ОСНОВНІ ВІДОМОСТІ
У цій статті описано, як усунути проблеми з інсталяцією єдиного входу в хмарній службі Microsoft, як-от Office 365, Microsoft InTune або Microsoft Azure. докладні вказівки з реалізації для єдиного входу (SSO) можна отримати у довідці з довідкової служби Azure Active Directory (Azure AD). Якщо у вас виникла проблема під час настроювання єдиного входу, за допомогою цього посібника можна посилатися на цю статтю. Вона надає план для виправлення поширених проблем, які виникають під час кожного кроку настроювання.
ПРОЦЕДУРА
Виправлення неполадок із інсталяцією єдиного входу
Крок 1: підготовка служби Active Directory
Вказівки з настроювання
Перейдіть на такий веб-сайт Microsoft:
Перевірка на кроці 1
Використання майстра діагностики настроювання синхронізації служби каталогів для сканування служби Active Directory для вирішення проблем, які можуть спричинити проблеми синхронізації служби каталогів.
Усунення несправностей із перевіркою на кроці 1
-
Примітка. Неправильна підготовка служби Active Directory або невирішення проблем, які визначає засіб, може спричинити проблеми синхронізації служби каталогів. Виконайте вказівки з виправлення неполадок, які пропонує майстер діагностики настроювання синхронізації служби каталогів, щоб виправити неполадки, і переконайтеся, що майстер діагностики працює без помилок. Це запобігає виникненню таких проблем, що виникають згодом в реалізації:
-
2392130 Виправлення неполадок із іменами користувачів, які виникають для федеративних користувачів під час входу в Office 365, Azure або InTune
-
2001616 На адресу електронної пошти користувача Office 365 несподівано міститься символ підкреслення після синхронізації служби каталогів
-
2643629 Один або кілька об'єктів не синхронізуються під час використання засобу синхронізації служби "Лазурний"
-
-
Повторно запустіть майстер діагностики, щоб перевірити, чи вирішено проблему.
Крок 2: архітектура служб Федерації Active Directory (AD FS)
Вказівки з настроювання Перейдіть на такі веб-сайти Microsoft: Примітка . Служба підтримки Microsoft не допоможе клієнтам із виконанням вказівок з настроювання в цих посиланнях.
Крок 3: модуль "Лазурний Active Directory" для оболонки Windows PowerShell для єдиного входу
Вказівки з настроювання
Перейдіть на такий веб-сайт Microsoft:
Інсталяція оболонки Windows PowerShell для одиночного входу за допомогою AD FS
Перевірка на кроці 3
Щоб перевірити модуль "Лазурний" для Windows PowerShell для єдиного входу, виконайте наведені нижче дії.
-
Запустіть модуль "Лазурне Active Directory" для оболонки Windows PowerShell як адміністратор.
-
Введіть наведені нижче команди та переконайтеся, що ви натискаєте клавішу ВВІД після введення кожної команди.
-
$cred=Get-Credential Примітка . Коли з'явиться відповідний запит, введіть облікові дані адміністратора служби хмарних служб.
-
Connect-MsolService -Credential $cred
Примітка.Ця команда з'єднує вас із Azure AD. Перш ніж запускати будь-які додаткові командлети, інстальовані модулем Azure Active Directory для оболонки Windows PowerShell, потрібно створити контекст, який з'єднує вас із лазуровим ОГОЛОШЕННЯМ.
-
Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >
Примітки
-
Якщо для оболонки Windows PowerShell інстальовано модуль "Лазурний", ви не повинні використовувати цей командлет, щоб виконати цю команду.
-
У цій команді покажчик місця заповнення <AD FS 2,0 первинного сервера> представляє внутрішню повністю кваліфіковане ім'я домену (FQDN) ОСНОВНОГО СЕРВЕРА AD FS. Ця команда створить контекст, що з'єднує вас із РЕКЛАМНИМИ ФС.
-
-
Get-MSOLFederationProperty -DomainName < federated domain name >
Примітка. У цій команді покажчик місця заповнення <ім'я федеративного домену> указує на те, що ім'я домену було федеративне в наведених нижче параметрах.
