Konfigurieren von alternativen Anmelde-ID

Was ist die alternative Anmelde-ID?

In den meisten Szenarien verwenden Benutzer ihr UPN (User Principal Names), um sich bei ihren Konten anzumelden. In einigen Umgebungen aufgrund von Unternehmensrichtlinien oder lokalen Geschäftsanwendungsabhängigkeiten verwenden die Benutzer möglicherweise eine andere Form der Anmeldung.

Hinweis

Die empfohlenen bewährten Methoden von Microsoft entsprechen UPN mit der primären SMTP-Adresse. In diesem Artikel werden die kleinen Prozentsätze der Kunden behandelt, die upNs nicht beheben können, um übereinstimmen zu können.

Sie können beispielsweise ihre E-Mail-ID für die Anmeldung verwenden und sich von ihrem UPN unterscheiden. Dies ist besonders häufig in Szenarien, in denen ihr UPN nicht routable ist. Berücksichtigen Sie einen Benutzer Jane Doe mit UPN jdoe@contoso.local und E-Mail-Adresse jdoe@contoso.com. Jane ist möglicherweise nicht einmal der UPN bewusst, da sie immer ihre E-Mail-ID für die Anmeldung verwendet hat. Die Verwendung einer anderen Anmeldemethode anstelle von UPN stellt eine alternative ID dar. Weitere Informationen zum Erstellen des UPN finden Sie unter Azure AD UserPrincipalName-Population.

Active Directory-Verbunddienste (AD FS) (AD FS) ermöglicht Verbundanwendungen mithilfe von AD FS, sich mit alternativer ID anzumelden. Dadurch können Administratoren eine Alternative zum standardmäßigen UPN angeben, das für die Anmeldung verwendet werden soll. AD FS unterstützt bereits die Verwendung eines Benutzerbezeichners, der von Active Directory Domain Services (AD DS) akzeptiert wird. Wenn sie für alternative ID konfiguriert sind, ermöglicht AD FS es Benutzern, sich mit dem konfigurierten alternativen ID-Wert anzumelden, z. B. E-Mail-ID. Mit der alternativen ID können Sie SaaS-Anbieter wie Office 365 übernehmen, ohne Ihre lokalen UPNs zu ändern. Es ermöglicht Ihnen auch, Branchendienstanwendungen mit verbraucherbezogenen Identitäten zu unterstützen.

Alternative ID in Azure AD

Eine Organisation muss möglicherweise alternative ID in den folgenden Szenarien verwenden:

  1. Der lokale Domänenname ist nicht routable, z contoso.local. B. , und daher ist der Standardbenutzerprinzipalname nicht routingbar (jdoe@contoso.local). Vorhandene UPN können aufgrund lokaler Anwendungsabhängigkeiten oder Unternehmensrichtlinien nicht geändert werden. Azure AD und Office 365 erfordern alle Domänensuffixe, die dem Azure AD-Verzeichnis zugeordnet sind, vollständig internetroutable zu sein.
  2. Das lokale UPN ist nicht identisch mit der E-Mail-Adresse des Benutzers und zum Anmelden bei Office 365, Benutzer verwenden E-Mail-Adresse und UPN können aufgrund von Organisationseinschränkungen nicht verwendet werden. In den oben genannten Szenarien ermöglicht die alternative ID mit AD FS Benutzern, sich bei Azure AD anzumelden, ohne Ihre lokalen UPNs zu ändern.

Konfigurieren der alternativen Anmelde-ID

Mithilfe von Azure AD Connect empfehlen wir die Verwendung von Azure AD Connect, um alternative Anmelde-ID für Ihre Umgebung zu konfigurieren.

  • Eine neue Konfiguration von Azure AD Connect finden Sie unter "Connect to Azure AD", um detaillierte Anweisungen zum Konfigurieren alternativer ID und AD FS-Farm zu erhalten.
  • Informationen zu vorhandenen Azure AD Connect-Installationen finden Sie unter Ändern der Benutzeranmeldungsmethode für Anweisungen zum Ändern der Anmeldemethode in AD FS

Wenn Azure AD Connect Details zur AD FS-Umgebung bereitstellt, überprüft sie automatisch nach der Anwesenheit der richtigen KB in Ihrer AD FS und konfiguriert AD FS für alternative ID, einschließlich aller erforderlichen richtigen Anspruchsregeln für azure AD-Verbundvertrauenswürdigkeit. Es ist kein zusätzlicher Schritt außerhalb des Assistenten erforderlich, um alternative ID zu konfigurieren.

Hinweis

Microsoft empfiehlt die Verwendung von Azure AD Connect, um alternative Anmelde-ID zu konfigurieren.

Manuelles Konfigurieren alternativer ID

Um alternative Anmelde-ID zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

Konfigurieren Ihrer AD FS-Anspruchsanbieter-Vertrauensstellung, um alternative Anmelde-ID zu aktivieren

  1. Wenn Sie über Windows Server 2012 R2 verfügen, stellen Sie sicher, dass Sie KB2919355 auf allen AD FS-Servern installiert haben. Sie können es über Windows Update Services abrufen oder direkt herunterladen.

  2. Aktualisieren Sie die AD FS-Konfiguration, indem Sie das folgende PowerShell-Cmdlet auf einem der Verbundserver in Ihrer Farm ausführen (wenn Sie über eine WID-Farm verfügen, müssen Sie diesen Befehl auf dem primären AD FS-Server in Ihrer Farm ausführen):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternativeLoginID ist der LDAP-Name des Attributs, das Sie für die Anmeldung verwenden möchten.

LookupForests ist die Liste der Gesamtstruktur-DNS, zu denen Ihre Benutzer gehören.

Um alternative Anmelde-ID-Feature zu aktivieren, müssen Sie sowohl die Parameter "AlternativeLoginID" als auch "-LookupForests" mit einem ungültigen Wert konfigurieren.

Im folgenden Beispiel aktivieren Sie alternative Anmelde-ID-Funktionen, sodass Ihre Benutzer mit Konten in contoso.com und fabrikam.com Gesamtstrukturen sich mit ihrem Attribut "mail" bei AD FS-aktivierten Anwendungen anmelden können.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
  1. Um dieses Feature zu deaktivieren, legen Sie den Wert für beide Parameter auf null fest.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Hybride moderne Authentifizierung mit alternativer ID

Wichtig

Das Folgende wurde nur auf AD FS und nicht von Drittanbietern getestet.

Exchange und Skype for Business

Wenn Sie alternative Anmelde-ID mit Exchange und Skype for Business verwenden, variiert die Benutzeroberfläche je nachdem, ob Sie HMA verwenden.

Hinweis

Für die beste Endbenutzerfreundlichkeit empfiehlt Microsoft die Verwendung der hybriden modernen Authentifizierung.

oder weitere Informationen finden Sie unter "Übersicht über die hybride moderne Authentifizierung"

Voraussetzungen für Exchange und Skype for Business

Im Folgenden sind voraussetzungen für das Erreichen von SSO mit alternativer ID erforderlich.

  • Exchange Online sollte die moderne Authentifizierung aktiviert sein.
  • Skype for Business (SFB) Online sollte die moderne Authentifizierung aktiviert haben.
  • Lokale Exchange-Geräte sollten über eine aktivierte moderne Authentifizierung verfügen. Exchange 2013 CU19 oder Exchange 2016 CU18 und up ist auf allen Exchange-Servern erforderlich. Keine Exchange 2010 in der Umgebung.
  • Skype for Business lokal aktiviert sein sollte, sollte die moderne Authentifizierung aktiviert sein.
  • Sie müssen Exchange- und Skype-Clients verwenden, die über moderne Authentifizierung aktiviert sind. Alle Server müssen SFB Server 2015 CU5 ausführen.
  • Skype for Business Clients, die modern authentifizierungsfähig sind
    • iOS, Android, Windows Phone
    • SFB 2016 (MA ist standardmäßig aktiviert, stellen Sie jedoch sicher, dass sie nicht deaktiviert wurde.)
    • SFB 2013 (MA ist standardmäßig DEAKTIVIERT, sodass MA aktiviert wurde.)
    • SFB Mac-Desktop
  • Exchange-Clients, die moderne Authentifizierung ermöglichen und AltID-Regkeys unterstützen
    • Nur Office Pro Plus 2016

