tento problém obísť, rozšírenú ochranu pre overovanie možno vypnúť pasívneho a aktívneho klientov.

Riešenie: Vypnite rozšírenú ochranu pre overovanie

Upozornenie: Neodporúčame tento postup použite ako dlhodobé riešenie. Vypnutie rozšírenú ochranu pre overovanie oslabuje profil zabezpečenia služby AD FS tým, že nezistil určitých man-in-middle útoky na koncových bodov Integrované overovanie systému Windows.

Poznámka: Keď toto riešenie je funkčnosť aplikácie tretej strany, by ste tiež odinštalovať rýchlych operačnom systéme klienta rozšíriť ochranu pre overovanie. Ďalšie informácie o rýchle opravy, pozrite si nasledujúci článok databázy Microsoft Knowledge Base:
968389 Rozšírenú ochranu pre overovanie
Pasívny klientov
Vypnúť rozšírenú ochranu pre overovanie pasívneho klientov, vykonajte nasledovné kroky pre tieto virtuálne aplikácie IIS na všetkých serveroch AD FS federácia serverovej farmy:
  • Predvolenú webovú lokalitu alebo adfs
  • Predvolenú webovú lokalitu alebo adfs/ls
Ak to chcete urobiť, postupujte nasledovne:
  1. Otvorte modul IIS Manager a prejdite na úrovni, ktoré chcete spravovať. Informácie o otvorení IIS Manager nájdete v Otvorte modul IIS Manager (IIS 7).
  2. Funkcie zobrazenie, dvakrát kliknite na overenie.
  3. Na stránke overenie vyberte Overovanie systému Windows.
  4. Na table akcií kliknite na položku Rozšírené nastavenia.
  5. Keď sa zobrazí dialógové okno Rozšírené nastavenie , vyberte vypnúťzrozšírenú ochranu rozbaľovací zoznam.
Aktívne klientov
Vypnúť rozšírenú ochranu pre overovanie aktívnych klientov, použite nasledujúci postup na primárny server AD FS:
  1. Otvoriť Windows PowerShell.
  2. Spustite nasledujúci príkaz na načítanie Windows PowerShell pre AD FS modul:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Spustite nasledovný príkaz na vypnutie rozšírenú ochranu pre overovanie:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Zapnúť rozšíriť ochranu pre overovanie

Pasívny klientov
Chcete zapnúť rozšíriť ochranu pre overovanie pasívneho klientov, vykonajte nasledovné kroky pre tieto virtuálne aplikácie IIS na všetkých serveroch AD FS federácia serverovej farmy:
  • Predvolenú webovú lokalitu alebo adfs
  • Predvolenú webovú lokalitu alebo adfs/ls
Ak to chcete urobiť, postupujte nasledovne:
  1. Otvorte modul IIS Manager a prejdite na úrovni, ktoré chcete spravovať. Informácie o otvorení IIS Manager nájdete v Otvorte modul IIS Manager (IIS 7).
  2. Funkcie zobrazenie, dvakrát kliknite na overenie.
  3. Na stránke overenie vyberte Overovanie systému Windows.
  4. Na table akcií kliknite na položku Rozšírené nastavenia.
  5. Keď sa zobrazí dialógové okno Rozšírené nastavenie , vybrať prijaťRozšírenú ochranu kontextovú ponuku.
Aktívne klientov
Ak chcete znova zapnúť rozšíriť ochranu pre overovanie aktívnych klientov, použite nasledujúci postup na primárny server AD FS:
  1. Otvoriť Windows PowerShell.
  2. Spustite nasledujúci príkaz na načítanie Windows PowerShell pre AD FS modul:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Spustite nasledujúci príkaz, aby rozšíriť ochranu pre overovanie:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Riešenie 4: Nahraďte záznamy CNAME Records pre AD FS

Použite nástroje na správu servera DNS nahradiť každý záznam Alias DNS (CNAME), ktoré použil federácia služby DNS adresy () záznamu. Tiež skontrolujte alebo zvážiť podnikové nastavenia DNS, keď vykonáva split-brain konfigurácia servera DNS. Ďalšie informácie o správe záznamov DNS nájdete na nasledujúcej webovej lokalite Microsoft TechNet:

