ผู้ที่ติดต่อกับภายนอกคือซ้ำ ๆ กันได้รับการพร้อมท์สำหรับข้อมูลประจำตัวในระหว่างการเข้าสู่ระบบใน Office 365, Azure หรือ Intune

การสนับสนุนสำหรับ Windows XP สิ้นสุดลงแล้ว

Microsoft ได้หยุดให้การสนับสนุนสำหรับWindows XP เมื่อวันที่ 8 เมษายน 2014 การเปลี่ยนแปลงครั้งนี้ได้ส่งผลกระทบต่อการอัปเดตซอฟต์แวร์ของคุณและตัวเลือกในการรักษาความปลอดภัย การเปลี่ยนแปลงนี้จะส่งผลอย่างไรกับคุณและทำอย่างไรเพื่อให้คอมพิวเตอร์ของคุณยังได้รับการปกป้องอยู่

ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ

ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2461628
สิ่งสำคัญ บทความนี้ประกอบด้วยข้อมูลที่แสดงให้คุณเห็นวิธีการตั้งค่าความปลอดภัยต่ำกว่าหรือวิธีปิดคุณลักษณะความปลอดภัยในคอมพิวเตอร์ คุณสามารถทำการเปลี่ยนแปลงเหล่านี้ได้ในการแก้ไขปัญหาที่เฉพาะเจาะจง ก่อนที่คุณทำการเปลี่ยนแปลงเหล่านี้ เราขอแนะนำให้ คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติตามวิธีการแก้ไขปัญหานี้ในสภาพแวดล้อมเฉพาะของคุณ หากคุณใช้วิธีแก้ปัญหานี้ ใช้ขั้นตอนเพิ่มเติมที่เหมาะสมเพื่อช่วยปกป้องคอมพิวเตอร์
ปัญหา
ผู้ที่ติดต่อกับภายนอกคือซ้ำ ๆ พร้อมท์สำหรับข้อมูลประจำตัวเมื่อผู้ใช้พยายามรับรองความถูกต้องกับปลายทางการบริการบริการสหพันธรัฐไดเรกทอรีที่ใช้งานอยู่ (AD FS) ในระหว่างการเข้าสู่ระบบในบริการ cloud Microsoft เช่น Office 365, Microsoft Azure หรือ Microsoft Intune เมื่อผู้ใช้ยกเลิก ผู้ใช้ได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ปฏิเสธการเข้าถึง
สาเหตุ
อาการที่บ่งชี้ว่า ปัญหาเกี่ยวกับการพิสูจน์ตัวจริงของ Windows แบบรวมกับ FS โฆษณา ปัญหานี้อาจเกิดขึ้นได้หากหนึ่ง หรือมากกว่ามีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • ชื่อผู้ใช้ที่ไม่ถูกต้องหรือรหัสผ่านถูกใช้
  • การตั้งค่าการรับรองความถูกต้องของ Internet Information Services (IIS) ถูกตั้งค่าอย่างไม่ถูกต้องใน FS โฆษณา
  • ในชื่อบริการหลัก (SPN) ที่มีการเชื่อมโยงกับบัญชีผู้ใช้บริการที่ใช้ในการรันเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ สูญหาย หรือเสียหาย