-
-
Порівняйте першу половину (джерело: AD FS Server) і останнє півріччя (джерело: Microsoft Office 365), що дає змогу виконати команду Get-msolfederationproperty , яку ви запускали на кроці 2D. Усі дані, крім вихідних і FederationServiceDisplayName , повинні збігатися. Якщо вони не збігаються, скористайтеся розділом "роздільна здатність" в цій статті бази знань Microsoft Knowledge Base, щоб оновити цільові дані для цільової сторони:2647020 "на жаль, але у нас виникли проблеми з входом в" і "80041317" або "80043431" помилка, коли Федеративний користувач спробує ввійти в Office 365, Azure або InTune
Усунення несправностей із перевіркою на кроці 3Щоб виправити неполадки, виконайте наведені нижче дії.
-
Усуньте поширені проблеми з перевіркою, використовуючи наведені нижче статті бази знань Microsoft, відповідно до вашої ситуації:
-
2461873 Не вдається відкрити модуль "Лазурний Active Directory" для оболонки Windows PowerShell
-
2494043Ви не можете підключитися за допомогою модуля "Лазурний" для Windows PowerShell.
-
2587730 "підключення до <ім'я _ сервера> служби Федерації Active Directory Services 2,0 Server Failed" помилка під час використання командлета Set-Msoladffsконтексту
-
2279117 Адміністратор не може додати домен до облікового запису Office 365
-
Помилка під час запуску командлета New-MsolFederatedDomain вдруге, оскільки не вдалося виконати перевірку домену. Докладні відомості про цей сценарій наведено в цій статті бази знань:
2515404 Виправлення неполадок із перевіркою домену в Office 365
-
2618887 "ідентифікатор служби Федерації, указаний на СЕРВЕРІ AD FS 2,0, уже використовується." помилка під час спроби настроїти інший Федеративний домен у службі Office 365, Azure або inune
-
Проблеми з часом призводять до проблем із командлетом New-MSOLFederatedDomain або Convert-msoldodomain федеративним командлетом. Докладні відомості про цей сценарій наведено в цій статті бази знань:
2578667 "на жаль, але у нас виникають проблеми з входом в" і "80045C06" помилка, коли Федеративний користувач спробує ввійти в Office 365, Azure або InTune
-
-
Повторно виконайте дії перевірки, щоб перевірити, чи вирішено проблему.
Крок 4: упровадження синхронізації служби Active Directory
Вказівки з настроювання
Перейдіть на такі веб-сайти Microsoft:
Перевірка на кроці 4
Щоб перевірити, виконайте наведені нижче дії.
-
Запустіть модуль "Лазурне Active Directory" для оболонки Windows PowerShell як адміністратор.
-
Введіть наведені нижче команди. Після кожної з них натискайте клавішу Enter.
-
$cred=Get-Credential Примітка . Коли з'явиться відповідний запит, введіть облікові дані адміністратора служби хмарних служб.
-
Connect-MsolService -Credential $cred Примітка . Ця команда з'єднує вас із Azure AD. Перш ніж запускати будь-які додаткові командлети, інстальовані модулем Azure Active Directory для оболонки Windows PowerShell, потрібно створити контекст, який з'єднує вас із лазуровим ОГОЛОШЕННЯМ.
-
Get-MSOLCompanyInformation
-
-
Установіть значеннячасу " Lapodirsync" від результатів попередніх команд і переконайтеся, що вона відображає синхронізацію після інсталяції засобу синхронізації "Лазурний Active Directory".Примітка. Поле дати й часу для цього значення відображається за всесвітнім координованим часом (середній час за Гринвічем).
-
Якщо після оновлення не оновлюється, Відстежуйте журнал застосунків на сервері, на якому інстальовано засіб синхронізації служби "Лазурний Active Directory" для такої події:
-
Джерело: синхронізація служби каталогів
-
Код події: 4
-
Рівень: відомості
Ця подія вказує на те, що синхронізацію служби каталогів завершено на сервері. Коли це станеться, виконайте ці кроки, щоб переконатися, що значення останнього оновлення було оновлено належним чином.
