Federasyon kullanıcıları Exchange Online posta kutusuna bağlanamıyor

  • Makale
  • Şunlara uygulanır:
    Exchange Online, Exchange, Outlook, Azure Active Directory

Belirtiler

Federasyon kullanıcısı, Exchange Online'da akıllı telefon kullanarak Microsoft Outlook'ta veya Microsoft Exchange ActiveSync kimlik doğrulaması yapamaz.

Neden

Aşağıdaki koşullardan biri doğruysa bu sorun oluşabilir:

  • şirket içi Active Directory Federasyon Hizmetleri (AD FS) 2.0 federasyon hizmeti genel İnternet'ten kullanılamaz.
  • AD FS 2.0 uç noktası tarafından kullanılan Güvenli Yuva Katmanı (SSL) sertifikası, Exchange Online veri merkezi tarafından güvenilmeyen bir sertifika yetkilisi tarafından verilir.

Outlook için geçerli Exchange Online uç noktası Temel Kimlik Doğrulaması veya Ara Sunucu Kimlik Doğrulaması kullanır. Bu, Outlook istemcilerinin Temel Kimlik Doğrulaması kullanarak Outlook.com hizmetinde kimlik doğrulaması yaptığı anlamına gelir. Outlook.com kullanıcının federasyon kullanıcısı olduğunu belirlerse, istemci adına kullanıcının AD FS 2.0 sunucusuna SSL üzerinden Temel Kimlik Doğrulaması'nı sunar. Bu eylem kullanıcının kimliğini yerel olarak doğrular ve kullanıcı için bir Güvenlik Onaylama İşaretleme Dili (SAML) talebi veya erişim belirteci ister. Genel kullanıma açık bir AD FS 2.0 uç noktası kullanılamıyorsa, kimlik doğrulama işlemi başarılı olmaz ve kullanıcının hizmet uç noktasına erişimi reddedilir.

Şirket içi AD FS 2.0 federasyon hizmetinin federasyon kullanıcıları için Outlook oturum açma sorunlarına neden olup olmadığını test etmek için Microsoft Uzaktan Bağlantı Çözümleyicisi'ni kullanın. Bunu yapmak için şu adımları uygulayın:

  1. Internet Explorer'da Microsoft Uzaktan Bağlantı Çözümleyicisi'ne gidin.

  2. E-posta adresini ve kimlik bilgilerini yazın, sayfanın alt kısmındaki onay kutusunu seçin, doğrulama kodunu yazın ve ardından Test Gerçekleştir'i seçin. Bu test iki kez çalıştırılmalıdır. Aşağıdaki kimlik bilgilerinin her birini kullanarak testi çalıştırın:

    • Exchange Online'de posta kutusu olan federasyon hesabı
    • Exchange Online'de posta kutusu olan standart bir kullanıcı hesabı

    Microsoft Uzak Bağlantı Çözümleyicisi sayfasının ekran görüntüsü.

  3. AD FS 2.0'ın Outlook oturum açma sorununa neden olup olmadığını belirlemek için her iki testin sonuçlarını denetleyin.

    1. Test Ayrıntıları ağacının aşağıdaki düğümüne gidin:

      RPC/HTTP bağlantısını test etme

      • ExRCA için Otomatik Bulma'yi test etmeye çalışır john@contoso.com

      • Otomatik Bulma hizmetiyle iletişim kurmanın her yöntemi deneniyor

      • HTTP yeniden yönlendirme yöntemini kullanarak Otomatik Bulma hizmetiyle iletişim kurmaya çalışma

      • Olası Otomatik Bulma URL'lerine Otomatik Bulma POST isteği gönderme girişimi

      • ExRCA, kullanıcının URL'sinden https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml XML Otomatik Bulma yanıtlarını almaya ve almaya çalışır

        SSO özellikli posta kutusunun ve standart posta kutusu test sonuçlarının ekran görüntüsü.

    2. Aşağıdaki koşulların her ikisinin de doğru olup olmadığını denetleyin:

      • Federasyon hesabı Otomatik Bulma'ya erişemiyor ve "HTTP 401 yetkili yanıtı" hata iletisi alıyor.
      • Standart kullanıcı hesabı Otomatik Bulma'ya erişebilir.

    Her iki koşul da doğruysa, SSO hatalarının Outlook kimlik doğrulamasının başarısız olmasına neden olduğunu doğruladınız.

Çözüm 1 - Şirket içi AD FS 2.0 federasyon hizmetini İnternet'te kullanıma sunma

Şirket içi AD FS 2.0 ortamı için SSO destekleyen bir AD FS 2.0 federasyon sunucusu proxy'si ayarlayın (veya AD FS 2.0 Federasyon Hizmeti'nin bir güvenlik duvarı ters ara sunucusunu ayarlayın) ve ardından proxy'yi İnternet'te yayımlayın.

Çözüm 2 - AD FS 2.0 proxy sunucusuyla ilgili sorunları giderme

AD FS 2.0 proxy sunucusu sorunlarını giderme hakkında daha fazla bilgi için bkz. Kullanıcılar Microsoft 365, Intune veya Azure'da oturum açarken AD FS uç noktası bağlantı sorunlarını giderme.

Yine de yardım mı gerekiyor? Microsoft Community web sitesine gidin.