    หมายเหตุ ซึ่งเกิดขึ้นเฉพาะเมื่อใช้เป็นเซิร์ฟเวอร์ฟาร์มสหพันธรัฐ FS โฆษณา และไม่ได้นำมาใช้ในการกำหนดค่าแบบสแตนด์อโลน
  • อย่างน้อยหนึ่งอย่างต่อไปนี้จะถูกระบุ โดยขยายการป้องกันสำหรับการรับรองความถูกต้องเป็นแหล่งของการโจมตีผู้ชายในตัวตรงกลาง:
    • บางเบราว์เซอร์อินเทอร์เน็ตของบุคคลที่สาม
    • ไฟร์วอลล์เครือข่ายขององค์กร เครือข่ายโหลดบาลานเซอร์ หรืออุปกรณ์อื่น ๆ เชื่อมต่อเครือข่ายถูกประกาศบริการโฆษณา FS สหพันธรัฐกับอินเทอร์เน็ตในลักษณะที่ข้อมูลในส่วนของข้อมูลของ IP อาจอาจถูกเขียนขึ้น ซึ่งอาจรวมถึงข้อมูลชนิดต่อไปนี้:
      • การรักษาความปลอดภัย Secure Sockets Layer (SSL) ระหว่างกาล
      • ถ่าย SSL
      • การกรองแพ็คเก็ต stateful

        สำหรับข้อมูลเพิ่มเติม ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
        2510193สถานการณ์ได้รับการสนับสนุนสำหรับการใช้ FS โฆษณาเมื่อต้องการตั้งค่าหนึ่งเข้าสู่ระบบใน Office 365, Azure หรือ Intune
    • การตรวจสอบหรือแอพลิเคชันการถอดรหัสลับ SSL ติดตั้ง หรือทำงานอยู่บนคอมพิวเตอร์ไคลเอนต์
  • ความละเอียด Name System (DNS) ของโดเมนของปลายทางบริการโฆษณา FS ที่ดำเนินการผ่านทางการค้นหาระเบียน CNAME แทนที่ผ่านการค้นหาในเรกคอร์ด A
  • Windows Internet Explorer ไม่ได้กำหนดค่าเพื่อให้ผ่านการพิสูจน์ตัวจริงของ Windows แบบรวมไปยังเซิร์ฟเวอร์ FS โฆษณา

ก่อนที่คุณเริ่มแก้ไขปัญหา

ตรวจสอบว่า ชื่อผู้ใช้และรหัสผ่านนั้นไม่ใช่สาเหตุของปัญหาหรือไม่
  • ตรวจสอบให้แน่ใจว่า จะใช้ชื่อผู้ใช้ที่ถูกต้อง และอยู่ในรูปแบบชื่อหลัก (UPN) ของผู้ใช้ Johnsmith@contoso.com ตัวอย่าง
  • ตรวจสอบให้แน่ใจว่า มีใช้รหัสผ่านที่ถูกต้อง เพื่อตรวจสอบว่า มีใช้รหัสผ่านที่ถูกต้อง คุณอาจจะต้องตั้งรหัสผ่านของผู้ใช้ สำหรับข้อมูลเพิ่มเติม ดูบทความ Microsoft TechNet ดังต่อไปนี้:
  • ตรวจสอบให้แน่ใจว่า บัญชีไม่ได้ล็อคการใช้งาน หมดอายุ หรือใช้นอกชั่วโมงการเข้าสู่ระบบที่กำหนด สำหรับข้อมูลเพิ่มเติม ดูบทความ Microsoft TechNet ดังต่อไปนี้:

ตรวจสอบสาเหตุ

เพื่อตรวจสอบว่า ปัญหาเกี่ยวกับ Kerberos เป็นสาเหตุของปัญหา ชั่วคราวเลี่ยงผ่านการรับรองความถูกต้อง Kerberos โดยการเปิดใช้งานการรับรองความถูกต้องโดยใช้ฟอร์มบนเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้

