Riešenie problémov s AD FS Azure Active Directory a Office 365

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 3079872
Tento článok sa zaoberá pracovného postupu overovania problémy externý používatelia Azure Active Directory alebo balíka Office 365.
Príznaky
  • Externý používateľov nemôžete prihlásiť do služby Office 365 alebo Microsoft Azure hoci spravované cloud-len používateľom, ktorí majú domainxx.onmicrosoft.com prípony môžu prihlásiť bez problémov.
  • Presmerovanie služby Active Directory Federation Services (ADFS) (AD FS) alebo STS nevyskytuje externý používateľ. Alebo sa zobrazila chyba "Stránka sa nedá Zobraziť".
  • Zobrazí upozornenie týkajúce sa certifikátu v prehľadávači sa pri pokuse o overenie AD FS. Uvádza, že zlyhá overenie certifikátu alebo certifikát nie je dôveryhodný.
  • Chyba "Neznáma Auth metódy" alebo chyby, ktoré uvádza, že AuthnContext nie je podporovaná. Tiež chýb na AD FS alebo STS po vás presmeruje z Office 365.
  • AD FS hodí "Prístup odmietnutý" chyba.
  • AD FS hodí chybové hlásenie, že existuje problém s prístupom k lokalite; patria sem odkaz identifikačné číslo.
  • Opakovane sa výzva na zadanie poverení na úrovni AD FS.
  • Federovaní používatelia nemôžu overiť v externej sieti alebo pri používaní aplikácie, ktoré sa externé sieťové cesty (napríklad program Outlook).
  • Federovaní používatelia nemôžete prihlásiť, keď certifikát podpisu tokenu sa zmení na AD FS.
  • "Ospravedlňujeme sa, ale máte problémy s prihlásením sa" chyba sa spustí, keď externý používateľ prihlasuje do služby Office 365 v Microsoft Azure. Táto chyba vrátane kódov chýb, napríklad 8004786 C 80041034, 80041317, 80043431, 80048163, 80045C 06, 8004789A alebo nesprávna požiadavka.

Riešenie problémov pracovného postupu
  1. Prístup https://login.microsoftonline.com, a potom zadajte názov (externý používateľ prihlásenieniekto@Príklad.com). Po stlačení klávesu Tab zrušenie zamerania prihlásení, skontrolujte, či stav zmeny "Presmerujete" a potom budete presmerovaní na vaše služba Active Directory Federation (AD FS) pre prihlásenie.

    Pri výskyte presmerovanie, uvidíte nasledujúcu stránku:

    Obrazovka krok 1
    1. Ak nastane bez presmerovanie, sa zobrazí výzva na zadanie hesla na jednej strane to znamená, že Azure Active Directory (AD) alebo Office 365 nerozpoznáva používateľ alebo doména používateľa sa externé. Skontrolujte, či je federácia dôvera medzi Azure AD alebo Office 365 a server AD FS Get-msoldomain rutiny cmdlet z Azure AD PowerShell. Ak sa externé domény, vlastnosti overenie sa zobrazí ako "Externý", v nasledujúcej snímke obrazovky:

      Krok o externý domény
    2. Ak nastane presmerovanie, ale nie ste presmerovaný na server AD FS na prihlásenie, skontrolujte, či názov služby AD FS rieši na správnu IP a či je možné pripojiť sa, že IP portu TCP 443.

      Ak sa zobrazuje ako "Externý" doména, získať informácie o dôveryhodnosť federácie spustite nasledujúce príkazy:
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      Skontrolujte URI, URL a certifikát federácie partnera, ktorý je nakonfigurovaný pomocou služby Office 365 alebo Azure AD.
  2. Potom budete presmerovaní na AD FS, prehľadávač môže hodí dôvery chyby certifikátu a niektoré klientov a zariadení sa môže vám SSL reláciu so službami AD FS. Ak chcete vyriešiť tento problém, postupujte nasledovne:
    1. Skontrolujte AD FS služba oznámení certifikátu predloží klient rovnaký nakonfigurovaného na AD FS.

      Obrazovka o krok

      Ideálne AD FS služba oznámení certifikátu by mali byť rovnaké ako SSL certifikát, ktorý klient predloží pri pokuse o vytvorenie tunel SSL so službou AD FS.

      V AD FS 2.0:

      • Certifikát sa viažu na IIS-> predvolené prvé miesto.
      • Pomocou modulu AD FS pridať rovnaký certifikát ako služba oznámení certifikátu.