Riešenie 5: Nastavenie programu Internet Explorer AD FS klient jediného prihlásenia (SSO)

Ďalšie informácie o nastavení programu Internet Explorer pre prístup AD FS Pozrite si nasledujúci článok databázy Microsoft Knowledge Base:
2535227Externý používateľ sa zobrazí neočakávaná výzva na zadajte svoju prácu alebo školy poverenia konta
ĎALŠIE INFORMÁCIE
Na ochranu siete AD FS používa rozšírenú ochranu pre overovanie. Rozšírenú ochranu pre overovanie zabraňuje útokom man-in-middle útočník zachytí poverenia klienta a posiela na server. Ochrana proti týmto útokom je možné pomocou kanál väzby funguje Pozostávať. CBT môže vyžaduje, povolené alebo nevyžaduje server pri komunikácie s klientom.

ExtendedProtectionTokenCheck AD FS nastavenie určuje úroveň rozšírenú ochranu pre overovanie, federácia server podporovaný. Sú k dispozícii hodnoty pre toto nastavenie:
  • Vyžaduje: server nie je úplne odolné. Rozšírená ochrana uplatní.
  • Povoliť: Toto nastavenie je predvolené. Server je čiastočne odolné. Rozšírená ochrana uplatní zapojené systémy, ktoré sa zmení na jej podporu.
  • None: server je. Rozšírená ochrana nie je vykonaný.
Nasledujúce tabuľky popisujú spôsob overovania funguje troch operačných systémov a prehľadávače, v závislosti od rôznych rozšírenú ochranu dostupné možnosti na AD FS so službou IIS.

Poznámka: Operačný systém, musíte mať nainštalované efektívne využiť rozšírené ochrany konkrétne aktualizácie. V predvolenom nastavení sú povolené funkcie v AD FS. Tieto aktualizácie sú k dispozícii v nasledujúcom článku databázy Microsoft Knowledge Base:
968389 Rozšírenú ochranu pre overovanie
V predvolenom nastavení Windows 7 obsahuje príslušné binárne súbory použiť rozšírenú ochranu.

Windows 7 (alebo správne aktualizované verzie systému Windows Vista alebo Windows XP)
NastavenieVyžadujúPovoliť (predvolené)Žiadna
Windows Communication
Klient Foundation (WCF) (všetky koncové body)
PrácePrácePráce
Internet Explorer 8and novšie verziePrácePrácePráce
Firefox 3.6ZlyhanieZlyhaniePráce
Safari 4.0.4ZlyhanieZlyhaniePráce
Systém Windows Vista bez príslušných aktualizácií
NastavenieVyžadujúPovoliť (predvolené)Žiadna
WCF klienta (všetky koncové body)ZlyhaniePrácePráce
Internet Explorer 8and novšie verziePrácePrácePráce
Firefox 3.6ZlyhaniePráce Práce
Safari 4.0.4ZlyhaniePráce Práce
Windows XP bez potreby aktualizácie
NastavenieVyžadujúPovoliť (predvolené)Žiadna
Internet Explorer 8and novšie verziePrácePrácePráce
Firefox 3.6ZlyhaniePráce Práce
Safari 4.0.4ZlyhaniePráce Práce
Ďalšie informácie o rozšírenú ochranu pre overovanie, pozri nasledujúce zdroje spoločnosti Microsoft:
968389 Rozšírenú ochranu pre overovanie
Ďalšie informácie o cmdlet Set-ADFSProperties , nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:

Stále potrebujete pomoc? Prejdite na Komunita používateľov balíka Office 365 webové stránky alebo Fóra Azure Active Directory webové stránky.

Produkty tretích strán, ktorými sa zaoberá tento článok, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Spoločnosť Microsoft neposkytuje žiadne záruky týkajúce sa výkonu alebo spoľahlivosti takýchto produktov

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 2461628 – Posledná kontrola: 01/15/2016 06:05:00 – Revízia: 22.0

  • Microsoft Azure Cloud Services
  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtsk
Pripomienky