ขั้นตอนที่ 1: แก้ไขแฟ้ม web.config บนแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ
  1. ใน Windows Explorer ค้นหาโฟลเดอร์ C:\inetpub\adfs\ls\ และจากนั้น ทำสำเนาสำรองของแฟ้ม web.config
  2. คลิกเริ่มคลิกโปรแกรมทั้งหมดคลิกเบ็ดเตล็ดคลิกขวาNotepadแล้ว คลิ กเรียกใช้ในฐานะผู้ดูแล
  3. ในการแฟ้ม เมนู คลิกเปิด ในการชื่อแฟ้ม กล่อง พิมพ์C:\inetpub\adfs\ls\web.configแล้ว คลิกเปิด
  4. ในแฟ้ม web.config ให้ทำตามขั้นตอนเหล่านี้:
    1. ค้นหาบรรทัดที่ประกอบด้วย<authentication mode=""></authentication>และจากนั้น เปลี่ยนเป็น<authentication mode="Forms"></authentication>
    2. ค้นหาส่วนที่ขึ้นต้นด้วย<localAuthenticationTypes></localAuthenticationTypes>แล้ว เปลี่ยนส่วนเพื่อให้การ<add name="Forms"></add>อยู่ในรายการก่อน เป็นดังนี้:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. ในการแฟ้ม เมนู คลิกบันทึก
  6. ที่พร้อมท์คำสั่ง เริ่ม IIS ใหม่ โดยใช้คำสั่งiisreset
ขั้นตอนที่ 2: ทดสอบโฆษณา FS ฟังก์ชัน
  1. บนคอมพิวเตอร์ไคลเอ็นต์ที่มีการเชื่อมต่อ และการรับรองความถูกต้องกับสถานที่ใน สภาพแวดล้อมการโฆษณา DS ลงชื่อเข้าใช้เว็บไซต์บริการเมฆ

    แทนที่เป็นประสบการณ์ใช้งานการรับรองความถูกต้องอย่างราบ ยึดตามแบบฟอร์มในการเข้าระบบควรถูกพบ ถ้าคุณเข้าสู่ระบบได้สำเร็จ โดยใช้โดยใช้แบบฟอร์มการรับรองความถูกต้อง ยืนยันว่า มีปัญหากับ Kerberos ในบริการโฆษณา FS สหพันธรัฐ
  2. ย้อนกลับสู่การตั้งค่าคอนฟิกของแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์มสหพันธรัฐ FS โฆษณาเมื่อต้องการตั้งค่าการรับรองความถูกต้องก่อนหน้าก่อนที่คุณทำตามขั้นตอนในส่วน "การแก้ไข" เมื่อต้องการย้อนกลับสู่การตั้งค่าคอนฟิกของแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ ให้ทำตามขั้นตอนเหล่านี้:
    1. ใน Windows Explorer ค้นหาโฟลเดอร์ C:\inetpub\adfs\ls\ และจากนั้น ลบแฟ้ม web.config
    2. ย้ายสำเนาสำรองของแฟ้ม web.config ที่คุณสร้างไว้ในแบบ "ขั้นตอนที่ 1: แก้ไขแฟ้ม web.config บนแต่ละเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ" ส่วนไปยังโฟลเดอร์ C:\inetpub\adfs\ls\
  3. ที่พร้อมท์คำสั่ง เริ่ม IIS ใหม่ โดยใช้คำสั่งiisreset
  4. ตรวจสอบว่า ลักษณะการทำงานการรับรองความถูกต้อง FS โฆษณาแปลงกลับไปยังการตัดสินค้าจากคลังเดิม
โซลูชัน
เมื่อต้องการแก้ไขปัญหา Kerberos ที่จำกัดการรับรองความถูกต้องของ FS โฆษณา ใช้อย่างน้อยหนึ่งวิธีต่อไปนี้ ตามความเหมาะสมกับสถานการณ์ที่

ความละเอียดที่ 1: ตั้งค่าการรับรองความถูกต้อง FS โฆษณาใหม่เป็นค่าเริ่มต้น

ถ้าการตั้งค่าการรับรองความถูกต้อง IIS FS โฆษณาไม่ถูกต้อง หรือไม่ตรงกับการตั้งค่าการรับรองความถูกต้อง IIS สำหรับบริการสหพันธรัฐ FS โฆษณาและพร็อกซีบริการ วิธีการแก้ไขปัญหาอยู่เพื่อ รีเซ็ตการตั้งค่าการรับรองความถูกต้อง IIS ทั้งหมดตามค่าเริ่มต้น FS โฆษณา

