Du arbetar offline, väntar på att återansluta till Internet

En federerad användare upprepade gånger uppmanas att ange autentiseringsuppgifter under logga in på Office 365, Azure eller Intune

Supporten för Windows XP har upphört

Microsoft upphörde med supporten för Windows XP den 8 april 2014. Denna ändring påverkar dina programuppdateringar och säkerhetsalternativ. Läs om vad detta innebär för dig och hur du behåller skyddet.

VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.

Den engelska versionen av artikeln är följande: 2461628
Viktigt Den här artikeln innehåller information om hur du sänker säkerhetsnivån eller stänger av säkerhetsfunktioner på en dator. Du kan göra dessa ändringar för att lösa ett specifikt problem. Innan du gör ändringarna rekommenderar vi att du utvärderar vilka risker de medför i din miljö. Om du genomför den här lösningen bör du vidta lämpliga ytterligare åtgärder för att skydda datorn.
PROBLEMET
En federerad användare upprepade gånger uppmanas att ange autentiseringsuppgifter när användaren försöker autentisera Active Directory Federation Services (AD FS) tjänsteslutpunkten under logga in på en Microsoft-tjänst för molnet Office 365, Microsoft Azure eller Microsoft Intune. När användaren avbryter visas följande felmeddelande:
Åtkomst nekad
ORSAK
Symptomet indikerar ett problem med Windows-integrerad autentisering med AD FS. Det här problemet kan uppstå om en eller flera av följande villkor är uppfyllda:
  • Ett felaktigt användarnamn eller lösenord användes.
  • Autentiseringsinställningar för Internet Information Services (IIS) anges felaktigt i AD FS.
  • Tjänstens huvudnamn (SPN) som associeras med kontot som används för att köra AD FS federationsservergruppen går förlorad eller skadas.

    Obs! Detta inträffar endast när AD FS är implementerad som en federationsservergruppen och implementerats inte i en fristående konfiguration.
  • En eller flera av följande identifieras som en källa till en man-in-the-middle-attacker av utökat skydd för autentisering:
    • Vissa webbläsare från tredje part
    • Företagsnätverk brandvägg, belastningsutjämning för nätverk eller annan nätverksenhet publicera på Internet på ett sådant sätt att eventuellt IP-nyttolasten kan skrivas för AD FS-federationstjänsten. Detta inkluderar eventuellt följande typer av data:
      • SSL (Secure Sockets Layer) bryggning (SSL)
      • SSL-avlastning
      • Administrerad paketfiltrering

        Mer information finns i följande artikel i Microsoft Knowledge Base:
        2510193Scenarier som stöds för att konfigurera enkel inloggning i Office 365, Azure eller Intune med AD FS
    • Övervakning eller SSL dekryptering programmet är installerat eller är aktivt på klientdatorn
  • Domain Name System (DNS) resolution av AD FS tjänsteslutpunkten utfördes via CNAME-postsökning i stället för via en sökning för en post.
  • Windows Internet Explorer konfigurerats inte för att skicka Windows-integrerad autentisering till AD FS-servern.

Innan du börjar felsöka

Kontrollera att användarnamnet och lösenordet inte är orsaken till problemet.
  • Kontrollera att korrekt användarnamn används och är i formatet för användarens huvudnamn (UPN). Johnsmith@contoso.com, t.ex.
  • Kontrollera att rätt lösenord används. Du kan behöva återställa användarens lösenord för att kontrollera att rätt lösenord används. Mer information finns på följande Microsoft TechNet-artikel:
  • Kontrollera att kontot inte är utelåst, gått ut eller används utanför utsedda inloggningstider. Mer information finns på följande Microsoft TechNet-artikel:

Ta reda på orsaken

Kontrollera att Kerberos-problem som orsakar problemet genom att tillfälligt förbigå Kerberos-autentisering genom att aktivera formulärbaserad autentisering på AD FS federationsservergruppen. Gör så här:

Steg 1: Redigera filen web.config på varje server i servergruppen för AD FS-federation
  1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och sedan göra en säkerhetskopia av filen web.config.
  2. Klicka på Start, Alla program, Tillbehör, högerklicka på Anteckningaroch klicka sedan på Kör som administratör.
  3. På den filen -menyn, klicka på Öppna. I den filnamn skriver duC:\inetpub\adfs\ls\web.config, och klicka sedan på Öppna.
  4. Gör följande i filen web.config:
    1. Leta upp den rad som innehåller <authentication mode=""> </authentication>, och ändra den till <authentication mode="Forms"> </authentication>.
    2. Leta upp avsnittet som börjar med <localAuthenticationTypes> </localAuthenticationTypes>, och ändra sedan avsnittet så att den <add name="Forms"></add> post anges först, enligt följande:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. På den filen -menyn klickar du på Spara.
  6. Starta om IIS med hjälp av kommandot iisreset i en kommandotolk.
Steg 2: Testa AD FS-funktioner
  1. På en klientdator som är ansluten och autentiseras på en lokal AD DS-miljö, logga in på molnet service portal.

    I stället för en sömlös autentisering upplevelse bör en formulärbaserad inloggning att upplevas. Om inloggningen lyckas med formulärbaserad autentisering bekräftas det att det finns ett problem med Kerberos i AD FS-federationstjänsten.
  2. Återställa konfiguration på alla servrar i federationsservergruppen AD FS till föregående autentiseringsinställningar innan du följer anvisningarna i avsnittet "Lösning". Gör så här om du vill återställa konfigurationen för alla servrar i federationsservergruppen AD FS:
    1. Leta upp mappen C:\inetpub\adfs\ls\ i Utforskaren och ta bort filen web.config.
    2. Flytta säkerhetskopiorna av web.config-filen som du skapade i den "steg 1: redigera filen web.config på varje server i servergruppen för AD FS-federation" avsnitt till mappen C:\inetpub\adfs\ls\.
  3. Starta om IIS med hjälp av kommandot iisreset i en kommandotolk.
  4. Kontrollera att beteendet för AD FS-autentisering återställs till det ursprungliga problemet.
LÖSNING
Lös problemet Kerberos som begränsar AD FS-autentisering med en eller flera av följande metoder som lämpar sig för situationen.

Lösning 1: Återställ AD FS autentiseringsinställningarna till standardvärdena

Om autentiseringsinställningarna för IIS i AD FS är felaktiga eller IIS-autentiseringsinställningarna för AD FS-Federation Services och proxytjänster inte matchar, är en lösning att återställa alla inställningar i IIS-autentisering till standardinställningarna AD FS.

I följande tabell visas standardinställningarna för autentisering.
Virtuella programNivå(er) autentisering
Standard webbplats/adfsAnonym autentisering
Standard webbplats/adfs/lsAnonym autentisering
Windows-autentisering
På varje AD FS-federationsservrar och federationsserverproxy varje AD FS, Använd informationen i följande Microsoft TechNet-artikeln för att återställa AD FS IIS virtuella program till standardinställningarna för autentisering:Mer information om hur du löser det här problemet finns i följande artiklar i Microsoft Knowledge Base:
907273 Felsökning av HTTP 401-fel i IIS

871179 Du får ett "HTTP-fel 401.1 - obehörig: åtkomst nekas p.g.a. ogiltiga autentiseringsuppgifter" felmeddelande när du försöker komma åt en webbplats som är en del av en programpool i IIS 6.0

Lösning 2: Korrigera federationsservergruppen SPN för AD FS

Obs! Prova denna lösning endast när AD FS är implementerad som en federationsservergruppen. Försök inte denna lösning i en fristående AD FS-konfiguration.

Om du vill lösa problemet om SPN-namnet för den AD FS-tjänsten går förlorad eller skadas på tjänstkontot för AD FS, gör följande på en server i servergruppen för AD FS-federation:
  1. Öppna snapin-modulen Services management. Genom att klicka på Start, klicka på Alla program, Administrationsverktygoch klicka sedan på tjänster.
  2. Dubbelklicka på tjänsten för AD FS (2,0).
  3. På den Logga in fliken, Observera kontot som visas i Det här kontot.
  4. Klicka på Start, Alla program, Tillbehör, högerklicka på Kommandotolkenoch klicka sedan på Kör som administratör.
  5. Typ SetSPN – f – q värd /<AD fs="" service="" name=""></AD>, och tryck sedan på RETUR.