-
Виправлення неполадок із перевіркою для кроку 4Усуньте поширені проблеми з перевіркою, використовуючи наведені нижче статті бази знань Microsoft, відповідно до вашої ситуації:
-
2386445 Помилка під час запуску засобу синхронізації служби "Блакитний Active Directory": "Ваша версія майстра настроювання синхронізації з Windows Azure Active Directory застаріла"
-
2310320 Помилка під час спроби запустити майстер настроювання засобу синхронізації служби "Блакитний Active Directory": "ваші облікові дані не можуть бути автентифіковані. Повторно введіть свої облікові дані та повторіть спробу "
-
2508225 "logonuser () не вдалося з кодом помилки: 1789" після введення облікових даних корпоративного адміністратора в майстрі настроювання засобу синхронізації "Лазурний"
-
2502710 "під час запуску майстра настроювання засобу синхронізації служби Office Active Directory сталася невідома помилка під час роботи помічника із входу в інтернет-службах.
-
2419250 "під час спроби інсталювати засіб синхронізації служби" Блакитний ", комп'ютер має бути підключений до домену.
-
2643629 Один або кілька об'єктів не синхронізуються під час використання засобу синхронізації служби "Лазурний"
-
2641663 Використання зіставлення SMTP відповідно до локальних облікових записів користувачів із обліковими записами користувачів Office 365 для синхронізації служби каталогів
-
2492140 Ви не можете призначати федеративному домену користувачу на порталі Office 365
Крок 5: підготовленість клієнтів Office 365
Вказівки з настроювання
-
Перевірте передумови клієнта для Office 365. Щоб отримати докладніші відомості про Системні вимоги для Office 365, перейдіть до системних вимог системи office 365.
-
Запустіть Настроювання робочого стола Office 365 на всіх клієнтських комп'ютерах, які використовують програми для роботи з багатим клієнтськими програмами. Для багатьох клієнтських програм входить Microsoft Outlook, Microsoft 2010, Microsoft Office Professional Plus 2010, модуль "Блакитний Active Directory для Windows PowerShell". Програми Office для настільних комп'ютерів і програми інтеграції Microsoft SharePoint. Примітка. Настроювання робочого стола Office 365 можна отримати на сторінці http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.
-
Якщо очікується, що для клієнтських комп'ютерів, підключених до доменів і доменів, підключений до локальної інтрамережі, можна додати URL-адресу служби Федерації AD FS в локальну інтрамережу в програмі Windows Internet Explorer. Наприклад, виконайте наведені нижче дії.
-
У браузері Internet Explorer у меню Знаряддя виберіть пункт властивості браузера.
-
Перейдіть на вкладку Безпека , виберіть пункт Локальна інтрамережа, виберіть пункт сайти, а потім натисніть кнопку Додатково.
-
Введіть https://STS.contoso.com у поле Додати цей веб-сайт до зони та натисніть кнопку Додати.Примітка . "sts.contoso.com" представляє ім'я FQDN служби Федерації AD FS.
Щоб отримати докладні відомості про цю конфігурацію, ознайомтеся з наведеними нижче статтею бази знань Microsoft Knowledge Base:
2535227 Під час спроби ввести облікові дані робочого або навчального облікового запису буде несподівано запропоновано федеративним користувачем.
-
-
Якщо домен і підключені до доменів клієнтські комп'ютери мають доступ до ресурсів Інтернету за допомогою проксі-сервера, який усуває адреси Інтернету, використовуючи загальнодоступні запити DNS (а не внутрішні, Спліт-мозок DNS), додайте URL-адресу служби Федерації AD FS до списку, для якого Internet Explorer омине фільтрування проксі-сервера. Нижче наведено приклад додавання URL-адреси до списку винятків браузера Internet Explorer.
-
У браузері Internet Explorer у меню Знаряддя виберіть пункт властивості браузера.
-
На вкладці підключення натисніть кнопку Настройки локальної мережі, а потім натисніть кнопку Додатково.