การตั้งค่าการรับรองความถูกต้องค่าเริ่มต้นจะแสดงในตารางต่อไปนี้
แอพลิเคชันเสมือนไปยังระดับการรับรองความถูกต้อง
ค่าเริ่มต้นเว็บ ไซต์/adfsการรับรองความถูกต้องแบบไม่ระบุชื่อ
ค่าเริ่มต้นเว็บ ไซต์/adfs/lsการรับรองความถูกต้องแบบไม่ระบุชื่อ
การพิสูจน์ตัวจริงของ Windows
บนแต่ละเซิร์ฟเวอร์สหพันธรัฐ FS โฆษณา และ บนพร็อกซีเซิร์ฟเวอร์ของแต่ละสหพันธรัฐ FS โฆษณา ใช้ข้อมูลในบทความ Microsoft TechNet ดังต่อไปนี้เพื่อรีเซ็ตการตั้งค่าการรับรองความถูกต้องเริ่มโปรแกรมประยุกต์เสมือน IIS FS โฆษณา:สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการแก้ไขข้อผิดพลาดนี้ ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
907273 การแก้ไขปัญหาข้อผิดพลาด HTTP 401 ใน IIS

871179 คุณได้รับข้อความแสดงข้อผิดพลาด "ข้อผิดพลาด HTTP 401.1 - ไม่ได้รับอนุญาต: การเข้าถึงถูกปฏิเสธเนื่องจากข้อมูลประจำตัวที่ไม่ถูกต้อง" เมื่อคุณพยายามเข้าถึงเว็บไซต์ที่เป็นส่วนหนึ่งของพูลโปรแกรมประยุกต์ IIS 6.0

ความละเอียดที่ 2: แก้ไขโฆษณา FS สหพันธรัฐเซิร์ฟเวอร์ฟาร์ม SPN

หมายเหตุ ลองแก้ไขปัญหานี้เฉพาะเมื่อใช้เป็นเซิร์ฟเวอร์ฟาร์มสหพันธรัฐ FS โฆษณา ลองแก้ปัญหานี้ในการกำหนดค่าแบบสแตนด์อโลน FS โฆษณา

เมื่อต้องการแก้ไขปัญหาหาก SPN หมายสำหรับบริการโฆษณา FS สูญหาย หรือเสียหายบนบัญชีผู้ใช้บริการโฆษณา FS ให้ทำตามขั้นตอนเหล่านี้บนเซิร์ฟเวอร์ในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐแต่ละ:
  1. เปิดบริการจัดการสแนปอิน เมื่อต้องการทำเช่นนี้ คลิกเริ่มคลิกโปรแกรมทั้งหมดคลิกเครื่องมือในการดูแลและจากนั้น คลิกการบริการ
  2. คลิกสองครั้งที่บริการ Windows (2.0) FS โฆษณา
  3. ในการเข้าสู่ระบบ แท็บ หมายเหตุบัญชีผู้ใช้บริการที่แสดงในบัญชีนี้
  4. คลิกเริ่มคลิกโปรแกรมทั้งหมดคลิกเบ็ดเตล็ดคลิกขวาที่หน้าจอพร้อมรับคำสั่งแล้ว คลิ กเรียกใช้ในฐานะผู้ดูแล
  5. ชนิด โฮสต์ – q – f SetSPN /<AD fs="" service="" name=""></AD>แล้ว กด Enter

