有
当你尝试通过使用联合帐户通过基于 web 的客户端或胖客户端应用程序访问 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)时,身份验证将无法从特定的客户端计算机进行身份验证。 当您使用 web 浏览器通过联合帐户从同一台计算机访问云服务门户时,您可能会遇到以下症状之一:
-
连接到门户终结点时,收到以下错误消息之一:
Internet Explorer 无法显示该网页。
403找不到页面
-
当你连接到 Active Directory 联合身份验证服务(AD FS)终结点时,收到以下错误消息之一:
Internet Explorer 无法显示该网页
403找不到页面
-
连接到 AD FS 终结点时收到证书警告。
-
当您登录到企业域时,连接到 AD FS 终结点时,将收到单个凭据提示。 此提示您的凭据不使用基于窗体的身份验证。
-
使用第三方 web 浏览器连接到 AD FS 终结点时,将收到循环身份验证提示。 这些提示不使用基于窗体的身份验证。
-
连接到 login.microsoftonline.com 终结点时,收到以下错误消息:
拒绝访问
起因
通常,此问题出现在客户端计算机或一组客户端设备上。 如果单一登录(SSO)无法正常工作,则所有用户和客户端计算机都可能会出现此问题。 如果未正确设置客户端设置,则 SSO 可能无法完全正常工作。 以下客户端设备情况可能会导致此问题:
-
网络连接可能受到限制。
-
客户端设备从内部分裂的 "大脑" DNS 实现接收 AD FS 联合身份验证服务的名称解析错误。
-
如果计算机上配置了 Internet 代理服务器,则不能将 AD FS 联合身份验证服务名称添加到代理跳过列表。
-
在 "Internet 选项" 设置中,不能将 AD FS 联合身份验证服务名称添加到本地 Intranet 安全区域。
-
客户端计算机未通过 Active Directory 域服务的身份验证。
-
第三方 web 浏览器不支持对 AD FS 联合身份验证服务的身份验证的扩展保护。
-
由于 SSO 管理工具的早期 Office 365 Beta 安装,联合元数据终结点可能会在注册表中硬编码。
-
特定客户端应用程序所需的 AD FS 服务终结点已被禁用。
继续之前,请确保满足以下条件:
-
访问问题不限于客户端计算机上的胖客户端应用程序。 如果只有丰富的客户端身份验证(与基于浏览器的身份验证不同)不起作用,则更有可能会指示丰富的客户端身份验证问题。 例如,可能是与先决条件或配置胖客户端应用程序相关的问题。 有关更多信息,请参阅以下 Microsoft 知识库文章:
2637629 如何对无法登录到 Office 365、Azure 或 Intune 的非浏览器应用进行故障排除
-
所有启用了 SSO 的用户帐户的 SSO 身份验证不会失败。 如果所有启用了 SSO 的用户都遇到相同的症状,则更有可能指示联合问题。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
2530569 解决 Office 365、Intune 或 Azure 中的单点登录设置问题
-
用户帐户的 SSO 身份验证在其他客户端计算机上成功。 如果用户帐户无法登录到任何云服务客户端,请参阅本文后面的涉及客户端计算机的解决方案。 此外,还可以探索用户帐户出现问题的可能性,而不是客户端计算机。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
2530590 Office 365、Azure 或 Intune 中的联盟用户的帐户问题疑难解答
-
客户端计算机上的键盘工作正常,并且正确输入了用户名和密码(如有必要)。
办法
若要解决此问题,请使用以下一种或多种方法,具体取决于问题的原因。
解决方案1:无法连接到云服务门户或 AD FS
尝试浏览到 http://www.msn.com。 如果这不起作用,请解决网络连接问题。 为此,请按照下列步骤操作:
-
在命令提示符处,使用 " ipconfig " 和 " ping " 工具对 IP 连接进行故障排除。 有关更多信息,请参阅以下 Microsoft 知识库文章:
169790 如何解决基本 TCP/IP 问题。
-
在命令提示符处,键入 nslookup www.msn.com 以确定 DNS 是否正在解析 Internet 服务器名称。
-
如果在本地网络中使用代理服务器,请确保 "Internet 选项" 代理设置反映相应的代理服务器。
-
如果在网络边界上安装了 Forefront 威胁管理网关(TMG)防火墙,并且防火墙需要客户端身份验证,则你可能需要在客户端设备上安装 Forefront TMG 客户端程序才能访问 Internet。 有关此方面的帮助,请与你的云服务管理员联系。
解决方案2:无法连接到 AD FS
若要解决此问题,请按照下列步骤操作:
-
通过使用分辨率1消除 IP 连接问题。
-
在命令提示符处,键入 nslookup <AD fs 2.0 FQDN>,然后按 Enter 以确定 DNS 是否正确解析广告 FS 服务名称。注意 在此命令中,<AD FS FQDN> 表示 AD FS 服务名称的完全限定的域名(FQDN)。 它不表示广告 FS 服务器的 Windows 主机名。