      AD FS 2012 R2:

      • Pomocou modulu AD FS alebo Pridanie adfscertificate príkaz pridať služba oznámení certifikátu.
      • Použitie Súbor adfssslcertificate príkaz rovnakú certifikát SSL väzby.

    2. Uistite sa, že je dôveryhodný služby AD FS oznámení certifikátu klienta.
    3. Ak chcete vytvoriť reláciu SSL s AD FS alebo WAP 2-12 R2 bez SNI-klientmi, pravdepodobne nepodarí. V takomto prípade zvážte záložný položky na AD FS alebo WAP servery podporujú bez SNI klientov. Ďalšie informácie nájdete nasledujúce blogu:
  3. Môžu sa vyskytnúť chyba "Neznáma Auth metódy" alebo chyby, ktoré uvádza, že AuthnContext nie je podporovaná úrovni AD FS alebo STS po vás presmeruje z Office 365. Je to najčastejšie, keď Office 365 a Azure AD presmerovanie AD FS alebo STS pomocou parametra, ktorý vynucuje spôsob overovania. Vynútiť spôsob overovania, použite jeden z nasledujúcich postupov:
    • WS-federácie, použite reťazec dotazu WAUTH na spôsob preferovaný overovania.
    • Pre SAML2.0, použite nasledovné:
      <saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext>
    Pri metódu vykonať overovanie s nesprávna hodnota, alebo ak táto metóda overovania nie je podporovaný v AD FS alebo STS, zobrazí chybové hlásenie, skôr, než ste overený.

    Nasledujúca tabuľka zobrazuje typ overenia uri, ktoré rozpoznávajú AD FS pre WS-federácie pasívny overovania.
    Metóda overovania chceliwauth URI
    Overenie mena a hesla používateľaurn: oáza: názvy: tc: SAML:1.0:am:password
    Overenie klienta SSLurn: ietf:rfc:2246
    Integrované overovanie systému Windowsurn: federácia: overovanie: windows

    Podporované SAML overovanie kontext triedy

    Metóda overovania Overovanie kontext trieda URI
    Meno používateľa a heslourn: oáza: názvy: tc: SAML:2.0:ac:classes:Password
    Heslom prenosuurn: oáza: názvy: tc: SAML:2.0:ac:classes:PasswordProtectedTransport
    Transport Layer Security (TLS) klientaurn: oáza: názvy: tc: SAML:2.0:ac:classes:TLSClient
    Certifikát X.509urn: oáza: názvy: tc: SAML:2.0:ac:classes:X 509
    Integrované overovanie systému Windowsurn: federácia: overovanie: windows
    Kerberosurn: oáza: názvy: tc: SAML:2.0:ac:classes:Kerberos

    Uistite sa, že metóda overovania podporuje úrovni AD FS, skontrolujte nasledujúce:

    AD FS 2.0

    V časti /adfs/ls/web.config, uistite sa, že existuje položka typ overenia.

    <microsoft.identityServer.web></microsoft.identityServer.web>
    <localAuthenticationTypes></localAuthenticationTypes>
    Pridajte názov = "Formy" page="FormsSignIn.aspx" / >
    <add name="Integrated" page="auth/integrated/"></add>
    <add name="TlsClient" page="auth/sslclient/"></add>
    <add name="Basic" page="auth/basic/"></add>


    AD FS 2.0: Ako zmeniť miestne overovanie typu

    AD FS 2012 R2

    V časti AD FS správy, kliknite na tlačidlo Politiky overovania v AD FS modul.

    V Primárne overovania kliknite na tlačidlo Úprava ďalej Globálne nastavenie. Môžete sa tiež pravým Politiky overovania a vyberte Úprava globálnej primárne overovania. Alebo v Akcie na table vyberte Úprava globálnej primárne overovania.

    V Úprava globálnej overovania politiky okno, Primárne karta, môžete nakonfigurovať nastavenia ako súčasť politiky globálnej overovania. Napríklad primárne overovanie, môžete vybrať dostupné spôsoby overovania podľa Extranetu a Intranet.

    * Uistite sa, či je začiarknuté políčko vyžaduje overenie metódy.
  4. Ak sa váš AD FS a zadáte poverenia, ale vaše, skontrolujte nasledujúce problémy.
    1. Active Directory problém replikácie

      Ak AD replikáciu nefunguje, zmeny používateľa alebo skupiny môžu synchronizovať cez radičov domény. Medzi radičmi domény, môže byť heslo, UPN, GroupMembership, alebo ProxyAddress nesúlad, ktorý ovplyvňuje AD FS odpoveď (overovanie a nároky). Mali by ste začať, prezrite si radičov domény v tej istej lokalite ako AD FS. Systém Repadmin /showreps alebo DCdiag /v príkaz by odhaliť, či je problém na radičoch domény, ktoré AD FS je pravdepodobne kontaktovať.

