Зараз ви перебуваєте в автономному режимі; очікується повторне підключення до Інтернету

Федеративні користувач з'являтися запит на введення фінансові дані під Вільний час входу до служби Office 365, Azure або Intune

Підтримку Windows XP припинено

8 квітня 2014 р. корпорація Майкрософт припинила підтримку Windows XP. Це позначилося на оновленнях програмного забезпечення та параметрах безпеки. Дізнайтеся, що це означає для вас і яких заходів безпеки необхідно вжити.

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 2461628
Увага! У цій статті, містить відомості про зниження рівня безпеки або вимкнення функцій безпеки, на комп'ютері. Можна виконувати зазначені інтерактивні елементи, щоб вирішити проблему. Перш ніж виконувати зазначені інтерактивні елементи, рекомендовано оцінити ризики, пов'язані з ними ризик у вашому конкретному середовищі. Якщо це слід ужити взяти на будь-які відповідні додаткові заходи для захисту комп'ютера.
ПРОБЛЕМИ
Федеративні користувач з'являтися запит на введення фінансові дані, коли користувач намагається автентифікації під Вільний час входу до хмари служби Office 365, корпорація Майкрософт Azure або Microsoft Intune кінцевої точки служби служба Active Directory (AD FS) об'єднання служби. Після того, як користувач скасовує, користувач отримує таке протокол IMAP про помилку:
Немає доступу
ПРИЧИНА
Ознак вказує на проблему з інтегрованої автентифікації Windows з AD FS. Ця проблема може виникнути, якщо на одному або кількох таких умов:
  • Було використано на хибне ім'я користувача або пароль.
  • Настройки автентифікації в інформаційних служб Інтернету (IIS) налаштовано неправильно в AD FS.
  • ім'я учасника служби (SPN), пов'язані з обліковий запис А комп'ютера служби, який використовується для запуску на фермі серверів об'єднання AD FS втрачено або пошкоджено.

    Примітка Це виникає лише тоді, коли AD FS реалізовано як об'єднання серверна ферма і не реалізовано у конфігурації окремо.
  • Один або кілька з наведених нижче визначаються розширений захист, для перевірки автентичності, як джерело людина в середині атаки:
    • Деякі веб-браузерів сторонніх виробників
    • Брандмауер корпоративної мережі, мережі завантажувати балансування або інші мережні пристрої публікація служба об'єднання AD FS до Інтернету, таким чином, що IP корисне навантаження даних може працювати переписати. Можливо, це включає такі дані:
      • Безпечний, протоколу (SSL) маршрутизації.
      • Протокол SSL розвантаження.
      • Фільтрацію повноцінної пакетів.

        Щоб отримати додаткові відомості див. таку статтю бази знань Майкрософт:
        2510193Підтримувані сценарії сценарій виконання AD FS настроювання єдиного входу Office 365, Azure або Intune
    • Моніторинг або SSL дешифрування застосунку на комп'ютері інстальовано чи активний на клієнтському комп'ютері.
  • визначення імен (DNS) домену, кінцевої точки служби AD FS, було виконано через Пошук запис А CNAME замість через на A запису підстановки.
  • Windows Internet Explorer не настроєно для передавання сервер AD FS інтегрованої автентифікації Windows.

Перш ніж починати усунення неполадок

Перевірте, що ім'я користувача та пароль не є причиною проблеми.
  • Переконайтеся в настройках використовується і в форматі (UPN) імені користувача. Наприклад, johnsmith@contoso.com.
  • Переконайтеся, що використовується правильний пароль. Перевірте, чи використовується правильний пароль, можливо, доведеться скидання пароля користувача. Щоб отримати додаткові відомості див. таку статтю Microsoft TechNet:
  • Переконайтеся, що обліковий запис А комп'ютера не заблоковано, термін інтерактивні елементи минув або використовується в неробочі години з вашим персональним входу в систему. Щоб отримати додаткові відомості див. таку статтю Microsoft TechNet:

Перевірте проблеми

Щоб перевірити, чи Kerberos проблем, які можуть спричиняти проблеми, тимчасово обійти автентифікації Kerberos, увімкнувши автентифікацію на основі форм, у фермі серверів об'єднання AD FS. Щоб це зробити, виконайте такі дії:

Крок 1: Редагування, файл Web. config на кожному сервері ферми об'єднання AD FS
  1. У провіднику Windows знайдіть каталог вхідних повідомлень C:\inetpub\adfs\ls\ і потім, створити архівувати файлів Web. config.
  2. Меню Пуск, виберіть Усі програми, стандартні, програми "Блокнот", клацніть правою кнопкою миші та виберіть Запуск із правами адміністратора.
  3. На на файл меню, натисніть Відкрити. У полі ім'я файлу введітьC:\inetpub\adfs\ls\web.configі клацніть Відкрити.
  4. У файлі web. config, виконайте такі дії:
    1. Знайдіть рядок, який містить <authentication mode=""> </authentication>та змінити його, щоб <authentication mode="Forms"> </authentication>.
    2. Знайдіть розділ, який починається з <localAuthenticationTypes> </localAuthenticationTypes>та змінити розділ, щоб у <add name="Forms"></add> запису зазначено, по-перше, наступним чином:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. На на файл меню, клацніть зберегти.
  6. У командному рядку в режимі адміністратора перезапустіть IIS, за допомогою команди iisreset .
Крок 2: Перевірка AD FS функціональність
  1. На клієнтському комп'ютері, який має підключення і автентифікованих для локального AD DS середовища, увійдіть до порталу хмари.

    Замість роботи в добре автентифікації на основі форм входу має бути досвідченим. Якщо вхід за допомогою автентифікацію на основі форм, це підтверджує, що у службу об'єднання AD FS існує проблема з Kerberos.
  2. Повернення конфігурації кожному сервері ферми об'єднання AD FS попередні настройки автентифікації, перш ніж виконувати інтерактивні елементи, описані в розділі "Вирішення". Щоб відновити конфігурацію на кожному сервері ферми об'єднання AD FS, виконайте такі дії:
    1. У провіднику Windows знайдіть каталог вхідних повідомлень C:\inetpub\adfs\ls\ і потім видалити файл Web. config.
    2. Переміщення архівувати файлів Web. config, створений на "Крок 1: файл Web. config на кожному сервері ферми об'єднання AD FS", щоб C:\inetpub\adfs\ls\ папки.
  3. У командному рядку в режимі адміністратора перезапустіть IIS, за допомогою команди iisreset .
  4. Перевірте, чи проблеми автентифікації AD FS автоматично вихідний випуск.
РІШЕННЯ
Щоб вирішити проблему Kerberos, яка обмежує AD FS автентифікації, використовувати одну або кілька з наведених нижче способів відповідно до ситуації.

Вирішення 1: Скидання AD FS настройки автентифікації до значень за промовчанням

Якщо настройку параметрів автентифікації AD FS IIS або IIS параметрів служби AD FS-об'єднання та проксі-сервер служби автентифікації не збігаються, один рішенням є скидання всіх настройок для автентифікації інформаційних служб Інтернету значення за промовчанням AD FS.

Автентифікація за промовчанням, указані в наведеній нижче таблиці.
ВіртуальнийАвтентифікація, (s)
За промовчанням веб-сайт/adfsАнонімна автентифікація
За промовчанням веб-сайт/adfs/lsАнонімна автентифікація
Автентифікація Windows
На кожному сервері з об'єднання AD FS, так і на кожному проксі-сервер об'єднання AD FS скористайтеся відомостями в цій статті Microsoft TechNet, щоб відновити віртуальні застосунки AD FS IIS для автентифікації за промовчанням:Щоб отримати додаткові відомості про те, як виправити цю помилку див. такі статті в базі знань Майкрософт:
907273 Усунення помилок HTTP 401, у службі IIS

