Виправлення неполадок з AD FS Azure в служба Active Directory та служби Office 365

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3079872
У цій статті розглядаються, робочий цикл, методи виправлення неполадок автентифікації, для Федеративні користувачі Azure в служба Active Directory або служби Office 365.
Ознаки
  • Федеративні користувачі не вдається увійти до служби Office 365 або Microsoft Azure, незважаючи на те, що керованих лише для хмарних користувачів, які мають суфікс UPN domainxx.onmicrosoft.com можна увійти без проблем.
  • Переспрямування до служба Active Directory (AD FS) об'єднання служби або STS не відбувається комплексний пошук користувача. Або спрацьовує помилку "Не вдалося відобразити сторінку".
  • Під Вільний час спроби автентифікації на AD FS з'являється сертифікатів, пов'язані з попередження у браузері. Це те, що помилка перевірки сертифікатів або що сертифікат не є довіреним.
  • "Невідома автентифікації метод" помилки або помилок, про те, що AuthnContext не підтримується. Окрім цього, помилки, AD FS або STS рівні, коли відбувається перенаправлення зі служби Office 365.
  • AD FS кидає, протокол IMAP про помилку "Немає доступу".
  • AD FS викидає з помилкою, у якому зазначається, що існує проблема, що доступ до сайту; Це стосується, посилання на номер.
  • Користувача, кілька разів запит на введення фінансові дані, на рівні AD FS.
  • Федеративні користувачі не можуть пройти автентифікацію з зовнішній мережі, або під Вільний час сценарій виконання застосунку, що має маршрут зовнішньої мережі (Outlook, наприклад).
  • Федеративні користувачі не вдається увійти після того, як сертифікат підпису маркера змінюється на AD FS.
  • Помилка "Вибачте, але ми виникають проблеми, які ви входите" спрацьовує, коли користувач комплексний пошук входить до Office 365 у Microsoft Azure. Ця помилка містить коди помилок, 8004786 C, 80041034, 80041317, 80043431, 80048163, 80045C 06, 8004789A або погано запит.

Виправлення неполадок з робочого циклу
  1. Access HTTPS://login.microsoftonline.comі введіть ім'я (федеративного користувача-входукористувача@приклад.com). Після натискання Tab, щоб видалити фокус у вікні, увійти, перевірте, чи стан зміни сторінки "Переспрямування" а потім буде переспрямовано на вашому службою служба Active Directory об'єднання (AD FS) для входу.

    У разі виникнення переспрямування відображається сторінці:

    Крок 1 знятий екрана
    1. Якщо немає переспрямування відбувається, буде запропоновано, введіть пароль на одній сторінці, це означає, що Azure служба Active Directory (AD) або служби Office 365 не розпізнає користувача або користувача домену, об'єднати. Щоб перевірити, чи є на єднання між Azure AD або Office 365 і AD FS сервері, на Get-msoldomain команди з Azure AD PowerShell. Якщо домен, зовнішнього, автентифікація властивості буде відображено як "Федеративні," в цьому знімку екрана:

      Про Федеративний домен п.
    2. Переспрямування відбувається, але не відбувається перенаправлення до сервера AD FS для входу, перевірте, чи ім'я служби AD FS вирішує на правильну IP-Адресою та чи підключення до цього IP через TCP-порт 443.

      Якщо домен як "Федеративні", дізнатися про до єднання за допомогою наступних команд:
      Get-MsolFederationProperty -DomainName <domain>
      Get-MsolDomainFederationSettings -DomainName <domain>
      Перевірте URI, URL-адреси і об'єднання партнер, який налаштовано в Office 365 або Azure AD сертифіката.
  2. Після того, як відбувається перенаправлення до AD FS браузер може кидає помилку сертифіката безпеки та конфіденційності, пов'язані з і для деяких клієнтів і пристроїв він може не дають змогу встановити SSL-сесії з AD FS. Щоб вирішити цю проблему, виконайте такі інтерактивні елементи.
    1. Переконайтеся, що це той самий, який налаштовано на AD FS AD FS сертифікат зв'язок служби, яке надається клієнту.

