Freigeben über

Aktualisieren oder Reparieren der Einstellungen einer Verbunddomäne in Microsoft 365, Azure oder Intune

  • Gilt für:: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

Einleitung

Einmaliges Anmelden (Single Sign-On, SSO) in einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune hängt von einer lokalen Bereitstellung von Active Directory-Verbunddiensten (AD FS) ab, die ordnungsgemäß funktioniert. In mehreren Szenarien muss die Konfiguration der Verbunddomäne in AD FS neu erstellt werden, um technische Probleme zu beheben. Dieser Artikel enthält schrittweise Anleitungen zum Aktualisieren oder Reparieren der Konfiguration der Verbunddomäne.

Mehr Informationen

So aktualisieren Sie die Konfiguration der Verbunddomäne

Die Konfiguration der Verbunddomäne muss in den Szenarien aktualisiert werden, die in den folgenden Microsoft Knowledge Base-Artikeln beschrieben werden.

  • 2713898 "Problem beim Zugriff auf die Website" - Fehler von AD FS, wenn sich ein Verbundbenutzer bei Microsoft 365, Azure oder Intune anmeldet.
  • 2535191 "Leider treten Probleme beim Anmelden" und "80048163" auf, wenn ein Verbundbenutzer versucht, sich bei Microsoft 365, Azure oder Intune anzumelden.
  • 2647020 "Entschuldigung, aber wir haben Schwierigkeiten, Sie anzumelden" und "80041317" oder "80043431" Fehler, wenn ein Verbundbenutzer versucht, sich bei Microsoft 365, Azure oder Intune anzumelden.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Einstellung. Nach diesem Datum sind die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell SDK und Sicherheitsupdates beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (vormals Azure AD) zu interagieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Anmerkung: Versionen 1.0.x von MSOnline könnten nach dem 30. Juni 2024 von Unterbrechungen betroffen sein.

Führen Sie die folgenden Schritte aus, um die Konfiguration der Verbunddomäne auf einem Computer zu aktualisieren, auf dem das Azure Active Directory-Modul für Windows PowerShell installiert ist:

  1. Klicken Sie auf "Start", auf " Alle Programme", auf "Windows Azure Active Directory" und dann auf "Windows Azure Active Directory"- Modul für Windows PowerShell.

  2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die EINGABETASTE:

    $cred = get-credential

    Hinweis

    Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anmeldeinformationen für den Clouddienstadministrator ein.

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    Hinweis

    In diesem Befehl stellt der Platzhalter <AD FS 2.0 Servername> den Windows-Hostnamen des primären AD FS-Servers dar.

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    oder

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    Hinweis

    • Die Verwendung des Switchs "–supportmultipledomain" ist erforderlich, wenn mehrere Domänen auf oberster Ebene mit demselben AD FS-Verbunddienst verbunden werden.
    • In diesen Befehlen stellt der Platzhalter <Föderierter Domänenname> den Namen der Domäne dar, die bereits föderiert ist.

Von Bedeutung

Ein Skript ist verfügbar, um die Aktualisierung von Verbundmetadaten regelmäßig zu automatisieren, um sicherzustellen, dass Änderungen am AD FS-Tokensignaturzertifikat ordnungsgemäß repliziert werden.

Das Skript erstellt eine geplante Windows-Aufgabe auf dem primären AD FS-Server, um sicherzustellen, dass Änderungen an der AD FS-Konfiguration wie Vertrauensinformationen, Signaturzertifikataktualisierungen usw. regelmäßig an die Microsoft Entra-ID weitergegeben werden.

Wenn das Tokensignaturzertifikat automatisch in einer Umgebung erneuert wird, in der das Skript implementiert ist, aktualisiert das Skript die Cloud-Vertrauensinformationen, um Ausfallzeiten zu verhindern, die durch veraltete Cloudzertifikatinformationen verursacht werden.

Reparieren der Konfiguration der Verbunddomäne

Die Konfiguration der Verbunddomäne muss in den Szenarien repariert werden, die in den folgenden Microsoft Knowledge Base-Artikeln beschrieben werden.

  • 2523494 Sie erhalten eine Zertifikatwarnung von AD FS, wenn Sie versuchen, sich bei Microsoft 365, Azure oder Intune anzumelden.
  • 2618887 "Der im AD FS 2.0-Server angegebene Verbunddienstbezeichner wird bereits verwendet.", wenn Sie versuchen, eine andere Verbunddomäne in Microsoft 365, Azure oder Intune einzurichten.
  • 2713898 "Problem beim Zugriff auf die Website" - Fehler von AD FS, wenn sich ein Verbundbenutzer bei Microsoft 365, Azure oder Intune anmeldet.
  • 2647020 Fehler "Ihre Organisation konnte Sie nicht bei diesem Dienst anmelden" und "80041317" oder "80043431"-Fehlercode, wenn ein Verbundbenutzer versucht, sich bei Microsoft 365 anzumelden
  • Der Verbunddienstname in AD FS wird geändert.