871179 З'явиться на "помилка HTTP 401.1 - несанкціоноване: доступ заборонено через неправильні облікові" протокол IMAP про помилку, під Вільний час спроби отримати доступ до веб-сайт, який є частиною пул застосунків служби IIS 6.0

Вирішення 2: Виправлення, об'єднання AD FS серверну ферму SPN

Примітка Спробуйте цей спосіб вирішення, лише тоді, коли AD FS реалізовано як об'єднання серверна ферма. Не робіть розглянутого з AD FS окремий конфігурації.

Щоб вирішити цю проблему, якщо втрачено або пошкоджено на обліковий запис А комп'ютера служби AD FS SPN, AD FS служби, виконайте такі інтерактивні елементи на одному сервері ферми об'єднання AD FS
  1. Відкрийте служби керування оснащення. Для цього натисніть кнопку Пуск, Усіпрограми, клацніть Адмініструваннята клацніть служби.
  2. Двічі клацніть на AD FS (2.0) Windows-пакета.
  3. На на вхід вкладки, зверніть увагу на обліковий запис А комп'ютера служби, яке відображається в Цього облікового запису.
  4. Натисніть кнопку Пуск, виберіть Усі програми, стандартні, командний рядок, клацніть правою кнопкою миші та виберіть Запуск із правами адміністратора.
  5. Тип SetSPN-f-q-хост /<AD fs="" service="" name=""></AD>, і натисніть клавішу Enter.

    Примітка У цій команді <AD fs="" service="" name=""></AD> відповідає імені служби повне доменне ім’я (FQDN), AD FS кінцевої точки служби. Не є сервер AD FS ім’я хоста Windows.
    • Кілька разів, що повертається на команду, а результат, пов'язана з обліковим записом, відмінний від того, який було зазначено на кроці 3, видалення цього зв'язок "один-до-одного". Для цього, виконайте таку команду:
      SetSPN-d-хост /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Якщо кілька разів, що повертається на команду, SPN використовує таким самим іменем сервера AD FS у Windows, ім'я комп'ютера, ім'я кінцевої точки об'єднання AD FS неправильний. AD FS має здійснюватися знову. FQDN об'єднання AD FS серверну ферму не має бути ідентичний Windows ім’я хоста сервера наявний.
    • Якщо SPN ще не існує, виконайте таку команду:
      SetSPN-хост-<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Примітка У цій команді <username of="" service="" account=""></username> Це ім'я користувача, який було зазначено на кроці 3.
  6. Після того, як на всіх серверах ферми об'єднання AD FS виконано такі інтерактивні елементи, клацніть правою кнопкою миші AD FS (2.0), Windows із служби керування оснащення і клацніть перезавантажити.

Вирішення 3: Вирішити розширена захист для автентифікації проблем

Вирішити проблему, якщо у розширений захист, для автентифікації, не дозволяє успішно автентифікації, скористайтеся одним із таких способів:
  • Спосіб 1: використовувати браузер Windows Internet Explorer 8 (або пізнішої версії програми) для входу.
  • Спосіб 2: публікації AD FS послуг Інтернету, таким чином, що SSL моста SSL-розвантаження або фільтрацію повноцінної пакетів не перевидання IP корисне навантаження даних. Можливе застосування та рекомендації для цього є сценарій виконання з AD FS проксі-сервер.
  • Спосіб 3: закрити або вимкнути в контролю або програми, що SSL, розшифровуючи їх.
Якщо неможливо використати будь-якої з цих методів, щоб вирішити цю проблему, розширений захист, для перевірки автентичності, можуть бути відключені пасивний і активних клієнтів.

Усунення проблеми:, Вимкніть додатковий захист для автентифікації

Увага! Ми не рекомендуємо використовувати цю процедуру як довгострокове рішення. Вимкнення розширений захист автентифікації послаблює AD FS профіль служби безпеки, не виявляє, деякі людина в середині нападів інтегрована автентифікація Windows, кінцеві точки.