      Знімок про крок А екрана

      Найкращий AD FS служби зв'язок "один-до-одного" сертифікат має бути таким самим, як сертифіката SSL, яке надається клієнту під Вільний час спроби встановити SSL-тунель зі службою AD FS.

      У AD FS 2.0:

      • Зв'язати із сертифікатом IIS-> перший-сайт за промовчанням.
      • сценарій виконання оснащення AD FS, додати ж сертифікат сертифікат служби зв'язок "один-до-одного".

      У AD FS-2012 R2:

      • сценарій виконання оснащення AD FS або запит на додавання, adfscertificate команду, щоб додати сертифікат служби зв'язок "один-до-одного".
      • сценарій виконання в Набір adfssslcertificate команду для автоматична інсталяція ж сертифікат для SSL прив'язки.

    2. Переконайтеся, що цей сертифікат зв'язок служби AD FS надійним клієнта.
    3. Якщо це не СНАЙ підтримкою клієнтів намагається встановити SSL-сесії з AD FS або WAP-2-12-R2, спроба може не вдатися. У цьому випадку, можливо, слід додати до резервної запис А на серверах AD FS або WAP для підтримки не з НДВ клієнтів. Щоб отримати додаткові відомості див. нижче блогу:
  3. Помилка "Невідома автентифікації метод" або помилки, про те, що AuthnContext не підтримується на рівні AD FS або STS, коли відбувається перенаправлення зі служби Office 365 можуть виникнути. Це найбільш поширені Office 365 і Azure AD перенаправляє на AD FS або STS за допомогою параметра, який використовує метод автентифікації. Дотримання метод автентифікації, скористайтеся одним із наведених нижче способів.
    • Для WS-об'єднання, за допомогою рядка запит на змінення WAUTH примусове автентифікацію, основний маркер метод.
    • Для SAML2.0, наведений нижче:
      <saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext>
    Після того, як метод автентифікації, насильницькі, надіслані з неправильне значення або AD FS або STS, автентифікацію не підтримується, з'являється протокол IMAP про помилку, перш ніж ви зареєстровані.

    У таблиці нижче наведено в тип автентифікації, URIs, які розпізнаються AD FS для WS-об'єднання Пасивний автентифікації.
    метод автентифікації, який булоwauth URI
    Ім'я та пароль перевірки автентичності користувачаURN: Оазис: імена: змісту: SAML:1.0:am:password
    Автентифікація SSL-клієнтаURN: ietf:rfc:2246
    Windows інтегровану автентифікацію.URN: об'єднання: автентифікація: windows

    Підтримується SAML Автентифікація контекст класів

    метод автентифікації Автентифікація контекст-клас URI
    ім'я користувача та парольURN: Оазис: імена: змісту: SAML:2.0:ac:classes:Password
    Захищений паролем транспортуванняURN: Оазис: імена: змісту: SAML:2.0:ac:classes:PasswordProtectedTransport
    протокол TLS TLS клієнтаURN: Оазис: імена: змісту: SAML:2.0:ac:classes:TLSClient
    X. 509 сертифікатURN: Оазис: імена: змісту: SAML:2.0:ac:classes:X 509
    Інтегрована автентифікація WindowsURN: об'єднання: автентифікація: windows
    KerberosURN: Оазис: імена: змісту: SAML:2.0:ac:classes:Kerberos

    Щоб переконатися, що метод автентифікації, що підтримується на рівні AD FS, перевірте наступне.

    AD FS 2.0

    У розділі /adfs/LS/Web.config, переконайтеся, що міститься запис А тип автентифікації.

