Liên kết người dùng không thể nối với hộp thư Exchange Online

Áp dụng cho: Exchange OnlineAzure Active Directory

Vấn đề


Người dùng liên kết không thể xác thực Microsoft Outlook hoặc Microsoft Exchange ActiveSync bằng cách sử dụng điện thoại thông minh trong Exchange Online.

Gây ra


Sự cố này có thể xảy ra nếu một trong các điều kiện sau là đúng:
  • Dịch vụ liên kết dịch vụ Active Directory (AD FS 2,0) tại chỗ không có sẵn từ Internet công cộng.
  • Chứng chỉ Secure Socket Layer (SSL) được sử dụng bởi AD FS 2,0 điểm cuối được phát hành bởi một cơ quan chứng nhận không đáng tin cậy của Trung tâm dữ liệu Exchange Online.
Điểm cuối Exchange Online hiện tại cho Outlook sử dụng xác thực cơ bản hoặc xác thực proxy. Điều này có nghĩa là máy khách Outlook xác thực với dịch vụ Outlook.com bằng cách sử dụng chứng chỉ cơ bản. Nếu Outlook.com xác định người dùng là người dùng liên kết, nó proxy xác thực cơ bản qua SSL cho người dùng AD FS 2,0 máy chủ thay mặt cho khách hàng. Hành động này authenticates người dùng cục bộ và yêu cầu một ngôn ngữ đánh dấu khẳng định bảo mật (SAML) yêu cầu hoặc truy cập mã thông báo cho người dùng. Nếu công khai có AD FS 2,0 điểm cuối không khả dụng, quá trình xác thực không thành công và người dùng bị từ chối truy cập vào điểm cuối dịch vụ. Sử dụng phân tích kết nối từ xa của Microsoft để kiểm tra xem chỗ AD FS 2,0 liên kết dịch vụ đang gây ra vấn đề đăng nhập Outlook cho người dùng kết hợp. Để thực hiện việc này, hãy làm theo các bước sau:
  1. Trong Internet Explorer, duyệt đến https://www.testconnectivity.Microsoft.com/?testid=O365Ola.
  2. Nhập địa chỉ email và thông tin đăng nhập, bấm để chọn hộp kiểm nhận gần cuối trang, nhập mã xác minh và sau đó nhấp vào thực hiện kiểm tra. Kiểm tra này nên được chạy hai lần. Chạy kiểm tra bằng cách sử dụng một trong các thông tin sau:
    • Tài khoản liên kết có hộp thư trong Exchange Online
    • Tài khoản người dùng chuẩn có hộp thư trong Exchange OnlineScreen shot of the Microsoft Remote Connectivity Analyzer page
  3. Kiểm tra kết quả kiểm tra để xác định xem AD FS 2,0 gây ra sự cố đăng nhập Outlook. a. Khoan xuống nút sau của cây chi tiết kiểm tra :
    Testing RPC/HTTP connectivity- ExRCA is attempting to test Autodiscover for john@contoso.com- Attempting each method of contacting the Autodiscover service- Attempting to contact the Autodiscover service using the HTTP redirect method- Attempting to send an Autodiscover POST request to potential Autodiscover URLs- ExRCA is attempting to retrieve and XML Autodiscover response from URL htts://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml for user  
    Screen shot of the SSO-enabled mailbox and the standard mailbox test results b. kiểm tra xem cả hai điều kiện sau là đúng:
    • Tài khoản liên kết không thể truy cập tự động phát hiện và nhận được thông báo lỗi "HTTP 401 phản hồi được ủy quyền".
    • Tài khoản người dùng chuẩn có thể truy cập tự động phát hiện.
    Nếu cả hai điều kiện đúng, bạn đã xác nhận rằng SSO thất bại đang gây ra xác thực Outlook không thành công.

Giải pháp


Để khắc phục sự cố này, sử dụng một trong các phương pháp sau, nếu phù hợp với tình huống của bạn:

Phương pháp 1: lộ dịch vụ AD FS 2,0 liên kết tại chỗ Internet

Thiết lập một AD FS 2,0 liên kết máy chủ proxy cho môi trường AD FS 2,0 tại chỗ (hoặc thiết lập tường lửa ngược proxy của AD FS 2,0 liên kết dịch vụ) hỗ trợ SSO, và sau đó xuất bản proxy Internet. để biết thêm thông tin về AD FS 2,0 liên kết máy chủ PR oxy thực hiện, hãy truy cập website sau của Microsoft:

Phương pháp 2: khắc phục sự cố với máy chủ proxy AD FS 2,0

Để biết thêm thông tin về cách khắc phục sự cố máy chủ proxy AD FS 2,0, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:
2712961 làm thế nào để khắc phục sự cố kết nối điểm cuối AD FS khi người dùng đăng nhập vào Office 365, InTune hoặc Azure

THAM KHẢO


Vẫn cần giúp đỡ? Truy cập trang web cộng đồng Microsoft .