PROBLÉM
Pri pokuse o prístup k cloudovej službe spoločnosti Microsoft, ako je napríklad Office 365, Microsoft Azure alebo Microsoft Intune prostredníctvom webového klienta alebo klientskej aplikácie s použitím externého konta, overenie zlyhá z konkrétneho klientskeho počítača. Pri používaní webového prehliadača na prístup k portálu cloudových služieb z toho istého počítača pomocou externého konta sa môžu vyskytnúť niektoré z nasledujúcich príznakov:
-
Keď sa pripojíte k koncovému bodu portálu, zobrazí sa jedno z nasledujúcich chybových hlásení:
Internet Explorer nedokáže zobraziť webovú stránku.
403 stránka sa nenašla
-
Keď sa pripojíte k koncovému bodu služby Active Directory Federation Services (ADFS) (AD FS), zobrazí sa jedno z nasledujúcich chybových hlásení:
Internet Explorer nedokáže zobraziť webovú stránku
403 stránka sa nenašla
-
Pri pripájaní k koncovému bodu služby AD FS sa zobrazí upozornenie certifikátu.
-
Keď sa pripojíte k koncovému bodu AD FS, keď ste prihlásení do podnikovej domény, dostanete výzvu na zadanie jedného poverenia. V tejto výzve na zadanie poverení sa nepoužíva overovanie na základe formulárov.
-
Keď sa pripojíte k koncovému bodu služby AD FS pomocou webového prehliadača tretej strany, zobrazí sa výzva na overenie slučky. Tieto výzvy nepoužívajú overovanie na základe formulárov.
-
Keď sa pripojíte k koncovému bodu login.microsoftonline.com, zobrazí sa toto chybové hlásenie:
Odmietnutý prístup
Príčina
Tento problém sa zvyčajne vyskytuje v klientskom počítači alebo v skupine klientskych zariadení. Tento problém sa môže vyskytnúť pre všetkých používateľov a klientske počítače, ak jediné prihlásenie (SSO) nie je plne funkčné. SSO nemusí byť plne funkčný, ak nastavenia klienta neboli správne nastavené. Tento problém môže spôsobovať nasledujúce situácie klientskeho zariadenia:
-
Sieťové pripojenie môže byť obmedzené.
-
Klientske zariadenie prijíma nesprávne rozlíšenie názvu pre službu AD FS federácia z vnútorného rozdelenia – Brain DNS implementácia.
-
Ak je v počítači nakonfigurovaná internetová proxy server, názov služby AD FS federácia sa nemusí pridať do zoznamu obísť server proxy.
-
Názov služby AD FS federácia sa nemusí pridať do zóny zabezpečenia Lokálna sieť intranet v nastaveniach možností siete Internet.
-
Klientsky počítač nie je overený v doménových službách Active Directory.
-
Webový prehliadač tretích strán nepodporuje rozšírenú ochranu na overovanie v službe AD FS federácia.
-
Koncový bod metaúdajov federácie môže byť naprogramovaný v databáze Registry z dôvodu staršej inštalácie balíka Office 365 Beta nástroja na správu SSO.
-
Požadovaný koncový bod služby AD FS, ktorý sa vyžaduje pre konkrétnu klientsku aplikáciu, je vypnutý.
Skôr než budete pokračovať, skontrolujte, či sú splnené tieto podmienky:
-
Problémy s prístupom nie sú obmedzené na bohaté klientske aplikácie v klientskom počítači. Ak nefunguje len overenie cez klienta (na rozdiel od overenia na základe prehliadača), pravdepodobnejšie označuje problém s overovaním problému so zložitým klientom. Môže to byť napríklad problém, ktorý súvisí s predpokladmi alebo konfiguráciou aplikácie s bohatou klientskou aplikáciou. Ďalšie informácie nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:
2637629 Riešenie problémov s aplikáciami mimo prehliadača, ktoré sa nemôžu prihlásiť do služieb Office 365, Azure alebo Intune
-
Overenie SSO nezlyháva pri všetkých používateľských kontách s podporou SSO. Ak sa všetkým používateľom s podporou SSO vyskytnú rovnaké príznaky, pravdepodobnejšie označuje problém federácie. Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na príslušné číslo článku:
2530569 Riešenie problémov s nastavením jediného prihlásenia v Office 365, Intune alebo Azure
-
Overovanie SSO pre používateľské konto uspeje v iných klientskych počítačoch. Ak sa používateľské konto nemôže prihlásiť ku ktorémukoľvek klientovi cloudových služieb, pozrite si rezolúcie uvedené nižšie v tomto článku, ktoré zahŕňajú klientsky počítač. Preskúmajte tiež možnosť, že používateľské konto nie je k dispozícii, a nie v klientskom počítači. Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na príslušné číslo článku:
2530590 Riešenie problémov s kontom pre externých používateľov v Office 365, Azure alebo Intune
-
Klávesnica v klientskom počítači funguje správne a meno používateľa a heslo, ak je to potrebné, boli zadané správne.
