Kullanıcılar Microsoft 365, Intune veya Azure'da oturum açarken AD FS uç noktası bağlantı sorunlarını giderme
Sorun
Kullanıcılar federasyon kullanıcı hesabı kullanarak Microsoft 365, Microsoft Intune veya Microsoft Azure gibi bir Microsoft bulut hizmetinde oturum açarken, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) hizmetine bağlantı yalnızca kullanıcılar aşağıdakileri yapmaya çalıştığında başarısız olur:
- Uzak İnternet konumundan bağlanma
- Oturum açmak için e-posta bağlantılarını kullanma
Bu durum, Uzak Bağlantı Çözümleyicisi'nin yaptığı SSO testlerinin başarısız olmasına da neden olur.
Microsoft 365'te SSO kimlik doğrulamasını test etmek için Uzak Bağlantı Çözümleyicisi'ni çalıştırma hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki aşağıdaki makalelere bakın:
- 2650717 Microsoft 365, Azure veya Intune için çoklu oturum açma sorunlarını gidermek için Uzak Bağlantı Çözümleyicisi'ni kullanma
- 2466333 Federasyon kullanıcıları Exchange Online posta kutusuna bağlanamıyor
Neden
AD FS hizmeti İnternet'te doğru şekilde gösterilmezse bu hatalar oluşabilir. Genellikle, AD FS proxy sunucusu bu amaç için kullanılır ve AD FS proxy sunucusuyla ilgili sorunlar bu belirtilere neden olur. Yaygın sorunlar şunlardır:
AD FS proxy sunucusuna atanan süresi dolmuş SSL sertifikası
Sıklıkla, aynı SSL sertifikası hem AD FS Federasyon Hizmeti hem de AD FS proxy sunucusu için güvenli iletişime (HTTPS) yardımcı olmak için kullanılır. Bu sertifikanın süresi dolduğunda ve sertifika AD FS Federasyon Hizmeti grubunda yenilendiğinde veya güncelleştirildiğinde, SSL sertifikası tüm AD FS proxy sunucularında da güncelleştirilmelidir. Bu durumda AD FS proxy sunucusu SSL sertifikası güncelleştirilmezse, AD FS Federasyon Hizmeti iyi durumda olsa bile AD FS hizmetine İnternet bağlantıları başarısız olabilir.
IIS kimlik doğrulama uç noktalarının yanlış yapılandırması
AD FS proxy sunucusunun rolü, AD FS'ye yönlendirilen İnternet iletişimini almak ve bu iletişimi AD FS Federasyon Hizmeti'ne aktarmaktır. Bu nedenle, AD FS Federasyon Hizmeti ve proxy sunucusunun IIS kimlik doğrulama ayarının tamamlayıcı olması önemlidir. AD FS proxy sunucusu IIS kimlik doğrulama ayarları AD FS Federasyon Hizmeti IIS kimlik doğrulama ayarlarını tamamlayacak şekilde ayarlanmadıysa, oturum açma başarısız olabilir veya birden çok beklenmeyen istem oluşturabilir.
AD FS proxy sunucusu ile AD FS Federasyon Hizmeti arasındaki güvenin bozulması
AD FS proxy hizmeti, etki alanına katılmamış bir bilgisayara yüklenecek şekilde tasarlanmıştır. Bu nedenle, AD FS proxy sunucusu ile AD FS Federasyon Hizmeti arasındaki iletişim bir Active Directory güvenini veya kimlik bilgilerini temel alamıyor. Bunun yerine, bu iki sunucu rolü arasındaki iletişim, AD FS Federasyon Hizmeti tarafından AD FS proxy sunucusuna verilen ve AD FS belirteç imzalama sertifikası tarafından imzalanan bir belirteç kullanılarak oluşturulur. Bu güvenin süresi dolduğunda veya geçersiz olduğunda, AD FS Proxy Hizmeti AD FS isteklerini geçiremez ve işlevselliği geri yüklemek için güvenin yeniden oluşturulması gerekir.
Çözüm
Bu sorunu çözmek için, hatalı çalışan tüm AD FS proxy sunucularında durumunuza uygun olarak aşağıdaki yöntemlerden birini kullanın.
Yöntem 1: AD FS sunucusundaki AD FS SSL sertifikası sorunlarını düzeltme
Bunu yapmak için şu adımları uygulayın:
Aşağıdaki Microsoft Bilgi Bankası makalesini kullanarak AD FS Federasyon Hizmeti'nin (Proxy Hizmeti değil) SSL sertifikası sorunlarını giderin:
2523494 Microsoft 365, Azure veya Intune oturum açmaya çalıştığınızda AD FS'den sertifika uyarısı alıyorsunuz
AD FS Federasyon Hizmeti SSL sertifikası düzgün çalışıyorsa, sertifika dışarı ve içeri aktarma işlevlerini kullanarak AD FS proxy sunucusundaki SSL sertifikasını güncelleştirin. Daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:
179380 Dijital sertifikaları kaldırma, içeri ve dışarı aktarma
Yöntem 2: AD FS proxy sunucusu IIS kimlik doğrulama ayarlarını varsayılana sıfırlama
Bunu yapmak için, AD FS proxy sunucusu için aşağıdaki Microsoft Bilgi Bankası makalesinin Çözüm 1'inde açıklanan adımları izleyin:
2461628 Federasyon kullanıcıdan Microsoft 365, Azure veya Intune oturum açma sırasında sürekli olarak kimlik bilgileri istenir
Yöntem 3: AD FS Proxy Yapılandırma sihirbazını yeniden çalıştırma
Bunu yapmak için, etkilenen tüm AD FS proxy sunucularının Yönetim Araçları arabiriminden AD FS Federasyon Sunucusu Proxy Yapılandırma Sihirbazı'nı yeniden çalıştırın.
Not
Yapılandırma sihirbazını yeniden çalıştırırken "Tarayıcı oturum açma Web sitesini dağıtma" adımından bir uyarı almak normaldir. Bu, sihirbazın AD FS proxy sunucusu ile AD FS Federasyon Hizmeti arasındaki güveni yeniden oluşturmadığının göstergesi değildir.
Daha fazla bilgi
AD FS proxy sunucusu kullanarak AD FS hizmetini İnternet'te kullanıma sunma hakkında daha fazla bilgi için aşağıdaki Microsoft web sitesine gidin:
Çoklu oturum açma ile kullanmak üzere AD FS 2.0'ı planlama ve dağıtma
Yine de yardım mı gerekiyor? Microsoft Community web sitesine gidin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin