Người dùng liên kết liên tục được nhắc nhập uỷ nhiệm trong quá trình kí nhập vào Office 365, Azure hoặc dành

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2461628
Quan trọng Bài viết này chứa thông tin cho bạn biết cách giúp giảm các thiết đặt bảo mật hoặc tắt tính năng bảo mật trên máy tính. Bạn có thể thực hiện những thay đổi để khắc phục sự cố cụ thể. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn nên đánh giá những rủi ro liên quan đến việc áp dụng cách này trong môi trường cụ thể của bạn. Nếu bạn áp dụng cách này, thực hiện các bước bổ sung thích hợp để giúp bảo vệ máy tính.
VẤN ĐỀ
Người dùng liên kết liên tục được nhắc nhập uỷ nhiệm khi người dùng cố gắng xác thực điểm cuối bản ghi dịch vụ bản ghi dịch vụ liên kết Thư mục Họat động (AD FS) trong quá trình kí nhập bản ghi dịch vụ đám mây của Microsoft như Office 365, Microsoft Azure hoặc Microsoft Intune. Khi người dùng hủy bỏ, người dùng nhận được thông báo lỗi sau:
Truy cập bị từ chối
NGUYÊN NHÂN
Các triệu chứng chỉ ra vấn đề xác thực Windows tích hợp với AD FS. Sự cố này có thể xảy ra nếu một hoặc nhiều điều kiện sau là đúng:
  • Một tên người dùng không đúng hoặc mật khẩu được sử dụng.
  • bản ghi dịch vụ thông tin Internet (IIS) xác thực được cài đặt chuyên biệt không chính xác trong AD FS.
  • Tên bản ghi dịch vụ chính (SPN) được liên kết với tài khoản bản ghi dịch vụ được sử dụng để chạy chuỗi máy chủ AD FS liên kết bị mất hoặc hỏng.

    Lưu ý Điều này xảy ra khi AD FS được thực hiện như một chuỗi máy chủ liên kết và không thực hiện trong hình độc lập.
  • Một hoặc nhiều sau được xác định bằng cách mở rộng bảo vệ để xác thực nguồn tấn công người trong Trung:
    • Một số trình duyệt Internet của bên thứ ba
    • Tường lửa mạng công ty, cân bằng tải mạng hoặc thiết bị mạng phát hành bản ghi dịch vụ liên kết AD FS Internet bằng cách tải dữ liệu IP có thể có thể được viết lại. Điều này có thể bao gồm các loại dữ liệu sau:
      • Secure Socket Layer (SSL) liên kết
      • SSL offloading
      • trạm đậu gói lọc

        Để biết thêm thông tin, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:
        2510193Các trường hợp hỗ trợ sử dụng AD FS thiết lập đăng nhập đơn Office 365, Azure hoặc dành
    • Một giám sát SSL giải mã ứng dụng được cài đặt chuyên biệt hoặc hoạt động trên máy tính khách
  • Tên miền phân giải tên hệ thống (DNS) điểm cuối bản ghi dịch vụ AD FS được thực hiện qua tra cứu bản ghi CNAME thay vì thông qua một bản ghi A tra cứu.
  • Windows Internet Explorer không được cấu hình để vượt qua xác thực Windows tích hợp máy chủ AD FS.

Trước khi Bắt đầu khắc phục sự cố

Kiểm tra rằng tên người dùng và mật khẩu không gây ra sự cố.
  • Đảm bảo rằng tên người dùng được sử dụng và sử dụng tên chính (UPN) định dạng. Ví dụ: johnsmith@contoso.com.
  • Hãy chắc chắn rằng mật khẩu chính xác được sử dụng. Để kiểm tra đúng mật khẩu được sử dụng, bạn có thể phải đặt lại mật khẩu người dùng. Để biết thêm thông tin, hãy xem bài viết sau đây của Microsoft TechNet:
  • Đảm bảo rằng tài khoản không phải là khoá, hết hạn hoặc sử dụng bên ngoài giờ định kí nhập. Để biết thêm thông tin, hãy xem bài viết sau đây của Microsoft TechNet:

Kiểm tra nguyên nhân

Để kiểm tra sự cố Kerberos đang gây ra sự cố, tạm thời bỏ qua xác thực Kerberos bằng cách cho phép xác thực dựa trên biểu mẫu trên trang trại máy chủ AD FS liên kết. Để thực hiện việc này, hãy làm theo các bước sau:

Bước 1: Chỉnh sửa tệp web.config trên mỗi máy chủ chuỗi máy chủ AD FS liên kết
  1. Trong Window Explorer, định vị cặp C:\inetpub\adfs\ls\, và sau đó tạo một đồng gửi của tệp web.config.
  2. Bấm Bắt đầu, bấm Tất cả chương trình, bấm Tiện ích, bấm chuột phải vào Notepad, và sau đó nhấp vào chạy như quản trị viên.
  3. Trên các tệp trình đơn, nhấp vào mở. Trong các tập đã đặt tên tin , gõC:\inetpub\adfs\ls\web.config, và sau đó nhấp vào mở.
  4. Tệp web.config, hãy làm theo các bước sau:
    1. Xác định vị trí dòng chứa <authentication mode=""> </authentication>, và sau đó thay đổi để <authentication mode="Forms"> </authentication>.
    2. Tìm phần Bắt đầu với <localAuthenticationTypes> </localAuthenticationTypes>, và sau đó thay đổi phần để các <add name="Forms"></add> mục được liệt kê đầu tiên, như sau:
      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx"></add>
      <add name="Integrated" page="auth/integrated/"></add>
      <add name="TlsClient" page="auth/sslclient/"></add>
      <add name="Basic" page="auth/basic/"></add></localAuthenticationTypes>
  5. Trên các tệp menu, bấm lưu.
  6. Tại dấu kiểm nhắc lệnh nâng cao, khởi động lại IIS bằng cách sử dụng lệnh iisreset .
Bước 2: Kiểm tra AD FS chức năng
  1. Trên máy tính khách được kết nối và xác thực trên cơ sở môi trường AD DS, kí nhập vào cổng bản ghi dịch vụ đám mây.

    Thay vì một trải nghiệm liền mạch xác thực, một dựa trên biểu mẫu kí nhập sẽ được kinh nghiệm. Nếu kí nhập thành công bằng cách sử dụng xác thực dựa trên biểu mẫu, này xác nhận rằng vấn đề với Kerberos tồn tại trong bản ghi dịch vụ liên kết AD FS.
  2. Trở lại cấu hình mỗi máy chủ chuỗi máy chủ AD FS liên kết để thiết đặt xác thực trước đó trước khi bạn làm theo các bước trong phần "Giải pháp". Trở lại cấu hình mỗi máy chủ chuỗi máy chủ AD FS liên kết, hãy làm theo các bước sau:
    1. Trong Window Explorer, định vị cặp C:\inetpub\adfs\ls\, và sau đó xoá tệp web.config.
    2. Di chuyển đồng gửi lưu của tệp web.config mà bạn đã tạo trong phần "bước 1: chỉnh sửa tệp web.config trên mỗi máy chủ chuỗi máy chủ AD FS liên kết" để mục C:\inetpub\adfs\ls\.
  3. Tại dấu kiểm nhắc lệnh nâng cao, khởi động lại IIS bằng cách sử dụng lệnh iisreset .
  4. Kiểm tra chế độ xác thực AD FS hoàn nguyên về sự cố Ban đầu.
GIẢI PHÁP
Để khắc phục sự cố Kerberos giới hạn AD FS xác thực, sử dụng một hoặc nhiều phương pháp sau đây là trường hợp.

Giải pháp 1: Đặt lại AD FS xác thực cài đặt chuyên biệt các giá trị mặc định

Nếu AD FS IIS xác thực cài đặt chuyên biệt không chính xác hoặc thiết đặt xác thực IIS để AD FS liên kết và Proxy không phù hợp, một giải pháp là đặt lại thiết đặt xác thực IIS tất cả thiết đặt mặc định AD FS.

Thiết đặt xác thực mặc định được liệt kê trong bảng sau.
Ứng dụng ảoXác thực level(s)
web site mặc định/adfsXác thực ẩn danh
Mặc định Web Site-adfs-lsXác thực ẩn danh
Xác thực Windows
Mỗi máy chủ AD FS liên kết và trên mỗi AD FS liên kết hệ phục vụ giám quản, hệ phục vụ ủy quyền, sử dụng thông tin trong bài viết sau đây của Microsoft TechNet lại ứng dụng ảo AD FS IIS thiết đặt xác thực mặc định:Để biết thêm thông tin về cách khắc phục lỗi này, hãy xem bài viết Cơ sở tri thức Microsoft sau:
907273 Khắc phục lỗi HTTP 401 trong IIS

871179 Bạn nhận được một "Lỗi HTTP 401.1 - trái phép: truy cập bị từ chối vì chứng chỉ không hợp lệ" thông báo lỗi khi bạn cố gắng truy cập một web site là một phần của nhóm ứng dụng IIS 6.0

Giải pháp 2: Sửa chuỗi máy chủ AD FS liên kết SPN

Lưu ý Hãy thử giải pháp này chỉ khi AD FS được thực hiện như một chuỗi máy chủ liên kết. Không thử giải pháp này trong hình AD FS độc lập.