    <microsoft.identityServer.web></microsoft.identityServer.web>
    <localAuthenticationTypes></localAuthenticationTypes>
    додайте ім'я = "Форми" page="FormsSignIn.aspx" / >
    <add name="Integrated" page="auth/integrated/"></add>
    <add name="TlsClient" page="auth/sslclient/"></add>
    <add name="Basic" page="auth/basic/"></add>


    AD FS 2.0: Як змінити тип локального автентифікації

    AD FS-2012 R2

    У розділі AD FS керування, клацніть Автентифікація політики. у AD FS оснащення.

    У полі основний маркер автентифікації. натисніть кнопку Редагування біля пункту Глобальні настройки. Ви можете також правою кнопкою миші Автентифікація політики. а потім виберіть Редагування глобального основний маркер автентифікації. Або, у полі інтерактивні елементи Виберіть області Редагування глобального основний маркер автентифікації.

    У полі Редагування глобального автентифікації політики вікно, в основний маркер Відкрийте вкладку можна настроїти параметри в рамках політики глобального автентифікації. Наприклад, первинний автентифікації, можна вибрати методи доступні автентифікації, у розділі глобальна мережа екстранет і Інтрамережі.

    * * Переконайтеся, що встановлено прапорець метод автентифікації, потрібно.
  4. Якщо перейти до вашої AD FS та введіть облікові дані, але не вдається пройти автентифікацію, перевірте наведені нижче проблеми.
    1. Активний проблема для реплікації каталогу

      Якщо оголошення реплікації пошкоджений, зміни, внесені до користувача або групу, можуть не буде синхронізовано на контролерах домену. Між контролерів домену може бути пароль, УПН, GroupMembership, або ProxyAddress Невідповідність впливає на відповідь AD FS (автентифікація та вимоги). Ви повинні почати, дивлячись на контролерах домену, на цьому сайті правами AD FS. Запуск Repadmin /showreps або Також DCdiag /v команда повинна виявити, чи існує проблема на контролерах домену, що AD FS швидше за все, зверніться до.

      Крім того, ви можете отримати на AD реплікації зведення, щоб переконатися, що оголошення зміни реплікуються належним чином на всіх контролерах домену. У Repadmin /showrepl * /csv > showrepl.csv вихідний може бути корисним для перевірки стану реплікації. Щоб отримати додаткові відомості див. Виправлення неполадок, реплікація служби служба Active Directory.
    2. обліковий запис А комп'ютера, заблоковано або вимкнено у службі служба Active Directory

      Під Вільний час перевірки автентичності кінцевим користувачем через AD FS, вона не отримає до помилки протокол IMAP із зазначенням запис А заблоковано або вимкнено. AD FS і входу до системи, аудит необхідно визначити, чи не вдалося виконати автентифікацію через неправильний пароль, обліковий запис А комп'ютера вимкнуто, або закривається і так далі.

      Щоб увімкнути AD FS та входу до системи, аудит оголошення FS-серверів, виконайте такі дії:
      1. За допомогою політики на локальних або домену успішно та помилка, політики, що таке:
        • Аудит події входу до системи, що в комп'ютері конфігурація, Settings\Security, setting\Local Policy\Audit політики»
        • Аудит доступ до об'єктів, у комп’ютер-зразок, конфігурація Settings\Security-setting\Local Policy\Audit політики»
        Знімок про політики екрана
      2. Вимкніть політику, що таке:

        Категорія: Сили перевірки параметрів політики Підкатегорія (Windows Vista або новішої версії), щоб проігнорувати настройки категорії політики для перевірки

        Ця політика, розташований на комп’ютер-зразок, конфігурація setting\Local для Settings\Security восстановления параметр.

        Знімок про політику екрана

        Якщо потрібно настроїти це, використовуючи додаткові аудиту, клацніть тут.
      3. Для відстеження, настройте AD FS:
        1. Відкриття в AD FS 2.0 керування оснащення.
        2. В області інтерактивні елементи натисніть кнопку " Змінити властивості об'єднання служби".
        3. У на об'єднання служби властивості натисніть кнопку на події вкладки.
        4. Виберіть у успіх, перевірки та помилки перевірки. прапорці.

          Sceenshot, про ввімкнення, AD FS аудиту.
        5. Запуск GPupdate /force на сервері.
    3. Служби імен (SPN) зареєстровано неправильно

      Може бути дубльованих імен або SPN, які зареєстрований обліковий запис А комп'ютера служби AD FS, крім. Для установки з AD FS ферми переконайтеся, що SPN HOST/оголошення FSservicename буде додано до списку обліковий запис А комп'ютера служби, якому працює служба AD FS. Для з AD FS окрема інсталяція, коли служба працює з Мережна служба, SPN, має бути під облікового запису комп'ютера сервера, що хостинг AD FS.

      Знімок AD FS служби імені екрана

      Переконайтеся, що не є дубльованих імен служби AD FS, оскільки це може призвести до періодично автентифікації з AD FS. Зробіть список SPN,-запуску SETSPN-L.<ServiceAccount></ServiceAccount>.

      Знімок про список SPN екрана

      Запуск SETSPN-HOST/оголошення FSservicename ServiceAccount Щоб додати SPN.

      Запуск SETSPN-X -F Щоб перевірити, чи дубльованих імен.
    4. Повторювані UPN в служба Active Directory

      Користувач може бути неможливо перевірити справжність через AD FS у разі сценарій виконання SAMAccountName але не для автентифікації під Вільний час сценарій виконання UPN. У цьому випадку служба Active Directory, можуть містити два користувачі мають однакові UPN. Можливо, із закінченням два користувачі мають однакові UPN, під Вільний час запит на додавання або зміни користувачів через сценаріїв (ADSIedit, наприклад).

      Якщо використовується UPN для перевірки автентичності, у цьому випадку користувач автентифіковані повторювані користувача. Таким чином, облікові дані, які надаються не проходить.

      Запити на такий, як можна перевірити, чи кількох об'єктів оголошення, які мають однакові значення атрибута:
      Dsquery * forestroot -filter UserPrincipalName=problemuser_UPN

      Переконайтеся, що перейменовано UPN, повторювані користувача, так, що запит автентифікації в УПН буде перевірити правильність об'єктів.
    5. У випадку, коли використовується свою адресу електронна пошта як Ідентифікатор для входу в Office 365 і введення одну адресу електронна пошта, коли відбувається перенаправлення до AD FS для автентифікації, автентифікації може не з помилкою "NO_SUCH_USER", у журналах перевірки. Щоб увімкнути AD FS знайти перевірки автентичності користувача з використанням атрибута не UPN або SAMaccountname, потрібно настроїти AD FS для підтримки є альтернативний вхід, код. Щоб отримати додаткові відомості див. Настроювання Ідентифікатор альтернативного входу.

      На AD FS-2012 R2

      1. Інсталяція Оновлення 2919355.
      2. Оновлення AD FS конфігурації, запустивши командлет нижче PowerShell на будь-який об'єднання серверах ферми (за наявності WID ферми, потрібно виконати цієї команди на фермі основний маркер сервер AD FS):

        Набір AdfsClaimsProviderTrust - TargetIdentifier "AD влади" - AlternateLoginID <attribute>- LookupForests <forest domain=""></forest> </attribute>

        ПриміткаAlternateLoginID Це ім'я LDAP атрибут, який потрібно використовувати для входу в систему. І LookupForests Це лісу DNS-записи, що користувачі, які належать до списку.

        Щоб увімкнути функцію альтернативного входу-код, потрібно настроїти як до AlternateLoginID і LookupForests параметри, які не null, дійсні значення.