    หมายเหตุ ในคำสั่งนี้ <AD fs="" service="" name=""></AD> แสดงถึงชื่อโดเมน(แบบเต็ม FQDN) ของชื่อบริการของปลายทางบริการโฆษณา FS จะไม่แสดงชื่อโฮสต์ของ Windows ของเซิร์ฟเวอร์ FS โฆษณา
    • ถ้ามากกว่าหนึ่งรายการจะถูกส่งกลับสำหรับคำสั่ง และผลลัพธ์ได้จะเชื่อมโยงกับบัญชีผู้ใช้อื่นที่ไม่ใช่ที่ถูกบันทึกไว้ในขั้นตอนที่ 3 เอาการเชื่อมโยงนั้น เมื่อต้องการทำเช่นนี้ รันคำสั่งต่อไปนี้:
      โฮสต์ – d SetSPN /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • ถ้ามากกว่าหนึ่งรายการจะถูกส่งกลับสำหรับคำสั่ง SPN ใช้ชื่อเดียวกันเป็นชื่อคอมพิวเตอร์ของเซิร์ฟเวอร์ FS โฆษณาใน Windows ชื่อสำหรับการโฆษณา FS ปลายทางสหพันธรัฐไม่ถูกต้อง FS โฆษณาที่มีการนำมาใช้ได้อีกครั้ง FQDN ของเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐต้องไม่เหมือนกับชื่อโฮสต์ของ Windows ของเซิร์ฟเวอร์ที่มีอยู่
    • ถ้า SPN ไม่มีอยู่ เรียกใช้คำสั่งต่อไปนี้:
      SetSPN – โฮสต์ /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      หมายเหตุ ในคำสั่งนี้ <username of="" service="" account=""></username> แสดงชื่อผู้ใช้ที่ถูกบันทึกไว้ในขั้นตอนที่ 3
  6. หลังจากดำเนินการตามขั้นตอนเหล่านี้บนเซิร์ฟเวอร์ทั้งหมดในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ คลิกขวาAD FS (2.0) Windows Serviceในการบริการสแน็ปอินการจัดการ และจากนั้น คลิกเริ่มใหม่

ความละเอียดที่ 3: เกี่ยวข้องกับการแก้ไขแบบขยายป้องกันสำหรับการรับรองความถูกต้อง

เมื่อต้องการแก้ไขปัญหาหากมีขยายการป้องกันสำหรับการรับรองความถูกต้องที่ทำให้ไม่สามารถรับรองความถูกต้องสำเร็จ ใช้อย่างใดอย่างหนึ่งต่อไปนี้วิธีการที่แนะนำ:
  • วิธีที่ 1: ใช้ Windows Internet Explorer 8 (หรือรุ่นที่ใหม่กว่าของโปรแกรม) เพื่อเข้าสู่ระบบ
  • วิธีที่ 2: การเผยแพร่โฆษณา FS บริการอินเทอร์เน็ตในลักษณะที่เชื่อมโยง SSL, SSL ถ่าย หรือกรองแพคเก็ต stateful ไม่ทวน IP ส่วนของข้อมูลของข้อมูล คำแนะนำเกี่ยวกับการปฏิบัติที่ดีที่สุดสำหรับวัตถุประสงค์นี้จะใช้การโฆษณา FS พร็อกซีเซิร์ฟเวอร์
  • วิธีที่ 3: ปิด หรือปิดใช้งานการตรวจสอบ หรือถอดรหัส SSL แอพลิเคชัน
ถ้าคุณไม่สามารถใช้วิธีใด ก็เพื่อหลีกเลี่ยงปัญหานี้ ขยายการป้องกันสำหรับการรับรองความถูกต้องสามารถถูกปิดใช้งานสำหรับไคลเอนต์ที่ใช้งานอยู่ และแฝง

วิธีแก้ปัญหา: ปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง

คำเตือน เราไม่แนะนำให้ คุณใช้ขั้นตอนนี้เป็นการแก้ไขปัญหาระยะยาว การปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง weakens โปรไฟล์ความปลอดภัยบริการโฆษณา FS โดยไม่ตรวจหาการโจมตีบางคนในตัวตรงกลางบนปลายทางของการพิสูจน์ตัวจริงของ Windows แบบรวม