-
У полі винятки введіть значення з іменем кінцевої точки служби AD FS, використовуючи повністю КВАЛІФІКОВАНЕ DNS-ім'я. Наприклад, увійдіть у STS.contoso.com.
-
Перевірка на кроці 5 Щоб перевірити, виконайте наведені нижче дії.
-
Переконайтеся, що службу помічника з реєстрації служб Microsoft Online інстальовано та запущено. Для цього виконайте описані нижче дії.
-
Натисніть кнопку Пуск, виберіть команду виконати, введіть Services. msc, а потім натисніть кнопку OK.
-
Знайдіть запис помічника із входу в служби Microsoft Online Services, а потім переконайтеся, що службу запущено.
-
Якщо служба не запущена, клацніть його правою кнопкою миші та виберіть команду Пуск.
-
-
Перейдіть на веб-сайт AD FS MEX, щоб переконатися, що кінцева точка входить до складу зони безпеки інтрамережі Internet Explorer. Для цього виконайте описані нижче дії.
-
Запустіть браузер Internet Explorer і перейдіть на веб-сайт кінцевої точки служби AD FS. Нижче наведено приклад веб-сайту кінцевої точки служби:
https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
-
Установіть прапорець у рядку стану в нижній частині вікна, щоб переконатися, що зона безпеки, вказана для цієї URL-адреси, – Локальна інтрамережа.
-
Крок 6: Остаточна перевірка
На настроєний клієнтський комп'ютер перевіряють очікуваний спосіб автентифікації єдиного входу. Для цього потрібно виконати автентифікацію за допомогою облікового запису федеративного користувача. Можливо, ви захочете перевірити автентичність інтегрованого користувача в таких ситуаціях:
-
У локальній мережі та автентифіковано для локальної служби Active Directory
-
В Інтернеті-нейтральному розташуванні IP-адрес і не автентифіковано для локальної служби Active Directory
Щоб перевірити, виконайте наведені нижче дії.
-
Перевірка веб-автентифікації. Для цього скористайтеся одним із наведених нижче способів.
-
Увійдіть на портал хмарних служб як Федеративний користувач за допомогою облікових даних локального служби Active Directory.
-
Увійдіть у веб-програму Outlook Web App як Федеративний користувач (за допомогою облікових даних локальної служби Active Directory), які мають поштову скриньку Exchange Online. Наприклад, увійдіть у веб-програму Outlook Web App за такою АДРЕСОЮ:
https://outlook.com/owa/contoso.comПримітка.У цій URL-адресі "contoso.com" представляє ім'я федеративного домену.
-
Увійдіть у службу Microsoft SharePoint Online як Федеративний користувач (за допомогою облікових даних локальної служби Active Directory), які мають доступ до колекції сайтів групи. Наприклад, увійдіть у службу SharePoint Online за такою URL-адресою:
http://contoso.sharepoint.comПримітка. У цій URL-адресі "contoso" позначає ім'я вашої організації.
-
-
Перевірка функції "багатий клієнт" або "активна вимога". Для цього виконайте описані нижче дії.
-
Настройте профіль клієнта "Skype для бізнесу – онлайн" (колишня назва – "NC Online)" для облікового запису інтегрованого користувача, а потім увійдіть в обліковий запис за допомогою облікових даних локального служби Active Directory.
-
Увійдіть у модуль "Лазурний" для Windows PowerShell за допомогою командлета, який має глобальні облікові дані адміністратора через командлет Connect-MSOLService .
-
-
Перевірка базової автентифікації Exchange Online за допомогою засобу аналізу віддаленого підключення Microsoft. Щоб отримати докладні відомості про використання аналізатора віддаленого підключення, ознайомтеся з наведеною нижче статтею в базі знань Microsoft Knowledge Base:
2650717 Використання аналізатора віддаленого підключення для виправлення неполадок із окремим входом для Office 365, Azure або InTune
Усе ще потрібна допомога? Перейдіть на сайт спільноти Microsoft або на веб-сайті форума Active Directory .