    6. AD FS обліковий запис А комп'ютера служби не має доступ для читання на AD FS маркер, що підписання сертифіката ключа. Щоб додати цей дозвіл, виконайте такі дії:
      1. Якщо додати новий маркер, цифрового підпису сертифікат, з'являється таке попередження: "Забезпечити закритий ключ для вибраного сертифіката доступна обліковий запис А комп'ютера служби об'єднання явищем на кожному сервері ферми".
      2. Натисніть кнопку Пуск, виберіть команду виконати, введіть MMC.exe, і натисніть клавішу Enter.
      3. Клацніть файлі натисніть кнопку Додати/видалити оснастка.
      4. Двічі клацніть на сертифікати.
      5. Виберіть обліковий запис А комп'ютера комп'ютера в питання і натисніть кнопку Далі.
      6. Виберіть локальний комп’ютер-зразокі натисніть кнопку Готово.
      7. Розгорніть сертифікатів (на локальному комп'ютері), а потім розгорніть <b00> </b00>Персонаl а потім виберіть сертифікати.
      8. Новий маркер, цифрового підпису сертифікат, клацніть правою кнопкою миші, виберіть Усі завданнята виберіть Керування приватних розділів.

        Sceenshot, про кроці 8
      9. запит на додавання облікового запису з 2.0 служби AD FS доступ для читання і натисніть кнопку OK.
      10. Закрийте консоль MMC сертифікати.
    7. Захист, розширеної параметр автентифікація Windows увімкнуто, для віртуального каталога AD FS або LS. Це може викликати проблеми з певні браузерах. Інколи може відображатися AD FS, повторне відображення запит на змінення на введення фінансові дані, і це може бути пов'язано з Додатковий захист параметри, які ввімкнуто для автентифікації Windows, AD FS або LS застосунку-служби IIS.

      Sceenshot, про кроці 8
      Під Вільний час Додатковий захист Автентифікація ввімкнено, запити на автентифікацію обов'язково як до імен учасників служби (SPN) сервера, коли клієнт намагається підключитися і зовнішні канал протокол TLS (TLS), через що виникає інтегрована автентифікація Windows. Додатковий захист, підвищує функції наявні автентифікація Windows ймовірність автентифікації реле або "людина посередині" атак. Однак, деякі веб-переглядачі не працюють з на Додатковий захист параметр; Замість цього, їх кілька разів, запит на введення фінансові дані і заборонити доступ. Вимкнення Додатковий захист допомагає є в цьому випадку.

      Щоб отримати додаткові відомості див. AD FS 2.0: Постійно запит на введення фінансові дані під Вільний час сценарій виконання веб-налагоджувач Fiddler.

      AD FS 2012 R2

      Введіть такі команди, щоб вимкнути Extendedprotection:

      Набір ADFSProperties-ExtendedProtectionTokenCheck немає

    8. Правила авторизації видавання довіри залежить від виробника (RP), може заборонити доступ до користувачів. На довіру AD FS залежить від виробника можна настроїти видавання авторизації правила, які керують, чи автентифікований користувач повинен бути виданий маркер сторона, спираючись. Адміністратори можуть використовувати до вимог, які випускаються, щоб заборонити доступ користувача, який є членом групи, які видобуваються як стверджують, що.

      Якщо у певних Федеративні користувачі не можуть пройти автентифікацію через AD FS, ви можете перевірити правила видачі дозволу, в Office 365-RP і перевірте, чи на Дозвіл на доступ до всіх користувачів правило налаштовано.

      Знімок про правила екрана
      Якщо це правило, не налаштувати, уважно, користувача дозволу правила, щоб перевірити, чи умови правила, що має значення "true" для відповідного користувача. Щоб отримати додаткові відомості див. нижче ресурси:
      Може автентифікувати з інтрамережі, під Вільний час доступу до сервера AD FS безпосередньо, але не можуть пройти автентифікацію під Вільний час доступу до AD FS через з AD FS проксі, відшукайте такі проблеми:
      • Вільний час синхронізації проблема на сервер AD FS і AD FS проксі.

