尝试在 Office 365、Azure 或 Intune 中设置另一个联合域时出错:已在使用 AD FS 2.0 服务器中指定的联合身份验证服务标识符

  • 项目

本文提供有关解决以下问题的信息:在使用 Azure Active Directory 模块Windows PowerShell运行New-MSOLFederatedDomain命令或Convert-MSOLDomainToFederated命令时收到错误消息。

原始产品版本: 云服务(Web 角色/辅助角色)、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 标识管理
原始 KB 编号: 2618887

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。

建议迁移到 Microsoft Graph PowerShell,以便与以前为 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。

症状

在 Office 365、Microsoft Azure 或 Microsoft Intune 等 Microsoft 云服务中,无法在 Active Directory 联合身份验证服务 (AD FS) 服务器上设置第二个联合域。 使用用于 Windows PowerShell 的 Azure Active Directory 模块运行 New-MSOLFederatedDomain 命令或 Convert-MSOLDomainToFederated 命令时,会收到以下错误消息:

Active Directory 联合身份验证服务 2.0 服务器中指定的联合身份验证服务标识符已在使用中。 请在 AD FS 2.0 管理控制台中更正此值,然后再次运行命令。

原因

Microsoft Entra身份验证系统需要每个联合域的唯一联合品牌统一资源标识符 (URI) 。 默认情况下,AD FS 对所有联合信任使用全局值。 尝试在已存在联合信任的情况下联合第二个域时,请求会失败,因为 URI 已被使用。

解决方案

若要解决此问题,必须使用 -supportmultipledomain 开关添加或转换由云服务联合的每个域。 这包括已存在的联合域。

步骤 1:安装 AD FS 2.0 的更新汇总 1

在 AD FS 2.0 联合身份验证服务场的每个节点上,下载并安装 AD FS 2.0 更新汇总 1。 有关如何下载和安装适用于 AD FS 2.0 的更新汇总 1 的详细信息,请参阅更新汇总 1 for Active Directory 联合身份验证服务 (AD FS) 2.0 的说明

注意

此更新需要重启计算机。 如果不重新启动计算机,联合用户尝试登录到 Office 365、Azure 或 Intune 时,会遇到“抱歉,我们登录时遇到问题”和“8004789A”错误

步骤 2:检查 Update-MSOLFederatedDomain 是否可以针对 AD FS 环境成功运行命令

  1. 选择“启动>所有程序>”“Windows Azure Active Directory”,右键单击“Windows PowerShell的”Windows Azure Active Directory“模块,然后选择”以管理员身份运行”。

  2. 在命令提示符下,按命令的显示顺序运行以下命令。 在每个命令后,按 Enter

    Connect-MSOLService

    注意

    出现提示时, 输入 云服务全局管理员凭据。

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>

    注意

    在此命令中, <AD FS 2.0 服务器名称> 是 AD FS 联合身份验证服务场中节点的计算机名称。

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    注意

    在此命令中,<联合域名>是已与 Microsoft Entra ID 联合的域的名称,用于单一登录 (SSO) 。

  3. Update-MSOLFederatedDomain如果命令成功且未收到错误消息,请转到步骤 3 以从 AD FS 服务器中删除联合信任。

步骤 3:更新 AD FS 服务器上的联合信任

警告

应仔细规划以下步骤。 在完成步骤 C 和 D 之间,联合域中为其启用了 SSO 功能的用户将无法进行身份验证。 Update-MSOLFederatedDomain 如果步骤 2 中的命令测试未成功完成,此过程的步骤 D 将无法正确完成。 在命令成功运行之前, Update-MSOLFederatedDomain 联合用户将无法进行身份验证。

  1. 登录到 AD FS 服务器的控制台,选择“ 启动>所有程序>管理工具”,然后选择“AD FS (2.0) 管理”。

  2. 在左侧导航窗格中,选择“ AD FS (2.0) ”,选择“ 信任关系”,然后选择“ 信赖方信任”。

  3. 在右侧的窗格中,删除“Microsoft Office 365标识平台”条目。

  4. 使用 -supportmultipledomain 开关重新创建已删除的信任对象。 在从步骤 1C 打开的 PowerShell 窗口中,运行以下命令,然后按 Enter

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain

注意

在此命令中, <联合域名> 是已与用于 SSO 的云服务联合的域的名称。

步骤 4:使用 -supportmultipledomain 开关添加或转换其他联合域

在步骤 2 中更新现有信任后,使用 -supportmultipledomain 开关添加或转换其他联合域。 此开关通知命令对云服务联合的每个域使用唯一的 URI 命名空间。 为此,请使用以下命令语法之一:

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

注意

在此命令中, <域名> 表示尝试联合的域的名称。

解决方法

实现 AD FS 联合身份验证服务场,以联合将使用 SSO 功能的每个云服务域。 有关Office 365的 AD FS 实现指南,请参阅以下文章:

分步实施指南:规划和部署 Active Directory 联合身份验证服务 2.0 以用于单一登录

联系我们寻求帮助

如果你有任何疑问或需要帮助,请创建支持请求联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。