如何使用远程连接分析器排查 Microsoft 365、Azure 或 Intune 的单一登录问题

  • 项目
  • 适用于:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

简介

本文介绍如何使用 Microsoft 远程连接分析器诊断 Microsoft 云服务(如 Microsoft 365、Microsoft Azure 或 Microsoft Intune)中的单一登录 (SSO) 登录问题。 它还包含有关常见 SSO 失败原因的信息,并列出了有关如何排查问题的资源链接。

远程连接分析器是基于云的服务的免费连接测试平台。 它通过从 Internet 对所需联合身份验证服务终结点执行操作来测试预期行为的可用性。

更多信息

任何 SSO 通信的数据流都是可预测的。 可以将预期的数据流模式与捕获在失败的 SSO 尝试期间发生的实际数据流进行比较或进行比较,以确定该过程可能存在的问题。

如何运行远程连接分析器以测试 SSO 身份验证

若要运行远程连接分析器来测试 SSO 身份验证,请执行以下步骤:

  1. 打开 Web 浏览器,然后浏览到 https://www.testconnectivity.microsoft.com/tests/SingleSignOn/input

  2. 键入用户 ID 和密码,单击以选中“安全确认检查”框,键入验证码,然后单击“执行测试”。

    注意

    • 用户 ID 是 UPN) (用户主体名称。
    • 必须输入与要测试的 SSO 实现关联的实际凭据。

    “远程连接分析器”页的屏幕截图。

  3. 如果连接测试未成功完成,请按照错误图标展开 “测试详细信息” 结果树,以标识测试遇到的第一个错误。 对于检测到的任何错误状态,请将测试结果树展开为特定错误,然后单击“ 告诉我有关此问题及其解决方法的详细信息”。

    下表列出了常见 SSO 失败的原因以及可用于帮助解决问题的资源。

    测试 常见原因和故障源 说明 可能的解决方案
    尝试检索域注册并验证用户的联合状态信息。 分析为用户收到的域注册 在域注册中发现错误。 这表示用作用户的 UPN 后缀的域尚未联合。 联合 UPN 后缀域。 排查域联合身份验证和用户帐户问题。 有关详细信息,请参阅排查 Microsoft 365、Azure 或 Intune 中联合用户的帐户问题。 更新用户的 UPN 以使用正确的联合域后缀。 有关详细信息,请参阅排查联合用户登录 Microsoft 365、Azure 或 Intune 时出现的用户名问题
    尝试解析 fed 的主机名。DNS 中的 contoso.com 无法解析主机名。 AD FS 服务终结点的公共 DNS 解析失败。 有关如何排查此问题的详细信息,请参阅排查 Microsoft 365、Intune 或 Azure 中的单一登录设置问题。 有关不公开 AD FS 的限制的详细信息,请参阅使用 AD FS 在 Microsoft 365、Azure 或 Intune 中设置单一登录的支持方案
    在主机 sts.contoso.com 上测试 TCP 端口 443,以确保它正在侦听并打开 指定的端口被阻止、不侦听或不生成预期的响应。 AD FS 响应所依赖的一个或多个服务已停止、已停止或以某种方式不可用。 重新启动服务。 有关详细信息,请参阅 Internet 浏览器无法为联合用户显示 AD FS 登录网页。 调查可能的 AD FS 内存泄漏。 有关详细信息,请参阅 在运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机上向“/adfs/services/trust/mex”终结点发送 HTTP SOAP 请求时返回“500”错误代码。 调查防火墙发布的 AD FS 服务问题。 有关详细信息,请参阅如何排查用户登录到 Microsoft 365、Intune 或 Azure 时的 AD FS 终结点连接问题
    从元数据交换 URL https://fed.contoso.com/adfs/services/trust/mex|ExRCA 检索 AD FS 元数据信息无法检索 AD FS 元数据。 AD FS 响应所依赖的一个或多个服务已停止、已停止或以某种方式不可用。 重新启动服务。 有关详细信息,请参阅联合用户尝试登录 Microsoft 365、Azure 或 Intune 时 Internet 浏览器无法显示 AD FS 网页。 调查 AD FS 代理服务器的问题。 有关详细信息,请参阅如何在用户登录到 Microsoft 365、Intune 或 Azure 时排查 AD FS 终结点连接问题。 调查可能的 AD FS 内存泄漏。 有关详细信息,请参阅 在运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机上向“/adfs/services/trust/mex”终结点发送 HTTP SOAP 请求时返回“500”错误代码
    验证证书名称 证书名称验证失败。 SSL 证书的问题限制了 AD FS 身份验证。 使用 SSL 证书排查问题。 有关详细信息,请参阅尝试登录 Microsoft 365、Azure 或 Intune 时收到来自 AD FS 的证书警告
    正在验证证书信任。 证书信任验证失败。 SSL 证书的问题限制了 AD FS 身份验证。 使用 SSL 证书排查问题。 有关详细信息,请参阅尝试登录 Microsoft 365、Azure 或 Intune 时收到来自 AD FS 的证书警告
    ExRCA 尝试在 https://sts.contoso.com/adfs/services/trust/2005/usernamemixed 向安全令牌服务进行身份验证 从安全令牌服务收到 SOAP 错误响应。 由于收到来自 Unknown 的 HTTP 503 - 服务不可用响应,因此发生了 Web 异常。 使用联合身份验证信任对 AD FS 终结点进行身份验证失败。 检查并重新生成联合信任。 有关详细信息,请参阅联合用户登录到 Microsoft 365、Azure 或 Intune 时出现“80041317”或“80043431”错误。 检查并修复令牌签名证书问题。 有关详细信息,请参阅联合用户登录到 Microsoft 365、Azure 或 Intune 时 AD FS 中的“访问站点时出现问题”错误

仍然需要帮助? 转到 Microsoft 社区Microsoft Entra论坛网站。