    Obs! I det här kommandot <AD fs="" service="" name=""></AD> representerar tjänstnamnet för tjänsteslutpunkten AD FS fullständiga namnet (FQDN). Det representerar inte Windows värdnamnet för AD FS-servern.
    • Om mer än en post returneras för kommandot, och resultatet är associerad med ett konto än den som du antecknade i steg 3, bort associationen. Det gör du genom att köra följande kommando:
      SetSPN – d värd /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Om mer än en post returneras för kommandot och SPN-namnet använder samma namn som namnet på den AD FS-servern i Windows, är federation slutpunktsnamn för AD FS felaktig. AD FS måste genomföras igen. AD FS federationsservergruppen FQDN-namnet får inte vara identiskt med Windows-värdnamnet för en befintlig server.
    • Om SPN-namnet inte redan finns, kör du följande kommando:
      SetSPN – en värd /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Obs! I det här kommandot <username of="" service="" account=""></username> representerar namnet på användaren som du antecknade i steg 3.
  6. När dessa steg genomförs på alla servrar i federationsservergruppen AD FS, högerklicka på Windows-tjänsten för AD FS (2.0) i snapin-modulen Services management och klicka på Starta om.

Lösning 3: Lösa utökat skydd för autentisering gäller

Att lösa problemet om utökat skydd för autentisering förhindrar lyckad autentisering, använder du någon av följande metoder:
  • Metod 1: Använd Windows Internet Explorer 8 (eller en senare version av programmet) för att logga in.
  • Metod 2: publicera AD FS-tjänster på Internet på ett sådant sätt att SSL-bryggning, SSL-avlastning eller administrerad paketfiltrering inte skriva om IP-nyttolasten. Bästa praxis-rekommendation för detta ändamål är att använda en AD FS-Proxy Server.
  • Metod 3: Stäng eller inaktivera övervakning eller dekryptera SSL-program.
Om du inte kan använda någon av följande metoder för att undvika det här problemet, inaktiveras utökat skydd för autentisering för passiva och aktiva klienter.

Lösning: Inaktivera utökat skydd för autentisering

Varning Vi rekommenderar inte att du använder den här proceduren som en långsiktig lösning. Inaktiverar utökat skydd för autentisering gör mindre restriktiv säkerhet tjänstprofilen AD FS genom att inte upptäcka vissa man-in-the-middle-attacker mot slutpunkter för integrerad Windows-autentisering.

Obs! När den här lösningen används för tredjepartsprogram funktioner, bör du även avinstallera snabbkorrigeringar på klientens operativsystem för utökat skydd för autentisering. Mer information om snabbkorrigeringar finns i följande artikel i Microsoft Knowledge Base:
968389 Utökat skydd för autentisering
För passiva klienter
Gör följande om du vill inaktivera utökat skydd för autentisering för passiva klienter för IIS följande virtuella program på alla servrar i federationsservergruppen AD FS:
  • Standard webbplats/adfs
  • Standard webbplats/adfs/ls
Gör så här:
  1. Öppna IIS-hanteraren och navigera till den nivå som du vill hantera. Information om hur du öppnar IIS-hanteraren finns i Öppna IIS-hanteraren (IIS 7).
  2. Dubbelklicka på autentiseringi funktioner.
  3. Markera Windows-autentiseringpå sidan autentisering.
  4. Klicka på Avancerade inställningari fönstret åtgärder .
  5. När dialogrutan Avancerade inställningar visas väljer du utfrån denutökat skydd listrutan.
För aktiva klienter
Gör följande om du vill inaktivera utökat skydd för autentisering för aktiva klienter på den primära servern för AD FS:
  1. Öppna Windows PowerShell.
  2. Kör följande kommando för att ladda Windows PowerShell för snapin-modulen AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kör följande kommando för att inaktivera utökat skydd för autentisering:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Aktivera utökat skydd för autentisering

För passiva klienter
Gör följande för att aktivera utökat skydd för autentisering för passiva klienter igen för IIS följande virtuella program på alla servrar i federationsservergruppen AD FS:
  • Standard webbplats/adfs
  • Standard webbplats/adfs/ls
Gör så här:
  1. Öppna IIS-hanteraren och navigera till den nivå som du vill hantera. Information om hur du öppnar IIS-hanteraren finns i Öppna IIS-hanteraren (IIS 7).
  2. Dubbelklicka på autentiseringi funktioner.
  3. Markera Windows-autentiseringpå sidan autentisering.
  4. Klicka på Avancerade inställningari fönstret åtgärder .
  5. När dialogrutan Avancerade inställningar väljer du Accepteramenyn Utökat skydd .
För aktiva klienter
Gör följande för att aktivera utökat skydd för autentisering för aktiva klienter igen på den primära servern för AD FS:
  1. Öppna Windows PowerShell.
  2. Kör följande kommando för att ladda Windows PowerShell för snapin-modulen AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Kör följande kommando för att aktivera utökat skydd för autentisering:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Lösning 4: Ersätta CNAME-poster med en poster för AD FS