Để khắc phục sự cố nếu SPN cho AD FS bị mất hoặc hỏng trên tài khoản bản ghi dịch vụ AD FS, làm theo các bước trên một máy chủ trong chuỗi máy chủ AD FS liên kết:
  1. Mở bản ghi dịch vụ quản lý phần đính vào. Để thực hiện việc này, bấm Bắt đầu, bấm Tất cả chương trình, bấm Công cụ quản trị, và sau đó bấm bản ghi dịch vụ.
  2. Bấm đúp vào bản ghi dịch vụ Windows (2.0) AD FS.
  3. Trên các kí nhập tab, ghi lại tài khoản bản ghi dịch vụ được hiển thị trong Tài khoản này.
  4. Bấm Bắt đầu, bấm Tất cả chương trình, bấm Tiện ích, bấm chuột phải vào dấu kiểm nhắc lệnhvà sau đó nhấp vào chạy như quản trị viên.
  5. Loại SetSPN-f-q máy chủ /<AD fs="" service="" name=""></AD>, và sau đó nhấn Enter.

    Lưu ý Trong lệnh này, <AD fs="" service="" name=""></AD> đại diện cho tên miền đủ bản ghi dịch vụ tên (FQDN) của điểm cuối bản ghi dịch vụ AD FS. Nó không đại diện cho tên máy (ứng dụng) phục vụ Windows của máy chủ AD FS.
    • Nếu nhiều hơn một mục được trả lại cho lệnh và kết quả là liên kết với tài khoản người dùng khác mà được ghi chú trong bước 3, loại bỏ liên kết đó. Để thực hiện việc này, hãy chạy lệnh sau:
      Máy chủ-d SetSPN /<AD fs="" service="" name=""></AD><bad_username></bad_username>
    • Nếu nhiều hơn một mục được trả lại cho lệnh SPN sử dụng tên giống với tên máy tính của máy chủ AD FS trong Windows, tên điểm cuối AD FS liên kết không chính xác. AD FS đã được thực hiện một lần nữa. FQDN của chuỗi máy chủ AD FS liên kết không phải giống với tên máy (ứng dụng) phục vụ Windows của máy chủ hiện tại.
    • Nếu SPN đã tồn tại, hãy chạy lệnh sau:
      SetSPN-máy chủ /<AD fs="" service="" name=""></AD><username of="" service="" account=""></username>
      Lưu ý Trong lệnh này, <username of="" service="" account=""></username> đại diện cho tên người dùng được ghi chú trong bước 3.
  6. Sau khi các bước được thực hiện trên tất cả máy chủ chuỗi máy chủ AD FS liên kết, bấm chuột phải vào bản ghi dịch vụ Windows AD FS (2.0) trong bản ghi dịch vụ quản lý phần đính vào và sau đó bấm khởi động lại.

Giải pháp 3: Giải quyết mở rộng bảo vệ để xác thực liên quan

Để khắc phục sự cố nếu mở rộng bảo vệ để xác thực ngăn xác thực thành công, sử dụng một trong được khuyến nghị phương pháp sau:
  • Phương pháp 1: sử dụng Windows Internet Explorer 8 (hoặc phiên bản mới hơn của chương trình) để kí nhập.
  • Phương pháp 2: xuất bản AD FS bản ghi dịch vụ Internet bằng cách nối SSL, SSL offloading hoặc trạm đậu gói lọc không lại IP tải dữ liệu. Giới thiệu thực tiễn tốt nhất cho mục đích này là sử dụng một hệ phục vụ giám quản, hệ phục vụ ủy quyền AD FS.
  • Phương pháp 3: đóng hoặc vô hiệu hoá giám sát hoặc giải mã SSL ứng dụng.
Nếu bạn không thể sử dụng bất kỳ các phương pháp để khắc phục sự cố này, mở rộng bảo vệ để xác thực có thể bị vô hiệu hoá cho khách hàng thụ động và hoạt động.

Giải pháp: Tắt mở rộng cho xác thực

Cảnh báo Chúng tôi không khuyên bạn sử dụng quy trình này là một giải pháp lâu dài. Vô hiệu hóa bảo vệ mở rộng cho xác thực làm suy yếu cấu hình bảo mật bản ghi dịch vụ AD FS bằng không phát hiện các cuộc tấn công người trong trung xác thực Windows tích hợp điểm cuối.

Lưu ý: Khi giải pháp này được áp dụng cho chức năng ứng dụng của bên thứ ba, bạn nên cũng dỡ cài đặt chuyên biệt hotfix trên hệ điều hành khách để mở rộng bảo vệ để xác thực. Để biết thêm chi tiết về các hotfix, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:
968389 Mở rộng bảo vệ cho xác thực
Đối với khách hàng thụ động
Để tắt mở rộng bảo vệ để xác thực cho khách hàng thụ động, thực hiện quy trình sau cho các ứng dụng ảo IIS sau trên tất cả máy chủ chuỗi máy chủ AD FS liên kết:
  • web site mặc định/adfs
  • Mặc định Web Site-adfs-ls
Để thực hiện việc này, hãy làm theo các bước sau:
  1. Mở bộ quản lý IIS và điều hướng đến mức mà bạn muốn quản lý. Để biết thông tin về việc mở bộ quản lý IIS, hãy xem Quản lý IIS mở (IIS 7).
  2. Trong màn hình tính năng, bấm đúp vào xác thực.
  3. Trên trang xác thực, chọn Xác thực Windows.
  4. Trong ngăn tác vụ , bấm vào cài đặt chuyên biệt nâng cao.
  5. Khi hộp thoại Thiết đặt nâng cao xuất hiện, chọn xuấttừ cácmở rộng bảo vệ thả xuống.
Đối với khách hàng hoạt động
Để tắt mở rộng bảo vệ để xác thực máy tính khách đang hoạt động, thực hiện quy trình sau trên máy chủ AD FS chính:
  1. Mở Windows PowerShell.
  2. Chạy lệnh sau đây để tải Windows PowerShell với AD FS chụp:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Chạy lệnh sau để vô hiệu hóa bảo vệ mở rộng cho xác thực:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

Kích hoạt lại mở rộng cho xác thực

Đối với khách hàng thụ động
Để mở rộng bảo vệ để xác thực cho khách hàng thụ động, thực hiện quy trình sau cho các ứng dụng ảo IIS sau trên tất cả máy chủ chuỗi máy chủ AD FS liên kết:
  • web site mặc định/adfs
  • Mặc định Web Site-adfs-ls
Để thực hiện việc này, hãy làm theo các bước sau:
  1. Mở bộ quản lý IIS và điều hướng đến mức mà bạn muốn quản lý. Để biết thông tin về việc mở bộ quản lý IIS, hãy xem Quản lý IIS mở (IIS 7).
  2. Trong màn hình tính năng, bấm đúp vào xác thực.
  3. Trên trang xác thực, chọn Xác thực Windows.
  4. Trong ngăn tác vụ , bấm vào cài đặt chuyên biệt nâng cao.
  5. Khi hộp thoại Thiết đặt nâng cao xuất hiện, chọn chấp nhậntừ menu thả xuống Mở rộng bảo vệ .
Đối với khách hàng hoạt động
Để mở rộng bảo vệ để xác thực máy tính khách đang hoạt động, thực hiện quy trình sau trên máy chủ AD FS chính:
  1. Mở Windows PowerShell.
  2. Chạy lệnh sau đây để tải Windows PowerShell với AD FS chụp:
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. Chạy lệnh sau để cho phép mở rộng bảo vệ để xác thực:
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

Giải pháp 4: Thay thế bản ghi CNAME với một hồ sơ cho AD FS

Sử dụng công cụ quản lý DNS để thay thế mỗi bản ghi DNS bí danh (CNAME) đã sử dụng bản ghi dịch vụ liên kết với một địa chỉ DNS hồ sơ (A). Ngoài ra, kiểm tra hoặc xem xét việc thiết lập công ty DNS khi cấu hình DNS split-brain được thực hiện. Để biết thêm thông tin về cách quản lý bản ghi DNS, hãy truy cập website sau của Microsoft TechNet:

Giải pháp 5: Thiết lập Internet Explorer là một khách hàng AD FS để kí nhập một lần (SSO)

Để biết thêm thông tin về cách thiết lập Internet Explorer AD FS truy cập, xem bài viết sau trong cơ sở kiến thức Microsoft:
2535227Người dùng liên kết bất ngờ được nhắc nhập công việc của họ hoặc trường thông tin kí nhập tài khoản
THÔNG TIN KHÁC
Để giúp bảo vệ mạng, AD FS sử dụng mở rộng bảo vệ để xác thực. Mở rộng bảo vệ để xác thực có thể giúp ngăn chặn người trong trung tấn công trong đó kẻ chặn chứng chỉ máy tính khách và chuyển chúng vào máy chủ. Bảo vệ chống lại các cuộc tấn công được thực hiện bằng cách sử dụng kênh liên kết hoạt động (CBT). CBT có thể được yêu cầu, cho phép hoặc không cần thiết cho máy chủ khi giao tiếp được với khách hàng.