      Môžete získať aj prehľad AD replikácie uistite sa, že AD zmeny sa replikujú správne cez všetky radiče domén. Na Repadmin /showrepl * /csv > showrepl.csv je vhodné na kontrolu stavu replikácie. Ďalšie informácie nájdete v téme Riešenie problémov s replikácia služby Active Directory.
    2. Účet uzamknutý alebo vypnuté služby Active Directory

      Pri koncového používateľa je overený prostredníctvom AD FS, pracovník nie zobrazí chybové hlásenie s informáciou, že konto je zamknutá alebo vypnuté. AD FS a auditovanie prihlásenia, mali by ste byť schopný určiť, či overovanie zlyhalo kvôli nesprávne heslo, konto je vypnuté alebo uzamknutý a tak ďalej.

      Povolenie AD FS a prihlásenie auditovanie AD FS serverov, postupujte nasledovne:
      1. Použitie lokálnej alebo doména politiky úspech a zlyhanie nasledujúce podmienky:
        • Auditovanie udalostí prihlásenia, v počítači Konfigurácia systému setting\Local Policy\Audit politika"
        • Audit prístupu k objektu, nachádza v počítači Konfigurácia systému setting\Local Policy\Audit politika"
        Obrazovka o
      2. Vypnite nasledujúce zásady:

        Audit: Force kontroly nastavenia politiky triedu (Windows Vista alebo novší) prepísať nastavenie kategórie politika auditu

        Táto politika sa nachádza v počítači Konfigurácia systému setting\Local Policy\Security možnosť.

        Obrazovka o politike

        Ak chcete konfigurovať pomocou rozšírených auditovanie, kliknite Tu.
      3. Konfigurácia AD FS auditu:
        1. Otvorenie AD FS 2.0 modul Správa.
        2. Na table akcií kliknite na položku Upraviť vlastnosti federácia služby.
        3. V federácia vlastností služby kliknite udalosti kartu.
        4. Vyberte úspešný audit a zlyhanie kontroly políčok.

          Sceenshot o povolenie AD FS auditu
        5. Spustiť GPupdate/Force na serveri.
    3. Služba hlavný názov (SPN) je nesprávne zaregistrovaný.

      Môžu existovať duplicitné hlavných názvov služieb alebo SPN, ktorá je zaregistrovaná v konte ako konto služby AD FS. AD FS farmy nastavenia, skontrolujte, či SPN HOST reklamy FSservicename pridaní konta služby, so spustenou službou AD FS. AD FS samostatné nastavenia, ak je služba podľa Sieťová služba, SPN, musia byť pod kontom servera, ktorý hosťuje AD FS.

      Obrazovka pre názov služby AD FS

      Uistite sa, že nie sú duplicitné hlavných názvov služieb pre službu AD FS ako môže to spôsobiť zlyhanie overovania občasné so službami AD FS. Zoznam hlavných názvov služieb, spustiť POMÔCKA SETSPN-L<ServiceAccount></ServiceAccount>.

      Obrazovka informácie o zozname SPN

      Spustiť Pomôcka SETSPN HOST reklamy FSservicename parametre ServiceAccount Pridanie SPN.

      Spustiť POMÔCKA SETSPN-X -F na vyhľadanie duplicitných hlavných názvov služieb.
    4. Duplicitné používateľov služby Active Directory

      Používateľ bude môcť overiť pomocou AD FS, ak používate SAMAccountName však nie je možné overiť pri použití UPN. V tomto prípade Active Directory môžu obsahovať dve používateľom, ktorí majú rovnaké UPN. Je možné skončiť s dvoma používateľov, ktorí majú rovnaké UPN, keď používatelia pridať a upraviť pomocou skriptov (napríklad ADSIedit).

      Pri použití UPN pre overovanie v tomto prípade je používateľ overení duplicitné používateľa. Preto sa neoveruje poverenia, ktoré sú k dispozícii.