Unterstützte Office-Version

Konfigurieren des Verzeichnisses für SSO mit alternativer ID

Die Verwendung alternativer ID kann zusätzliche Eingabeaufforderungen für die Authentifizierung verursachen, wenn diese zusätzlichen Konfigurationen nicht abgeschlossen sind. Verweisen Sie auf den Artikel, um mögliche Auswirkungen auf die Benutzererfahrung mit alternativer ID zu erhalten.

Mit der folgenden zusätzlichen Konfiguration wird die Benutzererfahrung erheblich verbessert, und Sie können nahezu null Eingabeaufforderungen für die Authentifizierung für Alternative ID-Benutzer in Ihrer Organisation erreichen.

Schritt 1: Aktualisieren auf erforderliche Office-Version

Office Version 1712 (Build Nr. 8827.2148) und oben haben die Authentifizierungslogik aktualisiert, um das Alternative ID-Szenario zu behandeln. Um die neue Logik zu nutzen, müssen die Clientcomputer auf Office Version 1712 (Build nr. 8827.2148) und höher aktualisiert werden.

Schritt 2: Aktualisieren auf erforderliche Windows-Version

Windows Version 1709 und oben haben die Authentifizierungslogik aktualisiert, um das Alternative ID-Szenario zu behandeln. Um die neue Logik zu nutzen, müssen die Clientcomputer auf Windows Version 1709 und höher aktualisiert werden.

Schritt 3: Konfigurieren der Registrierung für betroffene Benutzer mithilfe von Gruppenrichtlinien

Die Office-Anwendungen basieren auf Informationen, die vom Verzeichnisadministrator verschoben werden, um die Alternative ID-Umgebung zu identifizieren. Die folgenden Registrierungsschlüssel müssen so konfiguriert werden, dass Office-Anwendungen den Benutzer mit alternativer ID authentifizieren können, ohne zusätzliche Eingabeaufforderungen anzuzeigen.

Regkey zum Hinzufügen Regkey-Datenname, Typ und Wert Windows 7/8 Windows 10 BESCHREIBUNG
HKEY_CURRENT_USER\Software\Microsoft\AuthN DomainHint
REG_SZ contoso.com
Erforderlich Erforderlich Der Wert dieses Regkeys ist ein überprüfter benutzerdefinierter Domänenname im Mandanten der Organisation. Beispielsweise kann contoso corp einen Wert von Contoso.com in diesem Regkey bereitstellen, wenn Contoso.com einer der überprüften benutzerdefinierten Domänennamen im Mandanten Contoso.onmicrosoft.com ist.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity EnableAlternateIdSupport
REG_DWORD
1
Erforderlich für Outlook 2016 ProPlus Erforderlich für Outlook 2016 ProPlus Der Wert dieses Regkeys kann 1 / 0 sein, um an Outlook-Anwendung anzugeben, ob er die verbesserte Alternative ID-Authentifizierungslogik aktivieren sollte.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts *

REG_DWORD 1
Erforderlich Erforderlich Dieser Regkey kann verwendet werden, um die STS als vertrauenswürdige Zone in den Interneteinstellungen festzulegen. Die Standard AD FS-Bereitstellung empfiehlt das Hinzufügen des AD FS-Namespaces zur lokalen Intranetzone für Internet Explorer.