RIEŠENIE
Ak chcete vyriešiť tento problém, použite jeden alebo viaceré z nasledujúcich postupov v závislosti od príčiny problému.
Riešenie 1: nedá sa pripojiť k portálu cloudových služieb ani k službe AD FS
Skúste prejsť na http://www.MSN.com. Ak to nepomôže, riešenie problémov so sieťovým pripojením. Postupujte podľa nasledujúcich krokov:
-
V príkazovom riadku použite nástroje ipconfig a ping na riešenie problémov s pripojením IP. Ďalšie informácie nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:
169790 Riešenie základných problémov s protokolom TCP/IP.
-
Do príkazového riadka zadajte príkaz nslookup www.MSN.com a zistite, či DNS rieši názvy internetových serverov.
-
Uistite sa, že nastavenia servera proxy v možnostiach internetu vyjadrujú vhodný server proxy, ak sa v lokálnej sieti používa server proxy.
-
Ak je brána firewall v čele hrozby riadenia brány (TMG) nainštalovaná na hranici siete a brána firewall vyžaduje overenie klienta, možno budete musieť nainštalovať klientsky program Forefront TMG na klientskom zariadení na prístup na internet. Ak potrebujete pomoc, obráťte sa na správcu cloudových služieb.
Riešenie 2: nedá sa pripojiť k službe AD FS
Pri odstraňovaní tohto problému postupujte nasledovne:
-
Odstránenie problémov s pripojením IP pomocou rozlíšenia 1.
-
Do príkazového riadka zadajte príkaz nslookup <AD FS 2,0 FQDN>a potom stlačením klávesu ENTER Zistite, či DNS správne vyrieši názov služby AD FS.Poznámka: V tomto príkaze <FQDN AD FS> predstavuje úplný kvalifikovaný názov domény (FQDN) názvu služby AD FS. Nepredstavuje názov hostiteľa Windows servera AD FS.
-
Ak je klient pripojený k podnikovej sieti, skontrolujte, či je IP adresa, ktorá je vyriešená, súkromnou IP adresou. IP adresa by sa mala zhoduje s jedným z nasledujúcich vzorov:
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
Ak je klient mimo podnikovej siete, skontrolujte, či je IP adresa, ktorá je vyriešená, verejnou IP adresou. Uistite sa, že sa nezhoduje s jedným z nasledujúcich vzorov:
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
Ak je IP adresa, ktorá je vyriešená, nesprávna na základe kroku 1 a kroku 2, a ostatné klientske počítače nemajú rovnaké správanie, postupujte takto:
-
Do príkazového riadka zadajte príkaz ipconfig/alla skontrolujte, či je primárna položka DNS servera vhodná pre sieť, ku ktorej je klient pripojený.
-
Otvorte súbor%windir%\system32\drivers\etc\hosts v programe Poznámkový blok a potom odstráňte všetky položky FQDN AD FS. Potom súbor uložte.
-
Do príkazového riadka zadajte príkaz ipconfig/flushdns a vymažte vyrovnávaciu pamäť DNS.
-
Poznámka: Ak sú klientske zariadenia pripojené iba k podnikovej sieti, prejdite na krok 3.
