Виправлення неполадок із інсталяцією "єдиний вхід" у службі Office 365, InTune або Azure

Вказівки з настроювання

Перейдіть на такий веб-сайт Microsoft:

Підготовка до служби "єдиний вхід"

Перевірка на кроці 1

Використання майстра діагностики настроювання синхронізації служби каталогів для сканування служби Active Directory для вирішення проблем, які можуть спричинити проблеми синхронізації служби каталогів.

Усунення несправностей із перевіркою на кроці 1

1. Примітка. Неправильна підготовка служби Active Directory або невирішення проблем, які визначає засіб, може спричинити проблеми синхронізації служби каталогів. Виконайте вказівки з виправлення неполадок, які пропонує майстер діагностики настроювання синхронізації служби каталогів, щоб виправити неполадки, і переконайтеся, що майстер діагностики працює без помилок. Це запобігає виникненню таких проблем, що виникають згодом в реалізації:

   • 2392130 Виправлення неполадок із іменами користувачів, які виникають для федеративних користувачів під час входу в Office 365, Azure або InTune

   • 2001616 На адресу електронної пошти користувача Office 365 несподівано міститься символ підкреслення після синхронізації служби каталогів

   • 2643629 Один або кілька об'єктів не синхронізуються під час використання засобу синхронізації служби "Лазурний"

2. Повторно запустіть майстер діагностики, щоб перевірити, чи вирішено проблему.

Вказівки з настроювання

Перейдіть на такий веб-сайт Microsoft:

Інсталяція оболонки Windows PowerShell для одиночного входу за допомогою AD FS

Перевірка на кроці 3

Щоб перевірити модуль "Лазурний" для Windows PowerShell для єдиного входу, виконайте наведені нижче дії.

1. Запустіть модуль "Лазурне Active Directory" для оболонки Windows PowerShell як адміністратор.

2. Введіть наведені нижче команди та переконайтеся, що ви натискаєте клавішу ВВІД після введення кожної команди.

   1. $cred=Get-Credential Примітка . Коли з'явиться відповідний запит, введіть облікові дані адміністратора служби хмарних служб.

   2. Connect-MsolService -Credential $cred 

      Примітка.Ця команда з'єднує вас із Azure AD. Перш ніж запускати будь-які додаткові командлети, інстальовані модулем Azure Active Directory для оболонки Windows PowerShell, потрібно створити контекст, який з'єднує вас із лазуровим ОГОЛОШЕННЯМ.

   3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      Примітки

      • Якщо для оболонки Windows PowerShell інстальовано модуль "Лазурний", ви не повинні використовувати цей командлет, щоб виконати цю команду.

      • У цій команді покажчик місця заповнення <AD FS 2,0 первинного сервера> представляє внутрішню повністю кваліфіковане ім'я домену (FQDN) ОСНОВНОГО СЕРВЕРА AD FS. Ця команда створить контекст, що з'єднує вас із РЕКЛАМНИМИ ФС.

   4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      Примітка. У цій команді покажчик місця заповнення <ім'я федеративного домену> указує на те, що ім'я домену було федеративне в наведених нижче параметрах.

3. Порівняйте першу половину (джерело: AD FS Server) і останнє півріччя (джерело: Microsoft Office 365), що дає змогу виконати команду Get-msolfederationproperty , яку ви запускали на кроці 2D. Усі дані, крім вихідних і FederationServiceDisplayName , повинні збігатися. Якщо вони не збігаються, скористайтеся розділом "роздільна здатність" в цій статті бази знань Microsoft Knowledge Base, щоб оновити цільові дані для цільової сторони:2647020 "на жаль, але у нас виникли проблеми з входом в" і "80041317" або "80043431" помилка, коли Федеративний користувач спробує ввійти в Office 365, Azure або InTune

Усунення несправностей із перевіркою на кроці 3Щоб виправити неполадки, виконайте наведені нижче дії.

1. Усуньте поширені проблеми з перевіркою, використовуючи наведені нижче статті бази знань Microsoft, відповідно до вашої ситуації:

   • 2461873 Не вдається відкрити модуль "Лазурний Active Directory" для оболонки Windows PowerShell

   • 2494043Ви не можете підключитися за допомогою модуля "Лазурний" для Windows PowerShell.