Примітка. Застосовано цей спосіб для застосунку стороннього функцій також видаляти виправлення, що в операційній системі клієнта для захисту від Extended для автентифікації. Щоб отримати додаткові відомості про поточні виправлення див. таку статтю бази знань Майкрософт:
968389 Додатковий захист для автентифікації
Пасивний клієнтів.
Щоб вимкнути захист автентифікації, для клієнтів, які пасивний подовженої, виконайте такі інтерактивні елементи, наступних віртуального застосунків служби IIS на всіх серверах ферми об'єднання AD FS:
  • За промовчанням веб-сайт/adfs
  • За промовчанням веб-сайт/adfs/ls
Щоб це зробити, виконайте такі дії:
  1. Відкрийте диспетчер IIS і перейти до рівня, яким потрібно керувати. Відомості про відкриття в диспетчері IIS див. Відкрийте диспетчер IIS (IIS 7).
  2. У вигляді функції двічі клацніть пункт автентифікації.
  3. На сторінці автентифікації, виберіть Автентифікація Windows.
  4. В області інтерактивні елементи натисніть кнопку " Додаткові параметри".
  5. Коли з'явиться діалогове вікно " Додаткові параметри " виберіть функціюз узахисту, розширений меню.
Для активних клієнтів.
Щоб вимкнути розширений захист автентифікації, для активних клієнтів, виконайте такі інтерактивні елементи, на основному сервері AD FS:
  1. Відкрийте оболонку Windows PowerShell.
  2. Запустіть таку команду, щоб завантажити Windows PowerShell, для оснащення AD FS.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Запустіть таку команду, щоб вимкнути захист розширений, для автентифікації:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

увімкнути додатковий захист для автентифікації

Пасивний клієнтів.
увімкнути розширений захист автентифікації, для клієнтів, які пасивний, виконайте такі інтерактивні елементи в наступних віртуального застосунків служби IIS на всіх серверах ферми об'єднання AD FS:
  • За промовчанням веб-сайт/adfs
  • За промовчанням веб-сайт/adfs/ls
Щоб це зробити, виконайте такі дії:
  1. Відкрийте диспетчер IIS і перейти до рівня, яким потрібно керувати. Відомості про відкриття в диспетчері IIS див. Відкрийте диспетчер IIS (IIS 7).
  2. У вигляді функції двічі клацніть пункт автентифікації.
  3. На сторінці автентифікації, виберіть Автентифікація Windows.
  4. В області інтерактивні елементи натисніть кнопку " Додаткові параметри".
  5. Коли з'явиться діалогове вікно " Додаткові параметри " виберете " прийняти"Захист, розширеної розкривному меню.
Для активних клієнтів.
Щоб увімкнути розширений захист автентифікації, для активних клієнтів, виконайте такі інтерактивні елементи, на основному сервері AD FS:
  1. Відкрийте оболонку Windows PowerShell.
  2. Запустіть таку команду, щоб завантажити Windows PowerShell, для оснащення AD FS.
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Запустіть таку команду, щоб увімкнути розширений захист автентифікації:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Вирішення 4: Замініть запис А бізнес-партнера CNAME, записів, для AD FS

Засоби керування сценарій виконання DNS замість кожен запис А DNS-псевдонім (CNAME), який використовується для об'єднання службу DNS-адресу () запису. Крім того, перевірити, або розглянути корпоративного параметри в DNS, під Вільний час реалізації фізіології конфігурації DNS. Щоб отримати додаткові відомості про те, як керувати запис А бізнес-партнера DNS, перейдіть на веб-сайті Microsoft TechNet.