-
如果客户端连接到公司网络,请确保解析的 IP 地址 是 专用 ip 地址。 IP 地址应匹配下列模式之一:
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
如果客户端在公司网络外部,请确保解析的 IP 地址是公共 IP 地址。 确保它与以下模式之一 不 匹配:
-
10.x.x.x
-
172.16.x.x
-
192.168.x.x
-
-
如果根据步骤1和步骤2进行解析的 IP 地址不正确,并且其他客户端计算机不会遇到相同的行为,请执行以下操作:
-
在命令提示符处,键入 ipconfig/all,然后检查 主 DNS 服务器 条目是否适用于与客户端连接的网络。
-
在记事本中打开%windir%\system32\drivers\etc\hosts 文件,然后删除 AD FS FQDN 的任何条目。 然后,保存该文件。
-
在命令提示符处,键入 ipconfig/flushdns 以清除 DNS 缓存。
-
注意 如果客户端设备仅连接到企业网络,请转到步骤3。
-
-
将 AD FS FQDN 添加到代理跳过列表。 若要执行此操作,请按照以下 Microsoft 知识库文章中的步骤进行操作:
262981 Internet Explorer 对本地 IP 地址使用代理服务器,即使已启用 "绕过本地地址的代理服务器" 选项
解决方案3:连接到 AD FS 终结点时的证书警告
若要解决此问题,请使用 Microsoft 知识库中的以下文章解决安全套接字层(SSL)证书问题:
2523494 当你尝试登录到 Office 365、Azure 或 Intune 时收到来自 AD FS 的证书警告
解决方案4:从连接到企业网络的客户端计算机登录时收到单个意外的凭据提示
若要解决此问题,请按照下列步骤操作:
-
请确保客户端计算机已成功登录到域。
-
单击 " 开始",单击 " 运行",键入 %Logonserver%\sysvol,然后单击 "确定"。
-
如果出现凭据提示,请注销,然后使用公司凭据重新登录。
-
-
将 AD FS FQDN 添加到本地 intranet 区域。
-
在 " 安全 " 选项卡上,单击 " 本地 Intranet",然后单击 " 网站"。
-
单击 " 高级",然后检查 网站 列表中的 AD FS 服务终结点的完全限定的 DNS 名称(例如, sts.contoso.com)。 注意 在此配置中,通配符值(如 "*. consoto.com")也将起作用。
-
-
将 AD FS FQDN 添加到代理跳过列表。 若要执行此操作,请按照以下 Microsoft 知识库文章中的步骤进行操作:
262981 Internet Explorer 对本地 IP 地址使用代理服务器,即使已启用 "绕过本地地址的代理服务器" 选项
解决方案5:第三方 web 浏览器不支持针对身份验证的扩展保护,并且您收到循环身份验证提示
若要解决此问题,请按照下列步骤操作:
-
使用 Windows Internet Explorer (Internet Explorer 支持针对身份验证的扩展保护),而不是不支持对身份验证的扩展保护的第三方 web 浏览器。
-
如果使用 Internet Explorer 不是一个选项,请使用以下 Microsoft 知识库文章配置 AD FS 以接受来自不支持对身份验证的扩展保护的 web 浏览器请求:
2461628 在登录到 Office 365、Azure 或 Intune 期间,会反复提示联盟用户输入凭据
解决方案6:尝试连接到 login.microsoftonline.com 时出现 "访问被拒绝" 错误消息
重要说明 本部分包含有关如何修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请一定严格按照下列步骤操作。 为了获得进一步的保护,请在修改注册表之前对其进行备份。 这样就可以在出现问题时还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表如果 AD FS 使用的 Azure Active Directory SSO 终结点无效,则可能会出现问题。 确保在 AD FS 联合身份验证服务场中的每个服务器的注册表中不会对联合终结点进行硬编码。若要解决此问题,请使用注册表编辑器删除以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederationAD FS 将根据 SSO 信赖方信任回退到正确的终结点。
解决方案7:将已禁用的 AD FS 服务终结点设置重置为默认配置
有关如何执行此操作的详细信息,请参阅以下 Microsoft 知识库文章:
2712957 更改联合身份验证服务终结点后,登录到 Office 365、Azure 或 Intune 失败
仍然需要帮助? 转到 Microsoft 社区 或Azure Active Directory 论坛 网站。