Neuer Authentifizierungsfluss nach zusätzlicher Konfiguration

Authentifizierungsfluss

  1. a: Der Benutzer wird in Azure AD mithilfe von Alternativer ID
    b bereitgestellt: Verzeichnisadministrator pusht erforderliche Regkeyeinstellungen, um die Auswirkungen auf Clientcomputer zu beeinträchtigen.
  2. Benutzer authentifiziert sich auf dem lokalen Computer und öffnet eine Office-Anwendung
  3. Office-Anwendung verwendet die lokalen Sitzungsanmeldeinformationen
  4. Office-Anwendung authentifiziert azure AD mithilfe von Domänenhinweisen, die von Administrator und lokalen Anmeldeinformationen gepostet werden
  5. Azure AD authentifiziert den Benutzer erfolgreich, indem er den Verbundbereich angibt und ein Token ausgibt.

Anwendungen und Benutzerfreundlichkeit nach der zusätzlichen Konfiguration

Nicht exchange- und Skype for Business Clients

Client Supporthinweis Bemerkungen
Microsoft Teams Unterstützt
  • Microsoft Teams unterstützt AD FS (SAML-P, WS-Fed, WS-Trust und OAuth) und moderne Authentifizierung.
  • Die Kernfunktionen von Microsoft Teams wie Kanäle, Chats und Dateien funktionieren mit alternativer Anmelde-ID.
  • 1. und 3. Partei-Apps müssen vom Kunden separat untersucht werden. Dies liegt daran, dass jede Anwendung über eigene Unterstützungsauthentifizierungsprotokolle verfügt.
  • OneDrive for Business Unterstützt – clientseitiger Registrierungsschlüssel empfohlen Mit alternativer ID, die konfiguriert ist, wird der lokale UPN im Überprüfungsfeld vorgefüllt. Dies muss in die alternative Identität geändert werden, die verwendet wird. Es wird empfohlen, den clientseitigen Registrierungsschlüssel in diesem Artikel zu verwenden: Office 2013 und Lync 2013 werden regelmäßig aufgefordert, Anmeldeinformationen für SharePoint Online, OneDrive und Lync Online zu erhalten.
    OneDrive for Business Mobile Client Unterstützt
    Office 365 Pro Plus-Aktivierungsseite Unterstützt – clientseitiger Registrierungsschlüssel empfohlen Mit alternativer ID, die konfiguriert ist, wird der lokale UPN im Überprüfungsfeld vorgefüllt. Dies muss in die alternative Identität geändert werden, die verwendet wird. Es wird empfohlen, den clientseitigen Registrierungsschlüssel in diesem Artikel zu verwenden: Office 2013 und Lync 2013 werden regelmäßig aufgefordert, Anmeldeinformationen für SharePoint Online, OneDrive und Lync Online zu erhalten.

    Exchange- und Skype for Business-Clients

    Client Support-Anweisung – mit HMA Support-Anweisung – ohne HMA
    Outlook Unterstützt, keine zusätzlichen Eingabeaufforderungen Unterstützt mit moderner Authentifizierung für Exchange Online: Unterstützt mit regulärer Authentifizierung für Exchange Online: Unterstützt

    mit den folgenden Einschränkungen:


  • Sie müssen sich auf einem domänengebundenen Computer befinden und mit dem Unternehmensnetzwerk verbunden sein.
  • Sie können nur alternative ID in Umgebungen verwenden, die den externen Zugriff für Postfachbenutzer nicht zulassen. Dies bedeutet, dass Benutzer sich nur auf unterstützte Weise authentifizieren können, wenn sie mit dem Unternehmensnetzwerk verbunden und mit einem VPN verbunden sind oder über Direct Access-Computer verbunden sind, aber Sie erhalten einige zusätzliche Aufforderungen beim Konfigurieren Ihres Outlook-Profils.
  • Hybrid öffentlicher Ordner Unterstützt, keine zusätzlichen Eingabeaufforderungen. Mit moderner Authentifizierung für Exchange Online: Unterstützt