หมายเหตุ เมื่อมีใช้วิธีนี้สำหรับฟังก์ชันการทำงานของแอพลิเคชันของบุคคลที่สาม คุณควรยังถอนการติดตั้งโปรแกรมแก้ไขด่วนบนระบบปฏิบัติการไคลเอ็นต์สำหรับการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรมแก้ไขด่วน ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
968389 การป้องกันแบบขยายสำหรับการรับรองความถูกต้อง
สำหรับไคลเอนต์ที่แฝง
เมื่อต้องการปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ passive ดำเนินการขั้นตอนต่อไปนี้สำหรับประยุกต์เสมือน IIS ดังต่อไปนี้บนเซิร์ฟเวอร์ทั้งหมดในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ:
  • ค่าเริ่มต้นเว็บ ไซต์/adfs
  • ค่าเริ่มต้นเว็บ ไซต์/adfs/ls
เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
  1. เปิดตัวจัดการ IIS และนำทางไปยังระดับที่คุณต้องการจัดการ สำหรับข้อมูลเกี่ยวกับการเปิดตัวจัดการ IIS ดู เปิดตัวจัดการ IIS (IIS 7).
  2. ในมุมมองของลักษณะการทำงาน คลิกสองครั้งที่รับรองความถูกต้อง
  3. บนหน้าการรับรองความถูกต้อง เลือกการพิสูจน์ตัวจริงของ Windows
  4. ในบานหน้าต่างการดำเนินการคลิกการตั้งค่าขั้นสูง
  5. เมื่อกล่องโต้ตอบการตั้งค่าขั้นสูงปรากฏขึ้น เลือกปิดจากการป้องกันแบบขยาย เมนูแบบหล่นลง
สำหรับไคลเอนต์ที่ใช้งานอยู่
เมื่อต้องการปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ที่ใช้งานอยู่ ดำเนินการขั้นตอนต่อไปนี้บนเซิร์ฟเวอร์ FS โฆษณาหลัก:
  1. เปิด Windows PowerShell
  2. เรียกใช้คำสั่งต่อไปนี้จะโหลด Windows PowerShell สำหรับสแนปอิน AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. เรียกใช้คำสั่งต่อไปนี้เพื่อปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

เปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง

สำหรับไคลเอนต์ที่แฝง
จะเปิดใช้งานแบบขยายป้องกันสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ passive ดำเนินการขั้นตอนต่อไปนี้สำหรับประยุกต์เสมือน IIS ดังต่อไปนี้บนเซิร์ฟเวอร์ทั้งหมดในเซิร์ฟเวอร์ฟาร์ม AD FS สหพันธรัฐ:
  • ค่าเริ่มต้นเว็บ ไซต์/adfs
  • ค่าเริ่มต้นเว็บ ไซต์/adfs/ls
เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
  1. เปิดตัวจัดการ IIS และนำทางไปยังระดับที่คุณต้องการจัดการ สำหรับข้อมูลเกี่ยวกับการเปิดตัวจัดการ IIS ดู เปิดตัวจัดการ IIS (IIS 7).
  2. ในมุมมองของลักษณะการทำงาน คลิกสองครั้งที่รับรองความถูกต้อง
  3. บนหน้าการรับรองความถูกต้อง เลือกการพิสูจน์ตัวจริงของ Windows
  4. ในบานหน้าต่างการดำเนินการคลิกการตั้งค่าขั้นสูง
  5. เมื่อกล่องโต้ตอบการตั้งค่าขั้นสูงปรากฏขึ้น เลือกยอมรับจากเมนูแบบหล่นลงแบบขยายป้องกัน
สำหรับไคลเอนต์ที่ใช้งานอยู่
เมื่อต้องการเปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องสำหรับไคลเอนต์ที่ใช้งานอยู่ ดำเนินการขั้นตอนต่อไปนี้บนเซิร์ฟเวอร์ FS โฆษณาหลัก:
  1. เปิด Windows PowerShell
  2. เรียกใช้คำสั่งต่อไปนี้จะโหลด Windows PowerShell สำหรับสแนปอิน AD FS:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. เรียกใช้คำสั่งต่อไปนี้เพื่อเปิดใช้งานการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้อง:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

