尝试在 Office 365、Azure 或 Intune 中设置另一个联合域时出错:已在使用 AD FS 2.0 服务器中指定的联合身份验证服务标识符
本文提供有关解决以下问题的信息:在使用 Azure Active Directory 模块Windows PowerShell运行New-MSOLFederatedDomain
命令或Convert-MSOLDomainToFederated
命令时收到错误消息。
原始产品版本: 云服务(Web 角色/辅助角色)、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 标识管理
原始 KB 编号: 2618887
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于 Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。
建议迁移到 Microsoft Graph PowerShell,以便与以前为 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答。 注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。
症状
在 Office 365、Microsoft Azure 或 Microsoft Intune 等 Microsoft 云服务中,无法在 Active Directory 联合身份验证服务 (AD FS) 服务器上设置第二个联合域。 使用用于 Windows PowerShell 的 Azure Active Directory 模块运行 New-MSOLFederatedDomain
命令或 Convert-MSOLDomainToFederated
命令时,会收到以下错误消息:
Active Directory 联合身份验证服务 2.0 服务器中指定的联合身份验证服务标识符已在使用中。 请在 AD FS 2.0 管理控制台中更正此值,然后再次运行命令。
原因
Microsoft Entra身份验证系统需要每个联合域的唯一联合品牌统一资源标识符 (URI) 。 默认情况下,AD FS 对所有联合信任使用全局值。 尝试在已存在联合信任的情况下联合第二个域时,请求会失败,因为 URI 已被使用。
解决方案
若要解决此问题,必须使用 -supportmultipledomain
开关添加或转换由云服务联合的每个域。 这包括已存在的联合域。
步骤 1:安装 AD FS 2.0 的更新汇总 1
在 AD FS 2.0 联合身份验证服务场的每个节点上,下载并安装 AD FS 2.0 更新汇总 1。 有关如何下载和安装适用于 AD FS 2.0 的更新汇总 1 的详细信息,请参阅更新汇总 1 for Active Directory 联合身份验证服务 (AD FS) 2.0 的说明。
注意
此更新需要重启计算机。 如果不重新启动计算机,联合用户尝试登录到 Office 365、Azure 或 Intune 时,会遇到“抱歉,我们登录时遇到问题”和“8004789A”错误。
步骤 2:检查 Update-MSOLFederatedDomain
是否可以针对 AD FS 环境成功运行命令
选择“启动>所有程序>”“Windows Azure Active Directory”,右键单击“Windows PowerShell的”Windows Azure Active Directory“模块,然后选择”以管理员身份运行”。
在命令提示符下,按命令的显示顺序运行以下命令。 在每个命令后,按 Enter。
Connect-MSOLService
注意
出现提示时, 输入 云服务全局管理员凭据。
Set-MSOLADFSContext -Computer <AD FS 2.0 server name>
注意
在此命令中, <AD FS 2.0 服务器名称> 是 AD FS 联合身份验证服务场中节点的计算机名称。
Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
注意
在此命令中,<联合域名>是已与 Microsoft Entra ID 联合的域的名称,用于单一登录 (SSO) 。
Update-MSOLFederatedDomain
如果命令成功且未收到错误消息,请转到步骤 3 以从 AD FS 服务器中删除联合信任。
步骤 3:更新 AD FS 服务器上的联合信任
警告
应仔细规划以下步骤。 在完成步骤 C 和 D 之间,联合域中为其启用了 SSO 功能的用户将无法进行身份验证。 Update-MSOLFederatedDomain
如果步骤 2 中的命令测试未成功完成,此过程的步骤 D 将无法正确完成。 在命令成功运行之前, Update-MSOLFederatedDomain
联合用户将无法进行身份验证。
登录到 AD FS 服务器的控制台,选择“ 启动>所有程序>管理工具”,然后选择“AD FS (2.0) 管理”。
在左侧导航窗格中,选择“ AD FS (2.0) ”,选择“ 信任关系”,然后选择“ 信赖方信任”。
在右侧的窗格中,删除“Microsoft Office 365标识平台”条目。
使用
-supportmultipledomain
开关重新创建已删除的信任对象。 在从步骤 1C 打开的 PowerShell 窗口中,运行以下命令,然后按 Enter:Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
注意
在此命令中, <联合域名> 是已与用于 SSO 的云服务联合的域的名称。
步骤 4:使用 -supportmultipledomain
开关添加或转换其他联合域
在步骤 2 中更新现有信任后,使用 -supportmultipledomain 开关添加或转换其他联合域。 此开关通知命令对云服务联合的每个域使用唯一的 URI 命名空间。 为此,请使用以下命令语法之一:
New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain
注意
在此命令中, <域名> 表示尝试联合的域的名称。
解决方法
实现 AD FS 联合身份验证服务场,以联合将使用 SSO 功能的每个云服务域。 有关Office 365的 AD FS 实现指南,请参阅以下文章:
分步实施指南:规划和部署 Active Directory 联合身份验证服务 2.0 以用于单一登录
联系我们寻求帮助
如果你有任何疑问或需要帮助,请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