      Skontrolujte, či existujú viaceré objekty reklamy, ktoré majú rovnaké hodnoty pre atribút môžete dotazy nasledovne:
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      Uistite sa, že premenované UPN duplicitné používateľa tak, aby overenie žiadosti UPN sa overí správne predmety.
    5. V prípade, ak používate e-mailovú adresu prihlasovacie ID Office 365 a zadáte rovnakú e-mailovú adresu, keď budete presmerovaní na AD FS overovanie, môže zlyhať overenie "NO_SUCH_USER" chyba v denníkoch auditu. Povolenie AD FS nájsť používateľa pre overovanie pomocou atribút UPN alebo SAMaccountname, musíte nastaviť AD FS podporovať alternatívne prihlasovacie ID. Ďalšie informácie nájdete v téme Konfigurácia alternatívne prihlasovacie meno.

      AD FS 2012 R2

      1. Inštalácia Aktualizácia 2919355.
      2. Aktualizácia konfigurácie AD FS spustite nasledujúce rutiny cmdlet prostredia PowerShell na každom federácie serverov vo farme (ak farmy interná databáza systému Windows, musíte spustiť tento príkaz na primárny server AD FS vo farme):

        Súbor AdfsClaimsProviderTrust - TargetIdentifier "Reklamy AUTHORITY" - AlternateLoginID <attribute>- LookupForests <forest domain=""></forest> </attribute>

        Poznámka:AlternateLoginID je názov LDAP atribútov, ktoré chcete použiť na prihlásenie. A LookupForests je zoznam lesov DNS položky, ktoré používateľ patrí.

        Zapnúť alternatívne prihlasovacie ID, musíte nakonfigurovať aj AlternateLoginID a LookupForests parametre neprázdne, platnú hodnotu.

    6. Konto služby AD FS na AD FS token, ktorý je podpis certifikátu súkromný kľúč nemá prístup na čítanie. Pridať toto povolenie, postupujte nasledovne:
      1. Keď pridáte nový Token podpisovania certifikátu, zobrazí sa nasledujúce upozornenie: "Zabezpečiť súkromný kľúč pre vybraný certifikát prístupné konto služby federácia služby na každom serveri vo farme."
      2. Kliknite na tlačidlo Štart, kliknite na položku spustiť, zadajte príkaz MMC.exe, a potom stlačte kláves Enter.
      3. Kliknite na súbora potom kliknite na položku Pridať alebo odstrániť modul.
      4. Dvakrát kliknite na položku Certifikáty.
      5. Vyberte v počítači konto a kliknite na tlačidlo ďalej.
      6. Vyberte lokálny počítača kliknite na tlačidlo Dokončiť.
      7. Rozbaľte Certifikáty (lokálny počítač), rozbaľte <b00> </b00>Personal a vyberte Certifikáty.
      8. Kliknite pravým tlačidlom myši na nový token podpisovania certifikátu, vyberte Všetky úlohya vyberte Spravovať súkromné kľúče.

        Sceenshot o krok 8
      9. Pridanie konta AD FS 2.0 služieb prístup na čítanie a kliknite na tlačidlo OK.
      10. Zatvorte certifikáty konzoly MMC.
    7. AD FS alebo NZ virtuálny adresár je povolená možnosť Rozšíriť ochranu pre overovanie systémom Windows. To môže spôsobiť problémy s konkrétne prehľadávače. Niekedy sa môže zobraziť AD FS opakovane výzva na zadanie poverení, a to môže súvisieť s Rozšírená ochrana nastavenie, ktoré je povolené pre overovanie systémom Windows AD FS alebo NZ aplikácie v službe IIS.

      Sceenshot o krok 8
      Keď Rozšírená ochrana zapne overovanie, požiadavky na overenie sú viazané obe hlavné názvy služieb (SPN) servera klient pokúsi pripojiť a vonkajšie Transport Layer Security (TLS) kanál, prostredníctvom ktorých sa vyskytuje Integrované overovanie systému Windows. Rozšírená ochrana rozširuje existujúce funkcie overovanie systému Windows zmiernenia overovanie relé alebo "man in the middle" útoky. Niektoré prehľadávače však nefunguje s Rozšírená ochrana nastavenia. namiesto toho sa opakovane zobrazovať výzvu na zadanie poverení a potom odmietnutie prístupu. Vypnutie Rozšírená ochrana pomáha je tento scenár.

      Ďalšie informácie nájdete v téme AD FS 2.0: Nepretržite výzva na zadanie poverení pri používaní Fiddler ladenie na webe.