    mit regulärer Authentifizierung für Exchange Online: Nicht unterstützt

  • Hybrid-Öffentliche Ordner können nicht erweitert werden, wenn alternative IDs verwendet werden und daher heute nicht mit regulären Authentifizierungsmethoden verwendet werden sollten.
  • Lokale Delegation Siehe Konfigurieren von Exchange zur Unterstützung delegierter Postfachberechtigungen in einer Hybridbereitstellung Siehe Konfigurieren von Exchange zur Unterstützung delegierter Postfachberechtigungen in einer Hybridbereitstellung
    Archivpostfachzugriff (Postfach lokal – Archiv in der Cloud) Unterstützt, keine zusätzlichen Eingabeaufforderungen Unterstützt – Benutzer erhalten eine zusätzliche Aufforderung für Anmeldeinformationen beim Zugriff auf das Archiv, sie müssen ihre alternative ID angeben, wenn Sie aufgefordert werden.
    Outlook Web Access Unterstützt Unterstützt
    Outlook Mobile Apps für Android, IOS und Windows Phone Unterstützt Unterstützt
    Skype for Business/ Lync Unterstützt, ohne zusätzliche Eingabeaufforderungen Unterstützt (außer wie erwähnt) aber es gibt ein Potenzial für Benutzerverwechslungen.

    Auf mobilen Clients wird alternative ID nur unterstützt, wenn SIP-Adresse = E-Mail-Adresse = Alternative ID.

    Benutzer müssen sich möglicherweise zweimal mit dem Skype for Business Desktopclient anmelden, zuerst mit dem lokalen UPN und dann mit der alternativen ID. (Beachten Sie, dass die "Anmeldeadresse" tatsächlich die SIP-Adresse ist, die möglicherweise nicht mit dem "Benutzernamen" identisch ist, obwohl häufig vorhanden ist). Wenn Sie zuerst aufgefordert werden, einen Benutzernamen zu erhalten, sollte der Benutzer den UPN eingeben, auch wenn er nicht ordnungsgemäß mit der Alternative ID oder SIP-Adresse gefüllt ist. Nachdem der Benutzer mit dem UPN auf die Anmeldung geklickt hat, wird die Eingabeaufforderung des Benutzernamens wieder angezeigt, dieses Mal wird mit dem UPN vorgefüllt. Dieses Mal muss der Benutzer dies durch die Alternative ID ersetzen und auf "Anmelden" klicken, um den Anmeldevorgang abzuschließen. Auf mobilen Clients sollten Benutzer die lokale Benutzer-ID auf der erweiterten Seite eingeben, indem Sie das SAM-Format (Domäne\Benutzername) verwenden, nicht das UPN-Format.

    Nach erfolgreicher Anmeldung, wenn Skype for Business oder Lync "Exchange benötigt Ihre Anmeldeinformationen benötigt", müssen Sie die Anmeldeinformationen angeben, die für den Speicherort des Postfachs gültig sind. Wenn sich das Postfach in der Cloud befindet, müssen Sie die Alternative ID bereitstellen. Wenn das Postfach lokal ist, müssen Sie den lokalen UPN bereitstellen.