   • 2587730 "підключення до <ім'я _ сервера> служби Федерації Active Directory Services 2,0 Server Failed" помилка під час використання командлета Set-Msoladffsконтексту

   • 2279117 Адміністратор не може додати домен до облікового запису Office 365

   • Помилка під час запуску командлета New-MsolFederatedDomain вдруге, оскільки не вдалося виконати перевірку домену. Докладні відомості про цей сценарій наведено в цій статті бази знань:

     2515404 Виправлення неполадок із перевіркою домену в Office 365

   • 2618887 "ідентифікатор служби Федерації, указаний на СЕРВЕРІ AD FS 2,0, уже використовується." помилка під час спроби настроїти інший Федеративний домен у службі Office 365, Azure або inune

   • Проблеми з часом призводять до проблем із командлетом New-MSOLFederatedDomain або Convert-msoldodomain федеративним командлетом. Докладні відомості про цей сценарій наведено в цій статті бази знань:

     2578667 "на жаль, але у нас виникають проблеми з входом в" і "80045C06" помилка, коли Федеративний користувач спробує ввійти в Office 365, Azure або InTune

2. Повторно виконайте дії перевірки, щоб перевірити, чи вирішено проблему.

Вказівки з настроювання

Перейдіть на такі веб-сайти Microsoft:

• План синхронізації служби каталогів

• Синхронізація каталогів і джерело повноважень

Перевірка на кроці 4

Щоб перевірити, виконайте наведені нижче дії.

1. Запустіть модуль "Лазурне Active Directory" для оболонки Windows PowerShell як адміністратор.

2. Введіть наведені нижче команди. Після кожної з них натискайте клавішу Enter.

   1. $cred=Get-Credential Примітка . Коли з'явиться відповідний запит, введіть облікові дані адміністратора служби хмарних служб.

   2. Connect-MsolService -Credential $cred Примітка . Ця команда з'єднує вас із Azure AD. Перш ніж запускати будь-які додаткові командлети, інстальовані модулем Azure Active Directory для оболонки Windows PowerShell, потрібно створити контекст, який з'єднує вас із лазуровим ОГОЛОШЕННЯМ.

   3. Get-MSOLCompanyInformation

3. Установіть значеннячасу " Lapodirsync" від результатів попередніх команд і переконайтеся, що вона відображає синхронізацію після інсталяції засобу синхронізації "Лазурний Active Directory".Примітка. Поле дати й часу для цього значення відображається за всесвітнім координованим часом (середній час за Гринвічем).

4. Якщо після оновлення не оновлюється, Відстежуйте журнал застосунків на сервері, на якому інстальовано засіб синхронізації служби "Лазурний Active Directory" для такої події:

   • Джерело: синхронізація служби каталогів

   • Код події: 4

   • Рівень: відомості

   Ця подія вказує на те, що синхронізацію служби каталогів завершено на сервері. Коли це станеться, виконайте ці кроки, щоб переконатися, що значення останнього оновлення було оновлено належним чином.

Виправлення неполадок із перевіркою для кроку 4Усуньте поширені проблеми з перевіркою, використовуючи наведені нижче статті бази знань Microsoft, відповідно до вашої ситуації:

• 2386445  Помилка під час запуску засобу синхронізації служби "Блакитний Active Directory": "Ваша версія майстра настроювання синхронізації з Windows Azure Active Directory застаріла"

• 2310320 Помилка під час спроби запустити майстер настроювання засобу синхронізації служби "Блакитний Active Directory": "ваші облікові дані не можуть бути автентифіковані. Повторно введіть свої облікові дані та повторіть спробу "

• 2508225 "logonuser () не вдалося з кодом помилки: 1789" після введення облікових даних корпоративного адміністратора в майстрі настроювання засобу синхронізації "Лазурний"

• 2502710 "під час запуску майстра настроювання засобу синхронізації служби Office Active Directory сталася невідома помилка під час роботи помічника із входу в інтернет-службах.

• 2419250 "під час спроби інсталювати засіб синхронізації служби" Блакитний ", комп'ютер має бути підключений до домену.