      AD FS 2012 R2

      Spustite nasledujúci cmdlet vypnutie Extendedprotection:

      Súbor ADFSProperties-ExtendedProtectionTokenCheck žiadne

    8. Pravidlá autorizácie vydanie v spolupracovala strany (RP) môže zakázať prístup používateľom. Na AD FS spoliehať strana dôveryhodný, môžete nastaviť pravidlá vydávania povolenia riadiť overeným používateľom vydaní token aby spolupracovala. Správcovia môžu použiť požiadaviek, ktoré boli vydané na odmietnutie prístupu používateľa, ktorý je členom skupiny, ktorý sa zastavil ako nárok.

      Ak niektoré federovaní používatelia nemôžu overiť cez AD FS, môžete skontrolovať pravidlá vydávania povolenia pre Office 365 RP a vidieť či Povolenie prístupu všetkých používateľov pravidlo je nakonfigurované.

      Obrazovka pravidlá
      Ak tento článok nie je konfigurácia, preštudovať pravidlá vlastné povolenia Skontrolujte, či v danom článku výrazu "true" pre príslušného používateľa. Ďalšie informácie nájdete v nasledujúcich zdrojoch:
      Ak môžete overiť z intranetu, keď pristupujete server AD FS priamo, ale nemôžu overiť, keď prejdete AD FS cez AD FS proxy, skontrolujte nasledovné problémy:
      • Čas synchronizácie problém server AD FS a AD FS proxy

        Uistite sa, že čas na server AD FS a čas proxy sú synchronizované. Keď čas na server AD FS z viac ako päť minút od času radiče domény, zlyhanie overovania vyskytujú. Keď čas AD FS proxy nie je synchronizovaný s AD FS, proxy dôveryhodnosti je vplyv a rozdelené. Preto požiadať, aby prejde AD FS proxy zlyhá.
      • Skontrolujte, či AD FS proxy dôveryhodnosti so službou AD FS pracuje správne. Ak sa domnievate, že nefunguje proxy dôveryhodnosti, znova konfigurácie servera proxy.
  5. Vaša AD FS problémy token, Azure AD alebo Office 365, ktorý spôsobuje chybu. V takom prípade skontrolujte nasledovné problémy:
    • Pohľadávky vydané AD FS tokenu by mal zodpovedať príslušné atribúty používateľa v Azure AD. Tokenu Azure reklamu alebo Office 365 nasledujúcich požiadaviek.

      WSFED:
      UPN: Hodnota tohto nároku by mal zodpovedať UPN používateľov v Azure AD.
      ImmutableID: Hodnoty tejto pohľadávky by mal zodpovedať sourceAnchor alebo ImmutableID používateľa v Azure AD.

      Azure AD dostať hodnotu používateľa, spustite nasledujúci príkaz: Získajte MsolUser-UserPrincipalName<UPN></UPN>

      SAML 2.0:
      IDPEmail: Hodnoty tejto pohľadávky by mala zodpovedať hlavného mena používateľa používateľov v Azure AD.
      NAMEID: Hodnoty tejto pohľadávky by mal zodpovedať sourceAnchor alebo ImmutableID používateľa v Azure AD.

      Ďalšie informácie nájdete v téme Použitie SAML 2.0 totožnosť poskytovateľa implementovať jediného prihlásenia.

      Príklady:
      Tento problém sa môže vyskytnúť, keď UPN synchronizovaný používateľ zmení reklamy, ale bez aktualizácie adresár. V tomto prípade sa môže opraviť používateľa UPN reklamy (zodpovedajú prihlasovacie meno používateľa súvisiace) alebo spustiť nasledovné cmdlet zmeniť prihlasovacie meno používateľa, ktorý je v adresári Online súvisiace:

      Súbor MsolUserPrincipalName - UserPrincipalName [ExistingUPN] - NewUserPrincipalName [DomainUPN-AD]

      Môže to byť, že používate AADsync synchronizácie POSLAŤ ako UPN a EMPID ako SourceAnchor, ale spolupracovala strany uvádzajú pravidlá na úrovni AD FS neaktualizovali Odoslať POSLAŤ ako UPN a EMPID ako ImmutableID.
    • Je certifikát podpisu tokenu nesúlad medzi AD FS a Office 365.

      To je jeden z najčastejších problémov. AD FS používa certifikát podpisu tokenu podpísať token, ktorý sa odošle používateľovi alebo aplikácie. Dôvera medzi AD FS a Office 365 je externý dôvera, ktorá vychádza z tohto tokenu podpisovanie certifikátu (napríklad Office 365 overí, či token prijatý podpisu používa certifikát podpisu tokenu Poskytovateľ deklarácie [služby AD FS] je dôveryhodné entity).