    Weitere Details und Überlegungen

    • Azure AD bietet verschiedene Features im Zusammenhang mit "Alternative Anmelde-ID"

      • Das Feature "AD FS Alternative Anmelde-ID " für Identitätsinfrastrukturumgebungen in Federated1 , die in diesem Artikel beschrieben wurden.
      • Die Azure AD Connect-Synchronisierungskonfiguration, die definiert, welches lokale Attribut als Azure AD-Benutzername (userPrincipalName) für Partnerated1 OR Managed2 Identity Infrastructure-Umgebungen verwendet wird, die teilweise in diesem Artikel behandelt werden.
      • Die Anmeldung bei Azure AD mit E-Mails als alternatives Anmelde-ID-Feature fürverwaltete 2 Identitätsinfrastrukturumgebungen.
    • Das in diesem Artikel beschriebene Feature "Alternative Anmelde-ID" ist für Identitätsinfrastrukturumgebungen für Federated1 verfügbar. Es wird in den folgenden Szenarien nicht unterstützt:

      • Ein AlternateLoginID-Attribut mit nicht routablen Domänen (z. B. Contoso.local), das von Azure AD nicht überprüft werden kann.
      • Verwaltete Umgebungen, die keine AD FS bereitgestellt haben. Bitte verweisen Sie entweder auf die Azure AD Connect-Synchronisierungsdokumentation oder auf die Anmeldung bei Azure AD mit E-Mail als alternative Anmelde-ID-Dokumentation. Wenn Sie sich entscheiden, die Azure AD Connect-Synchronisierungskonfiguration in einerVerwalteten 2 Identitätsinfrastrukturumgebung anzupassen, kann die Anwendungs- und Benutzeroberfläche nach dem zusätzlichen Konfigurationsabschnitt dieses Artikels weiterhin anwendbar sein, während die spezifische AD FS-Konfiguration nicht mehr anwendbar ist, da keine AD FS in einerVerwalteten 2 Identitätsinfrastrukturumgebung bereitgestellt wird.
    • Bei aktivierter Aktivierung ist das alternative Anmelde-ID-Feature nur für die Benutzernamen-/Kennwortauthentifizierung über alle Benutzernamen-/Kennwortauthentifizierungsprotokolle verfügbar, die von AD FS (SAML-P, WS-Fed, WS-Trust und OAuth) unterstützt werden.

    • Wenn windows Integrated Authentication (WIA) ausgeführt wird (z. B. wenn Benutzer versuchen, auf eine Unternehmensanwendung auf einem domänengebundenen Computer aus dem Intranet zuzugreifen, und AD FS-Administrator hat die Authentifizierungsrichtlinie für die Verwendung von WIA für Intranet konfiguriert), wird UPN für die Authentifizierung verwendet. Wenn Sie Anspruchsregeln für die vertrauenden Parteien für die alternative Anmelde-ID-Funktion konfiguriert haben, sollten Sie sicherstellen, dass diese Regeln im WIA-Fall weiterhin gültig sind.

    • Bei aktivierter Aktivierung erfordert das Feature für die alternative Anmelde-ID mindestens einen globalen Katalogserver, der über den AD FS-Server für jede Benutzerkontostruktur erreichbar ist, die AD FS unterstützt. Fehler beim Erreichen eines globalen Katalogservers in der Gesamtstruktur des Benutzerkontos führt dazu, dass AD FS wieder upN verwendet wird. Standardmäßig sind alle Domänencontroller globale Katalogserver.

    • Wenn der AD FS-Server mehr als ein Benutzerobjekt mit dem gleichen alternativen Anmelde-ID-Wert findet, der in allen konfigurierten Benutzerkontenstrukturen angegeben ist, schlägt die Anmeldung fehl.

    • Wenn das Feature "Alternative Anmelde-ID" aktiviert ist, versucht AD FS, den Endbenutzer mit alternativer Anmelde-ID zuerst zu authentifizieren und dann auf UPN zurückzugeben, wenn es kein Konto finden kann, das durch die alternative Anmelde-ID identifiziert werden kann. Sie sollten sicherstellen, dass es keine Konflikte zwischen der alternativen Anmelde-ID und dem UPN gibt, wenn Sie die UPN-Anmeldung weiterhin unterstützen möchten. Beispielsweise blockiert das Festlegen des E-Mail-Attributs mit dem UPN des anderen Benutzers die Anmeldung mit seinem UPN.