Thiết lập ExtendedProtectionTokenCheck AD FS xác định cấp độ bảo vệ mở rộng cho xác thực được hỗ trợ bởi máy chủ liên kết. Đây là các giá trị có sẵn cho cài đặt chuyên biệt này:
  • Yêu cầu: máy chủ được đầy đủ cứng. Mở rộng bảo vệ được thi hành.
  • Cho phép: đây là mặc định. Máy chủ là một phần cứng. Mở rộng bảo vệ được áp dụng cho liên quan đến hệ thống đã được thay đổi để hỗ trợ tính năng này.
  • Không: dễ bị máy chủ. Mở rộng bảo vệ không áp dụng.
Bảng sau mô tả cách xác thực hoạt động trong ba hệ điều hành và trình duyệt, tùy thuộc vào các tùy chọn mở rộng bảo vệ khác nhau có sẵn trong AD FS với IIS.

Lưu ý: hệ điều hành Windows khách hàng phải Cập Nhật cụ thể được cài đặt chuyên biệt một cách hiệu quả sử dụng tính năng bảo vệ mở rộng. theo mặc định, các tính năng được kích hoạt trong AD FS. Các bản Cập Nhật có sẵn từ bài viết sau trong cơ sở kiến thức Microsoft:
968389 Mở rộng bảo vệ cho xác thực
theo mặc định, Windows 7 bao gồm những chương trình phù hợp để sử dụng mở rộng bảo vệ.

Windows 7 (hoặc phiên bản Cập Nhật thích hợp của Windows Vista hoặc Windows XP)
cài đặt chuyên biệtYêu cầuCho phép (mặc định)Không có
Kết nối Windows
Khách hàng Foundation (WCF) (Tất cả điểm cuối)
Hoạt độngHoạt độngHoạt động
Internet Explorer 8and Phiên bản mới hơnHoạt độngHoạt độngHoạt động
Firefox 3,6Không thành côngKhông thành côngHoạt động
Safari 4.0.4Không thành côngKhông thành côngHoạt động
Windows Vista không phù hợp với bản Cập Nhật
cài đặt chuyên biệtYêu cầuCho phép (mặc định)Không có
Khách hàng WCF (Tất cả điểm cuối)Không thành côngHoạt độngHoạt động
Internet Explorer 8and Phiên bản mới hơnHoạt độngHoạt độngHoạt động
Firefox 3,6Không thành côngHoạt động Hoạt động
Safari 4.0.4Không thành côngHoạt động Hoạt động
Windows XP không phù hợp với bản Cập Nhật
cài đặt chuyên biệtYêu cầuCho phép (mặc định)Không có
Internet Explorer 8and Phiên bản mới hơnHoạt độngHoạt độngHoạt động
Firefox 3,6Không thành côngHoạt động Hoạt động
Safari 4.0.4Không thành côngHoạt động Hoạt động
Để biết thêm thông tin về bảo vệ mở rộng cho xác thực, hãy xem tài nguyên Microsoft sau:
968389 Mở rộng bảo vệ cho xác thực
Để biết thêm thông tin về lệnh ghép ngắn Set-ADFSProperties , hãy truy cập website sau của Microsoft:

Bạn vẫn cần trợ giúp? Truy cập vào Cộng đồng Office 365 web site hoặc Diễn đàn Azure Thư mục Họat động .

Các sản phẩm của bên thứ ba mà bài viết này thảo luận do các công ty độc lập với Microsoft sản xuất. Làm cho Microsoft không bảo hành, ngụ ý hay nói cách khác, về hiệu suất hoặc độ tin cậy của những sản phẩm

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 2461628 - Xem lại Lần cuối: 01/15/2016 08:18:00 - Bản sửa đổi: 21.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Microsoft Windows XP Professional, Microsoft Windows XP Home Edition, Office 365 Identity Management

  • o365 o365a o365e o365022013 o365m kbmt KB2461628 KbMtvi
Phản hồi