      Ak certifikát podpisu token na AD FS zmení z dôvodu automatického certifikát zmena alebo admin zásahu po alebo pred uplynutím certifikát, Podrobnosti o nový certifikát musí byť aktualizované na Office 365 nájmu externej domény.

      Office 365 alebo Azure AD pokúsi dostať sa do služby AD FS poskytuje jeho dostupný z verejnej siete. Snažíme vzorkovanie ADFS federácia metaúdaje pravidelne ťahať zmeny konfigurácie v ADFS, najmä tokenu podpisovanie certifikátu. Ak tento postup nefunguje, Global Admin mal Zobraziť upozornenie na portáli Office 365 upozornenie o skončení certifikát podpisu Token a akcie prijať aktualizovať.

      Môžete použiť Získajte MsolFederationProperty - Názov_domény<domain></domain> výpis vlastnosť federácie AD FS a Office 365. Porovnanie TokenSigningCertificate odtlačok, či konfiguráciu Office 365 nájmu externej domény je synchronizovaný s AD FS. Ak zistíte, že problém v konfigurácii certifikát podpisu tokenu, spustite nasledujúci príkaz na aktualizáciu:
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      Môžete tiež spustiť nasledujúce nástroje na plánovanie úloh AD FS servera, ktorý bude monitorovať Auto certifikátov zmena tokenu podpisovanie certifikátu a aktualizácia Office 365 nájomcu automaticky.

      Microsoft Office 365 federácia Metadata aktualizácia automatizácie inštalácie nástroja

      Overiť a spravovať jediné prihlásenie so službami AD FS
    • Vydanie transformáciu nároku pravidlá pre Office 365 RP nie je správne nakonfigurovaný.

      V prípade, ak máte viaceré domény najvyššej úrovne (domén), môže byť prihlásení otázok, ak Supportmultipledomain pri RP dôvery vytvorený a aktualizovaný nepoužil prepínač. Ďalšie informácie získate po kliknutí Tu.
    • Uistite sa, že token je šifrovanie nie používa AD FS alebo STS vydaní token Azure AD a Office 365.
  6. Správca poverení Windows sú zastarané poverenia.

    Niekedy počas prihlásenie z pracovnej stanice portál (alebo pri používaní programu Outlook), keď sa výzva na zadanie poverení, poverenia môže uložiť cieľ (služby Office 365 alebo AD FS) Windows poverenia správcu (Panel\User Accounts\Credential správca). To zabraňuje poverení určitý čas, ale môže spôsobiť problém zmenilo heslo používateľa a poverenia správcu, nie je aktualizovaný. V takomto zastarané poverenia sa odošlú do služby AD FS a z tohto dôvodu zlyhá overovanie. Odstránenie alebo aktualizácia poverenia, Správca poverenia systému Windows môže pomôcť.
  7. Uistite sa, či SHA1 nastavené bezpečné algoritmu, nakonfigurovaný spolupracovala strany dôveryhodnosti balíka Office 365.

    Keď dôvera medzi STS/AD FS Azure AD a Office 365 používa protokol SAML 2.0, zabezpečené algoritmu nakonfigurovaný na digitálny podpis musí byť SHA1.
  8. Ak žiadny z predchádzajúcich príčin situácie, vytvorenie žiadosti o technickú podporu spoločnosti Microsoft a požiadajte ho, skontrolujte, či používateľské konto neustále zobrazená v časti nájmu Office 365. Ďalšie informácie nájdete v nasledujúcich zdrojoch:

    Chybové hlásenie v AD FS 2.0 pri externý používateľ prihlasuje do služby Office 365: "Sa vyskytol problém s prístupom k lokalite"

    Externý opakovane výzva na zadanie poverení pri pracovník pripojí koncový bod AD FS 2.0 služby počas prihlásenia služby Office 365
  9. V závislosti od ktorých služieb cloud (súčasťou Azure AD) pristupujete, požiadavka na overenie, ktorý odosiela AD FS sa môžu líšiť. Napríklad: niektoré požiadavky môžu obsahovať ďalšie parametre ako Wauth alebo Wfresh, a tieto môžu spôsobiť odlišné správanie na úrovni AD FS.

    Odporúčame, aby AD FS binárne vždy aktualizovaný o opravy známych problémov. Ďalšie informácie o najnovších aktualizácií nájdete v nasledujúcej tabuľke.

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 3079872 – Posledná kontrola: 08/12/2015 01:48:00 – Revízia: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbmt KB3079872 KbMtsk
Pripomienky