Führen Sie die folgenden Schritte aus, um die Verbunddomänenkonfiguration auf einem Computer zu reparieren, auf dem das Azure Active Directory-Modul für Windows PowerShell installiert ist.

Warnung

  • Im folgenden Verfahren werden alle Anpassungen entfernt, die erstellt werden, indem der Zugriff auf Microsoft 365-Dienste mithilfe des Standorts des Clients eingeschränkt wird. Nachdem die Konfiguration der Verbunddomäne repariert wurde, müssen Sie möglicherweise eingeschränkten AD FS-Zugriff neu konfigurieren.
  • Die folgenden Schritte sollten sorgfältig geplant werden. Benutzer, für die die SSO-Funktionalität in der Verbunddomäne aktiviert ist, können sich während dieses Vorgangs von Schritt 4 bis zum Abschluss von Schritt 5 nicht authentifizieren. Wenn der Update-MSOLFederatedDomain-Cmdlet-Test in Schritt 1 nicht erfolgreich befolgt wird, wird Schritt 5 nicht ordnungsgemäß abgeschlossen. Verbundbenutzer werden nicht in der Lage sein, sich zu authentifizieren, bis das Cmdlet update-MSOLFederatedDomain erfolgreich ausgeführt werden kann.
  1. Führen Sie die Schritte im Abschnitt "Aktualisieren der Verbunddomänenkonfiguration" weiter oben in diesem Artikel aus, um sicherzustellen, dass das Cmdlet update-MSOLFederatedDomain erfolgreich abgeschlossen wurde.
    • Wenn das Cmdlet nicht erfolgreich abgeschlossen wurde, fahren Sie mit diesem Verfahren nicht fort. Lesen Sie stattdessen den Abschnitt "Bekannte Probleme, die beim Aktualisieren oder Reparieren einer Verbunddomäne auftreten können" weiter unten in diesem Artikel, um das Problem zu beheben.
    • Wenn das Cmdlet erfolgreich abgeschlossen ist, lassen Sie das Eingabeaufforderungsfenster zur späteren Verwendung geöffnet.
  2. Melden Sie sich beim AD FS-Server an. Klicken Sie hierzu auf "Start", zeigen Sie auf "Alle Programme", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "AD FS (2.0)-Verwaltung".
  3. Klicken Sie im linken Navigationsbereich auf "AD FS (2.0)", klicken Sie auf "Vertrauensstellungen", und klicken Sie dann auf "Vertrauensstellungen der vertrauenden Seite".
  4. Löschen Sie im bereich ganz rechts den Eintrag "Microsoft Office 365 Identity Platform ".
  5. Erstellen Sie im Windows PowerShell-Fenster, das Sie in Schritt 1 geöffnet haben, das gelöschte Vertrauensobjekt erneut. Führen Sie dazu den folgenden Befehl aus, und drücken Sie dann die EINGABETASTE: 
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    oder 
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    Hinweis

    • Die Verwendung des Switchs "–supportmultipledomain" ist erforderlich, wenn mehrere Domänen auf oberster Ebene mit demselben AD FS-Verbunddienst verbunden werden.
    • In diesen Befehlen stellt der Platzhalter <Föderierter Domänenname> den Namen der Domäne dar, die bereits föderiert ist.

Bekannte Probleme, die beim Aktualisieren oder Reparieren einer Verbunddomäne auftreten können

Die folgenden Szenarien verursachen Probleme, wenn Sie eine Verbunddomäne aktualisieren oder reparieren:

  • Sie können keine Verbindung mit Windows PowerShell herstellen. Weitere Informationen zu diesem Problem finden Sie im folgenden Microsoft Knowledge Base-Artikel:

    2494043 Sie können keine Verbindung mit dem Azure Active Directory-Modul für Windows PowerShell herstellen.

  • Das Azure Active Directory-Modul für Windows PowerShell kann aufgrund fehlender Voraussetzungen nicht geladen werden. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

    2461873 Sie können das Azure Active Directory-Modul für Windows PowerShell nicht öffnen.

  • Wenn Sie versuchen, das Cmdlet set-MSOLADFSContext auszuführen, wird eine Fehlermeldung "Zugriff verweigert" angezeigt. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

    2587730 Fehler "Die Verbindung zum <ServerName> Active Directory Federation Services 2.0-Server ist fehlgeschlagen" beim Verwenden des Cmdlets Set-MsolADFSContext

Brauchst du noch Hilfe? Wechseln Sie zu Microsoft Community oder zur Microsoft Entra Forums Website.

  • Last updated on