ความละเอียดที่ 4: การแทนระเบียน CNAME กับระเบียน A สำหรับ FS โฆษณา

ใช้เครื่องมือการจัดการ DNS เมื่อต้องการแทนระเบียนแต่ละระเบียน DNS นามแฝง (CNAME) ที่ใช้สำหรับบริการสหพันธรัฐ ด้วยที่อยู่ DNS ระเบียน (A) นอกจากนี้ยัง ตรวจสอบ หรือพิจารณาการตั้งค่า DNS ของบริษัทเมื่อดำเนินการตั้งค่าคอนฟิก DNS split-brain สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดการระเบียน DNS ไปเว็บไซต์ของ Microsoft TechNet ดังต่อไปนี้:

ความละเอียดที่ 5: ตั้งค่า Internet Explorer เป็นไคลเอนต์ FS โฆษณาสำหรับสู่ระบบแบบครั้งเดียว (SSO)

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตั้งค่า Internet Explorer สำหรับการเข้าถึง AD FS ดูบทความฐานความรู้ของ Microsoft ต่อไปนี้:
2535227พร้อมต์ผู้ใช้ที่ติดต่อกับภายนอกเพื่อป้อนงานของตน หรือข้อมูลประจำตัวบัญชีโรงเรียนโดยไม่คาดคิด
ข้อมูลเพิ่มเติม
เพื่อช่วยป้องกันเครือข่าย FS โฆษณาใช้การป้องกันแบบขยายสำหรับการรับรองความถูกต้อง ป้องกันแบบขยายสำหรับการรับรองความถูกต้องสามารถช่วยป้องกันการโจมตีผู้ชายในตัวตรงกลางที่ผู้จู่โจมคเกอร์ดักข้อมูลประจำตัวของไคลเอนต์ และส่งต่อไปยังเซิร์ฟเวอร์ให้ ป้องกันการโจมตีดังกล่าวจะทำได้ โดยใช้การทำงานการผูกข้อมูลช่องสัญญาณ (CBT) CBT สามารถจำเป็น อนุญาต หรือไม่ต้องการเซิร์ฟเวอร์ที่ใช้เมื่อสร้างการติดต่อสื่อสารกับลูกค้า

การตั้งค่าExtendedProtectionTokenCheckโฆษณา FS ระบุระดับการป้องกันเพิ่มเติมสำหรับการรับรองความถูกต้องที่ได้รับการสนับสนุน โดยเซิร์ฟเวอร์สหพันธรัฐ เหล่านี้คือค่าพร้อมใช้งานสำหรับการตั้งค่านี้:
  • จำเป็นต้องใช้: เซิร์ฟเวอร์ไม่เสริมทั้งหมด บังคับใช้การป้องกันเพิ่มเติม
  • อนุญาต: นี่คือการตั้งค่าเริ่มต้น เซิร์ฟเวอร์ไม่เสริมบางส่วน บังคับใช้การป้องกันเพิ่มเติมสำหรับระบบที่เกี่ยวข้องที่มีการเปลี่ยนแปลงเพื่อสนับสนุนคุณลักษณะนี้
  • ไม่มี: เซิร์ฟเวอร์มีความเสี่ยง ไม่ได้บังคับใช้การป้องกันเพิ่มเติม
ตารางต่อไปนี้อธิบายวิธีการทำงานของการรับรองความถูกต้องสำหรับระบบปฏิบัติการสามและเบราว์เซอร์ ขึ้นอยู่กับตัวเลือกการป้องกันแบบขยายต่าง ๆ ที่พร้อมใช้งานบน FS โฆษณากับ IIS