        Переконайтеся, що Вільний час на сервері AD FS і часу на проксі-сервер, які в ногу з часом. Коли Вільний час на сервері AD FS вимкнуто більше п'яти хвилин, Вільний час від часу, на на контролерах домену, автентифікація помилки виникають. Під Вільний час AD FS-проксі-сервер не синхронізується з AD FS, впливають і зламана довіри проксі-сервера. Таким чином, не відбувається через проксі-сервер AD FS запрошення.
      • Перевірте, чи AD FS проксі-сервер, безпеки та конфіденційності служби AD FS працює належним чином. Якщо ви підозрюєте, що пошкоджено довіри проксі-сервер, відбувається конфігурації проксі-сервера.
  5. Проблеми з вашої AD FS маркерів, Azure, AD або служби Office 365 кидає, протокол IMAP про помилку. У цьому випадку перевірити такі проблеми:
    • Вимоги, які видається AD FS у маркер, має відповідати атрибути відповідного користувача в Azure AD. У маркер для Azure AD або в Office 365 для підприємств наступні вимоги відсутні.

      WSFED:
      УПН: Це твердження значення має відповідати UPN, користувачі в Azure AD.
      ImmutableID: Це твердження значення має відповідати sourceAnchor, або ImmutableID, користувача в Azure AD.

      Щоб значення атрибута користувача в Azure AD, запустіть такою командою: Get-MsolUser-UserPrincipalName<UPN></UPN>

      SAML 2.0:
      IDPEmail: Це твердження значення має відповідати ім'я учасника-користувача користувачі в Azure AD.
      NAMEID: Це твердження значення має відповідати sourceAnchor, або ImmutableID, користувача в Azure AD.

      Щоб отримати додаткові відомості див. За допомогою постачальника посвідчення SAML 2.0 для впровадження єдиного входу.

      Приклади:
      Ця проблема може виникнути, якщо УПН, синхронізований користувача змінено AD, але без оновлення Інтернет-каталог. У цьому випадку можна або виправити користувача UPN в Оголошенні, (відповідно до параметрів користувача пов'язані імена для входу), або запустити командлет нижче, щоб змінити імена для входу користувача, пов'язані з Інтернет-каталог, у:

      Набір MsolUserPrincipalName - UserPrincipalName [ExistingUPN] - NewUserPrincipalName [DomainUPN-AD]

      Це може бути, що ви використовуєте AADsync для синхронізації ПОШТОЮ як UPN і EMPID, як SourceAnchor, але спираючись виробників стверджують, що правила, що на рівні AD FS не оновлено для надсилання ПОШТОЮ як UPN і EMPID, як ImmutableID.
    • Існує маркер, цифрового підпису сертифікат невідповідність між AD FS і служби Office 365.

      Це одна з найпоширеніших проблем. AD FS використовує маркер, цифрового підпису сертифікат для входу маркер, що надсилається користувачу або програми. Довіри між AD FS і Office 365, є комплексний пошук безпеки, на основі маркера, цифрового підпису сертифікат (наприклад, Office 365 перевіряє, маркер, який отримав підписано за допомогою маркера, цифрового підпису сертифіката постачальника тверджень [AD FS служби], вона довіряє).

      Якщо маркер, цифрового підпису сертифікат на AD FS змінюється через автоматично сертифікат перемикання чи до адміністратора втручання (або після сертифікат, термін), відомості про нового сертифіката, потрібно оновити на комплексний пошук домену, клієнта служби Office 365.

      Office, 365 або Azure AD спробує охопити AD FS служби, за умови доступу з мережі. Ви намагаєтеся опитування ADFS об'єднання метаданих через певні інтервали витягнути будь-які зміни в конфігурації на ADFS, головним чином маркер, цифрового підпису сертифікат. Якщо цей процес працює, глобальний адміністратор побачите протокол IMAP на порталі служби Office 365 попередження про закінчення інтерактивні елементи маркера, цифрового підпису сертифікат і з діями, прийнято, щоб оновити його.