• 2643629 Один або кілька об'єктів не синхронізуються під час використання засобу синхронізації служби "Лазурний"

• 2641663 Використання зіставлення SMTP відповідно до локальних облікових записів користувачів із обліковими записами користувачів Office 365 для синхронізації служби каталогів

• 2492140 Ви не можете призначати федеративному домену користувачу на порталі Office 365

Вказівки з настроювання

1. Перевірте передумови клієнта для Office 365. Щоб отримати докладніші відомості про Системні вимоги для Office 365, перейдіть до системних вимог системи office 365.

2. Запустіть Настроювання робочого стола Office 365 на всіх клієнтських комп'ютерах, які використовують програми для роботи з багатим клієнтськими програмами. Для багатьох клієнтських програм входить Microsoft Outlook, Microsoft 2010, Microsoft Office Professional Plus 2010, модуль "Блакитний Active Directory для Windows PowerShell". Програми Office для настільних комп'ютерів і програми інтеграції Microsoft SharePoint. Примітка. Настроювання робочого стола Office 365 можна отримати на сторінці http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.Application.

3. Якщо очікується, що для клієнтських комп'ютерів, підключених до доменів і доменів, підключений до локальної інтрамережі, можна додати URL-адресу служби Федерації AD FS в локальну інтрамережу в програмі Windows Internet Explorer. Наприклад, виконайте наведені нижче дії.

   1. У браузері Internet Explorer у меню Знаряддя виберіть пункт властивості браузера.

   2. Перейдіть на вкладку Безпека , виберіть пункт Локальна інтрамережа, виберіть пункт сайти, а потім натисніть кнопку Додатково.

   3. Введіть https://STS.contoso.com у поле Додати цей веб-сайт до зони та натисніть кнопку Додати.Примітка . "sts.contoso.com" представляє ім'я FQDN служби Федерації AD FS.

   Щоб отримати докладні відомості про цю конфігурацію, ознайомтеся з наведеними нижче статтею бази знань Microsoft Knowledge Base:

   2535227 Під час спроби ввести облікові дані робочого або навчального облікового запису буде несподівано запропоновано федеративним користувачем.

4. Якщо домен і підключені до доменів клієнтські комп'ютери мають доступ до ресурсів Інтернету за допомогою проксі-сервера, який усуває адреси Інтернету, використовуючи загальнодоступні запити DNS (а не внутрішні, Спліт-мозок DNS), додайте URL-адресу служби Федерації AD FS до списку, для якого Internet Explorer омине фільтрування проксі-сервера. Нижче наведено приклад додавання URL-адреси до списку винятків браузера Internet Explorer.

   1. У браузері Internet Explorer у меню Знаряддя виберіть пункт властивості браузера.

   2. На вкладці підключення натисніть кнопку Настройки локальної мережі, а потім натисніть кнопку Додатково.

   3. У полі винятки введіть значення з іменем кінцевої точки служби AD FS, використовуючи повністю КВАЛІФІКОВАНЕ DNS-ім'я. Наприклад, увійдіть у STS.contoso.com.

Перевірка на кроці 5 Щоб перевірити, виконайте наведені нижче дії.

1. Переконайтеся, що службу помічника з реєстрації служб Microsoft Online інстальовано та запущено. Для цього виконайте описані нижче дії.

   1. Натисніть кнопку Пуск, виберіть команду виконати, введіть Services. msc, а потім натисніть кнопку OK.

   2. Знайдіть запис помічника із входу в служби Microsoft Online Services, а потім переконайтеся, що службу запущено.

   3. Якщо служба не запущена, клацніть його правою кнопкою миші та виберіть команду Пуск.

2. Перейдіть на веб-сайт AD FS MEX, щоб переконатися, що кінцева точка входить до складу зони безпеки інтрамережі Internet Explorer. Для цього виконайте описані нижче дії.

   1. Запустіть браузер Internet Explorer і перейдіть на веб-сайт кінцевої точки служби AD FS. Нижче наведено приклад веб-сайту кінцевої точки служби:

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

   2. Установіть прапорець у рядку стану в нижній частині вікна, щоб переконатися, що зона безпеки, вказана для цієї URL-адреси, – Локальна інтрамережа.