Řešení potíží s připojením ke koncovým bodům služby AD FS při přihlášení uživatelů k Microsoftu 365, Intune nebo Azure

Problém

Když se uživatelé přihlásí ke cloudové službě Microsoftu, jako je Microsoft 365, Microsoft Intune nebo Microsoft Azure pomocí federovaného uživatelského účtu, připojení ke službě Active Directory Federation Services (AD FS) (AD FS) selže pouze v případě, že se uživatelé pokusí provést následující kroky:

  • Připojení ze vzdáleného internetového umístění
  • Přihlášení pomocí e-mailovými připojeními

Tato situace také způsobí selhání testování jednotného přihlašování, které provádí Analyzátor vzdáleného připojení.

Další informace o spuštění analyzátoru vzdáleného připojení k testování ověřování jednotného přihlašování v Microsoft 365 naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:

  • 2650717 Řešení potíží s jednotným přihlašováním pro Microsoft 365, Azure nebo Intune pomocí Analyzátoru vzdáleného připojení
  • 2466333 Federovaný uživatel se nemůže připojit k poštovní schránce Exchange Online

Příčina

K těmto selháním může dojít v případě, že služba AD FS není správně zveřejněna na internetu. K tomuto účelu se obvykle používá proxy server služby AD FS a tyto příznaky způsobí problémy s proxy serverem služby AD FS. Mezi běžné problémy patří:

  • Vypršela platnost certifikátu SSL přiřazeného k proxy serveru služby AD FS

    Stejný certifikát SSL se často používá k zabezpečení komunikace (HTTPS) pro službu AD FS Federation Service i pro proxy server služby AD FS. Jakmile platnost tohoto certifikátu vyprší a certifikát se obnoví nebo aktualizuje ve farmě služby AD FS Federation Service, musí být certifikát SSL také aktualizován na všech proxy serverech služby AD FS. Pokud se certifikát SSL proxy serveru služby AD FS v tomto případě neaktualizuje, internetová připojení ke službě AD FS můžou selhat, i když je služba AD FS Federation Service v pořádku.

  • Nesprávná konfigurace koncových bodů ověřování služby IIS

    Role proxy serveru služby AD FS spočívá v příjmu internetové komunikace, která je směrována na službu AD FS, a přenos této komunikace do služby AD FS Federation Service. Proto je důležité, aby se nastavení ověřování služby IIS federační služby AD FS a proxy serveru doplňovaly. Pokud nastavení ověřování služby IIS proxy serveru služby AD FS není nastaveno tak, aby doplňovaly nastavení ověřování služby AD FS Federation Service IIS, přihlášení může selhat nebo může generovat několik neočekávaných výzev.

  • Přerušený vztah důvěryhodnosti mezi proxy serverem služby AD FS a federační službou AD FS

    Služba proxy služby AD FS je navržená tak, aby byla nainstalována na počítač, který není připojený k doméně. Komunikace mezi proxy serverem služby AD FS a federační službou AD FS proto nemůže být založená na vztahu důvěryhodnosti nebo přihlašovacích údajích služby Active Directory. Místo toho se komunikace mezi těmito dvěma rolemi serveru navazuje pomocí tokenu vydaného službou AD FS pro proxy server federační službou AD FS a podepsaným podpisovým certifikátem tokenu služby AD FS. Pokud platnost tohoto vztahu důvěryhodnosti vyprší nebo je neplatný, proxy služba AD FS nemůže předávací požadavky služby AD FS a aby bylo možné obnovit funkčnost, musí být znovu vytvořen vztah důvěryhodnosti.

Řešení

Pokud chcete tento problém vyřešit, použijte na všech serverech proxy služby AD FS, které mají poruchu, jednu z následujících metod( podle vaší situace).

Metoda 1: Oprava problémů s certifikátem SSL služby AD FS na serveru SLUŽBY AD FS

Postupujte takto:

  1. Při řešení potíží s certifikátem SSL ve službě AD FS Federation Service (ne v proxy službě) použijte následující článek znalostní báze Microsoft Knowledge Base:

    2523494 Při pokusu o přihlášení k Microsoftu 365, Azure nebo Intune se zobrazí upozornění na certifikát ze služby AD FS

  2. Pokud certifikát SSL služby AD FS Fs funguje správně, aktualizujte certifikát SSL na proxy serveru služby AD FS pomocí funkcí exportu a importu certifikátu. Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
    179380Jak odebrat, importovat a exportovat digitální certifikáty

Metoda 2: Obnovení výchozího nastavení ověřování služby AD FS proxy server IIS

Postupujte podle kroků popsaných v řešení 1 následujícího článku znalostní báze Microsoft Knowledge Base pro proxy server služby AD FS:

2461628 Při přihlašování k Microsoftu 365, Azure nebo Intune se federovanému uživateli opakovaně zobrazuje výzva k zadání přihlašovacích údajů.

Metoda 3: Opětovné spuštění průvodce konfigurací proxy serveru služby AD FS

Uděláte to tak, že znovu spustíte Průvodce konfigurací proxy federačního serveru AD FS z rozhraní Nástrojů pro správu všech ovlivněných proxy serverů služby AD FS.

Poznámka

Při opětovném spuštění průvodce konfigurací se obvykle zobrazí upozornění z kroku Nasazení přihlašovacího webu prohlížeče. To neznamená, že by průvodce znovu sestavil vztah důvěryhodnosti mezi proxy serverem služby AD FS a federační službou AD FS.

Další informace

Další informace o tom, jak zpřístupnit službu AD FS na internetu pomocí proxy serveru služby AD FS, najdete na následujícím webu společnosti Microsoft:

Plánování a nasazení služby AD FS 2.0 pro použití s jednotným přihlašováním

Stále potřebujete pomoc? Přejděte na web Microsoft Community.