    • Wenn eine der vom Administrator konfigurierten Gesamtstrukturen heruntergeht, wird AD FS weiterhin mit alternativen Anmelde-ID in anderen Gesamtstrukturen nachschlagen, die konfiguriert sind. Wenn der AD FS-Server eine eindeutige Benutzerobjekte in den Gesamtstrukturen findet, die sie durchsucht hat, meldet sich ein Benutzer erfolgreich an.

    • Darüber hinaus möchten Sie die AD FS-Anmeldeseite anpassen, um Endbenutzern einige Hinweise zu der alternativen Anmelde-ID zu geben. Sie können dies tun, indem Sie entweder die benutzerdefinierte Anmeldeseitenbeschreibung hinzufügen (weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten oder Anpassen der Zeichenfolge "Anmelden mit Organisationskonto" über dem Benutzernamenfeld (weitere Informationen finden Sie unter Erweiterte Anpassung von AD FS-Anmeldeseiten.

    • Der neue Anspruchstyp, der den alternativen Anmelde-ID-Wert enthält, ist http:schemas.microsoft.com/ws/2013/11/alternativeloginid

    1 Eine Verbundidentitätsinfrastrukturumgebung stellt eine Umgebung mit einem Identitätsanbieter wie AD FS oder anderen Drittanbieter-IDP dar.

    2 Eine Umgebung für verwaltete Identitätsinfrastruktur stellt eine Umgebung mit Azure AD als Identitätsanbieter dar, der mit einer Kennworthashsynchronisierung (PHS) oder einer Pass-Through-Authentifizierung (PTA) bereitgestellt wird.

    Ereignisse und Leistungsindikatoren

    Die folgenden Leistungsindikatoren wurden hinzugefügt, um die Leistung von AD FS-Servern zu messen, wenn die alternative Anmelde-ID aktiviert ist:

    • Alternative Anmelde-ID-Authentifizierungen: Anzahl der Authentifizierungen, die mithilfe der alternativen Anmelde-ID ausgeführt werden

    • Alternative Anmelde-ID-Authentifizierungen/Sec: Anzahl der Authentifizierungen, die mithilfe alternativer Anmelde-ID pro Sekunde ausgeführt werden

    • Durchschnittliche Suchwartezeit für alternative Anmelde-ID: Durchschnittliche Suchwartezeit in den Gesamtstrukturen, die ein Administrator für alternative Anmelde-ID konfiguriert hat

    Im Folgenden finden Sie verschiedene Fehlerfälle und entsprechende Auswirkungen auf die Anmeldeerfahrung eines Benutzers mit Ereignissen, die von AD FS protokolliert werden:

    Fehlerfälle Auswirkungen auf die Anmeldeerfahrung Event
    Ein Wert für SAMAccountName für das Benutzerobjekt kann nicht abgerufen werden. Anmeldefehler Ereignis-ID 364 mit Ausnahmemeldung MSIS8012: SamAccountName für den Benutzer konnte nicht gefunden werden: '{0}'.
    Das CanonicalName-Attribut ist nicht zugänglich. Anmeldefehler Ereignis-ID 364 mit Ausnahmemeldung MSIS8013: KanonischerName: '{0}' des Benutzers:'{1}' ist im schlechten Format.
    Mehrere Benutzerobjekte werden in einer Gesamtstrukturen gefunden Anmeldefehler Ereignis-ID 364 mit Ausnahmemeldung MSIS8015: Es wurden mehrere Benutzerkonten mit Identität "" in der Gesamtstruktur '{0}{1}' mit Identitäten gefunden:{2}
    Mehrere Benutzerobjekte werden in mehreren Gesamtstrukturen gefunden Anmeldefehler Ereignis-ID 364 mit Ausnahmemeldung MSIS8014: Es wurden mehrere Benutzerkonten mit Identität "{0}" in Gesamtstrukturen gefunden: {1}

    Weitere Informationen

    AD FS-Vorgänge