Роздільна здатність 5: Настроювання браузера Internet Explorer, як AD FS-клієнт єдиного входу (SSO)

Щоб отримати додаткові відомості про те, як налаштувати браузер Internet Explorer, AD FS доступу див. таку статтю бази знань Майкрософт:
2535227Федеративні користувач неочікуваного запит на змінення введіть свою роботу або школа фінансові дані
ДОДАТКОВІ ВІДОМОСТІ
Для захисту в мережі, AD FS використовує захист, розширеної для автентифікації. Додатковий захист для автентифікації можна запобігти людина в середині-атак, коли зловмисник перехоплює клієнта, адміністратора а також пересилає їх на сервері. Захист від подібних атак виконано можна за допомогою прив'язки працює канал (КПТ). ТОС можна необхідні, дозволено або не потрібні на сервері, коли встановлено зв'язок "один-до-одного" з клієнтами.

Параметр ExtendedProtectionTokenCheck AD FS вказує на рівні додатковий захист для автентифікації, які підтримують об'єднання сервера. Вони доступні значення цього параметра:
  • Потрібна: сервер є повністю загартовані. Додатковий захист єдиного входу.
  • Дозволити: це параметр за промовчанням. Сервер є частково загартовані. Додатковий захист застосовується, необхідні для системний інтегратор, які змінюються для підтримки цієї функції.
  • None: сервер є вразливим. Додатковий захист, не застосовується.
У наведених нижче таблицях описано, як працює автентифікації три операційних системний інтегратор і браузерів, залежно від того, захист, розширеної різні варіанти, доступні в AD FS служби IIS.

Примітка. Операційні системи Windows-клієнта, потрібно мати певні оновлення, які інсталюються ефективно, сценарій виконання функцій захисту від, розширений. За промовчанням у AD FS ввімкнено функції. Ці оновлення доступні тут нижче статті бази знань Майкрософт:
968389 Додатковий захист для автентифікації
За промовчанням у Windows 7 містить відповідні двійкових файлів захист, розширеної.

Windows 7 (або відповідним чином оновлені версії Windows Vista або Windows XP)
ПараметрПотрібноДозволити (за промовчанням)Немає
Windows зв'язок "один-до-одного"
Клієнт для Foundation (WCF) (всі кінцеві точки.)
РоботиРоботиРоботи
Internet Explorer 8and новішої версіїРоботиРоботиРоботи
Firefox 3.6Не вдаєтьсяНе вдаєтьсяРоботи
Safari 4.0.4Не вдаєтьсяНе вдаєтьсяРоботи
Windows Vista без відповідних оновлень
ПараметрПотрібноДозволити (за промовчанням)Немає
Клієнт для WCF (всі кінцеві точки.)Не вдаєтьсяРоботиРоботи
Internet Explorer 8and новішої версіїРоботиРоботиРоботи
Firefox 3.6Не вдаєтьсяРоботи Роботи
Safari 4.0.4Не вдаєтьсяРоботи Роботи
Windows XP без відповідних оновлень
ПараметрПотрібноДозволити (за промовчанням)Немає
Internet Explorer 8and новішої версіїРоботиРоботиРоботи
Firefox 3.6Не вдаєтьсяРоботи Роботи
Safari 4.0.4Не вдаєтьсяРоботи Роботи
Щоб отримати додаткові відомості про захист розширений, для перевірки автентичності див. нижче ресурсів корпорації Майкрософт:
968389 Додатковий захист для автентифікації
Щоб отримати додаткові відомості про командлет Set-ADFSProperties , перейдіть на веб-сайт корпорації Майкрософт.

Як і раніше, потрібна допомога? Перейдіть до Спільноти Office 365 веб-сайт або Форуми для Azure служба Active Directory веб-сайт.

Продукти сторонніх виробників, які розглядаються в цій статті, розроблені компаніями, що не залежать від корпорації Майкрософт. корпорація Майкрософт не надає жодних гарантій, неявних або інших, стосовно продуктивності або надійності цих продуктів.

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 2461628 – останній перегляд: 01/15/2016 08:17:00 – виправлення: 20.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional Edition, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtuk
Зворотний зв’язок