      Ви можете використовувати Get-MsolFederationProperty - ім'я домену.<domain></domain> Щоб скинути властивість об'єднання AD FS та служби Office 365. Тут ви можете порівняти TokenSigningCertificate-відбиток, щоб перевірити, чи конфігурації клієнта служби Office 365 для комплексний пошук домену синхронізується з AD FS. Якщо в настройках маркер, цифрового підпису сертифікат невідповідності, виконайте таку команду для оновлення:
      Update-MsolFederatedDomain -DomainName <domain> -SupportMultipleDomain
      Також можна запустити засіб таких завдань на сервері AD FS, буде в контролю для перемикання автоматично сертифікатів, маркер, цифрового підпису сертифікат і оновлення Office 365 компонентів, автоматично.

      Засіб інсталяції Microsoft Office 365 об'єднання метаданих оновлення автоматизації

      Перевірте та керувати єдиного входу з AD FS
    • Правила претензії перетворення Випуск Office 365-RP не настроєно належним чином.

      У випадку, якщо у вас є кілька доменів верхнього рівня (доменів) може мають проблеми для входу до системи, якщо на Supportmultipledomain параметр не використовується, коли довіра RP створено і оновлення. Щоб отримати додаткові відомості див. тут.
    • Переконайтеся, що маркерів шифрування не використовується AD FS або STS при маркер Azure AD або служби Office 365.
  6. Диспетчера фінансові дані Windows є застарілою кешовані ім'я та пароль.

    Іноді, під Вільний час входу в від робоча станція на портал (або під Вільний час сценарій виконання Outlook), що, коли користувачеві пропонується адміністратора облікові дані можуть зберігатися призначення (служби Office 365 або AD FS) у диспетчер фінансові дані Windows (диспетчер Accounts\Credential Panel\User керування). Це допомагає запобігти на введення фінансові дані протягом деякого часу, але це може спричинити проблеми після того, як пароль користувача було змінено, а також менеджер облікові дані не оновлено. У випадку, застарілі-облікові дані, що надсилаються до служби AD FS і таким чином помилка автентифікації. Видалення або оновлення кеша облікові дані, диспетчера фінансові дані Windows може допомогти.
  7. Переконайтеся, що встановлено Secure алгоритм гешування, настроєної на на залежить від виробника довіри для Office 365 SHA1.

    Під Вільний час довіри між STS-AD FS і Azure AD/Office 365 використовує SAML 2.0 протоколу Secure алгоритм гешування настроєно на із цифровим підписом слід SHA1.
  8. Вище причин стосуються залежно від ситуації, створення випадку технічної підтримки корпорації Майкрософт і попросити їх, щоб перевірити, чи обліковий запис А комп'ютера користувача постійно відображається в розділі клієнта в Office 365. Щоб отримати додаткові відомості див. нижче ресурси:

    AD FS 2.0, коли комплексний пошук користувач входить до Office 365 протокол IMAP про помилку: "Сталася помилка, що доступ до сайту"

    Федеративні користувач з'являтися запит на введення фінансові дані, коли він підключається до кінцевої точки 2.0 служби AD FS, під Вільний час входу Office 365
  9. Залежно від того, яка зі служб хмари (інтегровані з Azure AD) є доступ, запит на автентифікацію, що надсилається AD FS можуть відрізнятися. Наприклад: деякі запити можуть включати додаткові параметри, такі як Wauth АБО Wfresh, і цих параметрів може викликати різні проблеми на рівні AD FS.

    корпорація Майкрософт рекомендує, що AD FS файли завжди зберігати оновлені включати виправлення відомих проблем. Щоб отримати додаткові відомості про останні оновлення див. у наведеній нижче таблиці.

Попередження. Цю статтю переведено автоматично

Thuộc tính

ID Bài viết: 3079872 - Xem lại Lần cuối: 08/12/2015 04:18:00 - Bản sửa đổi: 2.0

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Foundation, Windows Server 2008 R2 Standard, Windows Server 2012 Foundation, Windows Server 2012 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Standard

  • kbmt KB3079872 KbMtuk
Phản hồi