หมายเหตุ ระบบปฏิบัติการของไคลเอนต์ Windows ต้องมีการปรับปรุงเฉพาะที่ติดตั้งเมื่อต้องการใช้คุณลักษณะการป้องกันแบบขยายได้อย่างมีประสิทธิภาพ โดยค่าเริ่มต้น คุณลักษณะจะเปิดใช้งานใน FS โฆษณา โปรแกรมปรับปรุงเหล่านี้จะพร้อมใช้งานจากบทความฐานความรู้ของ Microsoft ต่อไปนี้:
968389 การป้องกันแบบขยายสำหรับการรับรองความถูกต้อง
โดยค่าเริ่มต้น Windows 7 มีไบนารีที่เหมาะสมที่จะใช้การป้องกันเพิ่มเติม

Windows 7 (หรือรุ่นที่ปรับปรุงอย่างเหมาะสม ของ Windows Vista หรือ Windows XP)
การตั้งค่าจำเป็นต้องมีอนุญาต (ค่าเริ่มต้น)ไม่มี
การสื่อสารของ Windows
ไคลเอ็นต์พื้นฐาน (WCF) (ปลายทางทั้งหมด)
การทำงานการทำงานการทำงาน
8and Internet Explorer รุ่นที่ใหม่กว่าการทำงานการทำงานการทำงาน
Firefox 3.6ล้มเหลวล้มเหลวการทำงาน
Safari 4.0.4ล้มเหลวล้มเหลวการทำงาน
Windows Vista โดยไม่มีการปรับปรุงที่เหมาะสม
การตั้งค่าจำเป็นต้องมีอนุญาต (ค่าเริ่มต้น)ไม่มี
ไคลเอ็นต์ WCF (ปลายทางทั้งหมด)ล้มเหลวการทำงานการทำงาน
8and Internet Explorer รุ่นที่ใหม่กว่าการทำงานการทำงานการทำงาน
Firefox 3.6ล้มเหลวการทำงาน การทำงาน
Safari 4.0.4ล้มเหลวการทำงาน การทำงาน
Windows XP โดยไม่มีการปรับปรุงที่เหมาะสม
การตั้งค่าจำเป็นต้องมีอนุญาต (ค่าเริ่มต้น)ไม่มี
8and Internet Explorer รุ่นที่ใหม่กว่าการทำงานการทำงานการทำงาน
Firefox 3.6ล้มเหลวการทำงาน การทำงาน
Safari 4.0.4ล้มเหลวการทำงาน การทำงาน
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการป้องกันแบบขยายสำหรับการรับรองความถูกต้อง ดูทรัพยากรดังต่อไปนี้ของ Microsoft:
968389 การป้องกันแบบขยายสำหรับการรับรองความถูกต้อง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการ cmdletชุด ADFSPropertiesไปที่เว็บไซต์ของ Microsoft ต่อไปนี้:

ยังคงต้องการความช่วยเหลือใช่ไหม ไป ชุมชนของ office 365 เว็บไซต์หรือ ฟอรั่ม azure ไดเรกทอรีที่ใช้งานอยู่ เว็บไซต์

ผลิตภัณฑ์ของบริษัทอื่นที่กล่าวถึงในบทความนี้ผลิตขึ้น โดยบริษัทที่ไม่ขึ้นอยู่กับ Microsoft Microsoft ไม่มีการรับประกัน ทั้งโดยนัย หรืออย่างอื่น ใด เกี่ยวกับประสิทธิภาพหรือความน่าเชื่อถือของผลิตภัณฑ์เหล่านี้

คำเตือน: บทความนี้ได้รับการแปลโดยอัตโนมัติ

คุณสมบัติ

รหัสบทความ: 2461628 - การตรวจสอบครั้งสุดท้าย: 01/15/2016 06:06:00 - ฉบับแก้ไข: 25.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtth
คำติชม