Använda DNS-hanteringsverktyg för att ersätta varje post för DNS-Alias (CNAME) som har används för federationstjänsten med en DNS-adress (A). Dessutom kontrollerar eller beakta företagets DNS-inställningarna när en split-brain DNS-konfigurationen implementeras. Mer information om hur du hanterar DNS-poster finns på följande Microsoft TechNet-webbplats:

Lösning 5: Konfigurera Internet Explorer som en AD FS-klient för enkel inloggning (SSO)

Mer information om hur du konfigurerar Internet Explorer för åtkomst av AD FS finns i följande artikel i Microsoft Knowledge Base:
2535227En federerad användare uppmanas oväntat ange sitt arbete eller i skolan kontoreferenser
MER INFORMATION
AD FS använder utökat skydd för autentisering för att skydda ett nätverk. Utökat skydd för autentisering kan förhindra att man-in-the-middle-attacker där en angripare fångar upp en klients autentiseringsuppgifter och vidarebefordrar dem till en server. Skydd mot sådana angrepp är möjligt med hjälp av kanal bindande Works (CBT). CBT kan krävs, tillåts eller krävs inte av servern när kommunikationen upprättas med klienter.

ExtendedProtectionTokenCheck AD FS-inställningen anger vilken nivå av utökat skydd för autentisering som stöds av federationsservern. Dessa är de tillgängliga värdena för inställningen:
  • Kräver: servern är helt strikt. Utökat skydd aktiveras.
  • Tillåt: det här är standardinställningen. Servern är delvis strikt. Utökat skydd aktiveras för berörda system som stöder den här funktionen ändras.
  • Ingen: servern är sårbar. Utökat skydd är inte tvingande.
I följande tabeller beskrivs hur autentisering fungerar för tre operativsystem och webbläsare, beroende på de olika alternativen för utökat skydd som finns i AD FS med IIS.

Obs! Windows-klientoperativsystem måste ha specifika uppdateringar som är installerade för att kunna utnyttja funktionerna för utökat skydd. Som standard aktiveras funktionerna i AD FS. Dessa uppdateringar kan hämtas från följande artikel i Microsoft Knowledge Base:
968389 Utökat skydd för autentisering
Som standard innehåller Windows 7 lämpliga binärfilerna för utökat skydd.

Windows 7 (eller korrekt uppdaterade versioner av Windows Vista eller Windows XP)
InställningKräverTillåt (standard)Ingen
Windows-kommunikation
Foundation (WCF)-klient (alla slutpunkter)
WorksWorksWorks
Internet Explorer 8and senareWorksWorksWorks
Firefox 3.6MisslyckasMisslyckasWorks
Safari 4.0.4MisslyckasMisslyckasWorks
Windows Vista utan lämpliga uppdateringar
InställningKräverTillåt (standard)Ingen
WCF-klient (alla slutpunkter)MisslyckasWorksWorks
Internet Explorer 8and senareWorksWorksWorks
Firefox 3.6MisslyckasWorks Works
Safari 4.0.4MisslyckasWorks Works
Windows XP utan lämpliga uppdateringar
InställningKräverTillåt (standard)Ingen
Internet Explorer 8and senareWorksWorksWorks
Firefox 3.6MisslyckasWorks Works
Safari 4.0.4MisslyckasWorks Works
Mer information om utökat skydd för autentisering finns i följande Microsoft-resurser:
968389 Utökat skydd för autentisering
Mer information om cmdlet Set-ADFSProperties finns på följande Microsoft-webbplats:

Behöver du hjälp? Gå till den Office 365-Community webbplatsen eller Azure Active Directory-forum webbplats.

Tredjepartsprodukter som diskuteras i denna artikel tillverkas oberoende av Microsoft. Microsoft lämnar inga garantier, implicerade eller andra, om prestanda eller tillförlitlighet hos dessa produkter

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 2461628 – senaste granskning 01/15/2016 06:06:00 – revision: 21.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtsv
Feedback