-
-
Pridajte názov FQDN AD FS do zoznamu obísť server proxy. Ak to chcete urobiť, postupujte podľa krokov v nasledujúcom článku databázy Microsoft Knowledge Base:
262981 Internet Explorer používa server proxy pre miestnu IP adresu aj v prípade, že je zapnutá možnosť obísť server proxy pre lokálne adresy
Riešenie 3: upozornenie certifikátu pri pripojení k koncovému bodu služby AD FS
Ak chcete tento problém vyriešiť, riešenie problémov s certifikátom SSL (Secure Sockets Layer) pomocou nasledujúceho článku databázy Microsoft Knowledge Base:
2523494 Pri pokuse o prihlásenie do služieb Office 365, Azure alebo Windows Intune sa zobrazí upozornenie certifikátu zo služby AD FS
Riešenie 4: pri prihlásení z klientskeho počítača pripojeného k podnikovej sieti sa zobrazí výzva na neočakávané poverenia.
Pri odstraňovaní tohto problému postupujte nasledovne:
-
Skontrolujte, či je klientsky počítač úspešne prihlásený do domény.
-
Kliknite na tlačidlo Štart, kliknite na položku Spustiť, zadajte %LOGONSERVER%\Sysvola potom kliknite na tlačidlo OK.
-
Ak sa zobrazí výzva na zadanie poverení, odhláste sa a znova sa prihláste pomocou firemných poverení.
-
-
Pridajte názov FQDN AD FS do lokálnej intranetovej zóny.
-
Na karte zabezpečenie kliknite na položku Lokálna sieť intraneta potom kliknite na položku lokality.
-
Kliknite na položku Rozšírenéa potom prezrite si zoznam webových lokalít s úplným názvom DNS názvu koncového bodu služby AD FS (napríklad STS.contoso.com). Poznámka: V tejto konfigurácii bude fungovať aj zástupná hodnota, ako napríklad "*. consoto.com".
-
-
Pridajte názov FQDN AD FS do zoznamu obísť server proxy. Ak to chcete urobiť, postupujte podľa krokov v nasledujúcom článku databázy Microsoft Knowledge Base:
262981 Internet Explorer používa server proxy pre miestnu IP adresu aj v prípade, že je zapnutá možnosť obísť server proxy pre lokálne adresy
Riešenie 5: webový prehliadač tretích strán nepodporuje rozšírenú ochranu pri overovaní a zobrazí sa výzva na overenie slučky
Pri odstraňovaní tohto problému postupujte nasledovne:
-
Používanie programu Windows Internet Explorer (Internet Explorer podporuje rozšírenú ochranu na overenie) namiesto webového prehliadača tretej strany, ktorý nepodporuje rozšírenú ochranu pri overovaní.
-
Ak používate Internet Explorer nie je možnosť, použite nasledujúci článok databázy Microsoft Knowledge Base na konfigurovanie služby AD FS na prijímanie požiadaviek z webových prehliadačov, ktoré nepodporujú rozšírenú ochranu na overovanie:
2461628 Externý používateľ opakovane zobrazuje výzvu na zadanie poverení pri prihlasovaní do služieb Office 365, Azure alebo Intune
Riešenie 6: chybové hlásenie "prístup odmietnutý" pri pokuse o pripojenie k login.microsoftonline.com
Dôležité upozornenie: Táto časť obsahuje kroky, ktoré vám informujú o tom, ako upraviť databázu Registry. Ak však databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry sa nachádzajú v nasledujúcom článku databázy Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy Registry v systéme WindowsProblémy sa môžu vyskytnúť, ak koncové body pre SSO služby Azure Active Directory, ktoré používa AD FS, nie sú platné. Uistite sa, že koncový bod federácie nie je pevný v databáze Registry každého servera v službe AD FS federácia služby farmy. Ak chcete tento problém vyriešiť, použite Editor databázy Registry na odstránenie nasledujúceho podkľúča databázy Registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationAD FS sa vráti späť na správny koncový bod založený na SSO spoliehať strana Trust.
Riešenie 7: Obnovenie predvoleného nastavenia koncového bodu služby AD FS na predvolenú konfiguráciu
Ďalšie informácie o postupe nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:
2712957 Po zmene koncového bodu služby federácia sa prihláste do služieb Office 365, Azure alebo Intune zlyhá
Stále potrebujete pomoc? Prejdite na lokalitu Microsoft Community alebo webovú lokalitu fóra služby Azure Active Directory .