Jak rozwiązywać problemy z połączeniem z punktem końcowym usług AD FS, gdy użytkownicy logują się do platformy Microsoft 365, Intune lub platformy Azure
Problem
Gdy użytkownicy logują się do usługi w chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Intune lub Microsoft Azure przy użyciu federacyjnego konta użytkownika, połączenie z usługą Active Directory Federation Services (AD FS) kończy się niepowodzeniem tylko wtedy, gdy użytkownicy spróbują wykonać następujące czynności:
- Nawiązywanie połączenia ze zdalnej lokalizacji internetowej
- Logowanie przy użyciu połączeń poczty e-mail
Ta sytuacja powoduje również testowanie logowania jednokrotnego, które przeprowadza analizator łączności zdalnej, aby zakończyć się niepowodzeniem.
Aby uzyskać więcej informacji na temat uruchamiania analizatora łączności zdalnej w celu przetestowania uwierzytelniania logowania jednokrotnego na platformie Microsoft 365, zobacz następujące artykuły w bazie wiedzy Microsoft Knowledge Base:
- 2650717 Jak używać analizatora łączności zdalnej do rozwiązywania problemów z logowaniem jednokrotnym dla platformy Microsoft 365, platformy Azure lub Intune
- 2466333 użytkownicy federacyjny nie mogą nawiązać połączenia ze skrzynką pocztową Exchange Online
Przyczyna
Te błędy mogą wystąpić, jeśli usługa AD FS nie jest poprawnie uwidoczniona w Internecie. Zazwyczaj serwer proxy usług AD FS jest używany do tego celu, a problemy z serwerem proxy usług AD FS spowoduje te objawy. Typowe problemy obejmują następujące kwestie:
Wygasły certyfikat SSL przypisany do serwera proxy usług AD FS
Często ten sam certyfikat SSL jest używany do zabezpieczania komunikacji (HTTPS) zarówno dla usługi federacyjnej usług AD FS, jak i serwera proxy usług AD FS. Po wygaśnięciu tego certyfikatu i odnowieniu lub zaktualizowaniu certyfikatu w farmie usług federacyjnych usług AD FS certyfikat SSL musi być również aktualizowany na wszystkich serwerach proxy usług AD FS. Jeśli w tym przypadku certyfikat SSL serwera proxy usług AD FS nie zostanie zaktualizowany, połączenia internetowe z usługą AD FS mogą zakończyć się niepowodzeniem, nawet jeśli usługa federacyjna usług AD FS jest w dobrej kondycji.
Nieprawidłowa konfiguracja punktów końcowych uwierzytelniania usług IIS
Rolą serwera proxy usług AD FS jest odbieranie komunikacji internetowej skierowanej do usług AD FS oraz przekazywanie tej komunikacji do usługi federacyjnej usług AD FS. Dlatego ważne jest, aby ustawienie uwierzytelniania usług IIS usługi federacyjnej usług AD FS i serwera proxy było komplementarne. Jeśli ustawienia uwierzytelniania usług IIS serwera proxy usług AD FS nie są ustawione tak, aby uzupełniały ustawienia uwierzytelniania usług federacyjnych usług AD FS IIS, logowanie może zakończyć się niepowodzeniem lub wygenerować wiele nieoczekiwanych monitów.
Przerwane zaufanie między serwerem proxy usług AD FS a usługą federacyjną usług AD FS
Usługa serwera proxy usług AD FS jest przeznaczona do instalowania na komputerze nieprzyłączonym do domeny. W związku z tym komunikacja między serwerem proxy usług AD FS a usługą federacyjną usług AD FS nie może być oparta na zaufaniu lub poświadczeniach usługi Active Directory. Zamiast tego komunikacja między tymi dwiema rolami serwera jest nawiązywana przy użyciu tokenu wystawionego serwerowi proxy usług AD FS przez usługę federacyjną usług AD FS i podpisanego przez certyfikat podpisywania tokenu usług AD FS. Gdy to zaufanie wygasło lub jest nieprawidłowe, usługa serwera proxy usług AD FS nie może przekazywać żądań usług AD FS, a zaufanie musi zostać odbudowane w celu przywrócenia funkcji.
Rozwiązanie
Aby rozwiązać ten problem, użyj jednej z następujących metod, stosownie do twojej sytuacji, na wszystkich nieprawidłowo działających serwerach proxy usług AD FS.
Metoda 1. Rozwiązywanie problemów z certyfikatami SSL usług AD FS na serwerze usług AD FS
Aby to zrobić, wykonaj następujące kroki.
Rozwiąż problemy z certyfikatami SSL w usłudze federacyjnej usług AD FS (a nie w usłudze proxy), korzystając z następującego artykułu z bazy wiedzy Microsoft Knowledge Base:
2523494 Podczas próby zalogowania się do platformy Microsoft 365, platformy Azure lub Intune zostanie wyświetlone ostrzeżenie o certyfikacie od usług AD FS
Jeśli certyfikat SSL usługi federacyjnej usług AD FS działa poprawnie, zaktualizuj certyfikat SSL na serwerze proxy usług AD FS przy użyciu funkcji eksportowania i importowania certyfikatów. Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:
179380 Jak usunąć, zaimportować i wyeksportować certyfikaty cyfrowe
Metoda 2. Resetowanie domyślnych ustawień uwierzytelniania serwera proxy usług AD FS dla usług IIS
W tym celu wykonaj kroki opisane w rozwiązaniu 1 poniższego artykułu bazy wiedzy Microsoft Knowledge Base dla serwera proxy usług AD FS:
2461628 Użytkownik federacyjny jest wielokrotnie monitowany o poświadczenia podczas logowania do platformy Microsoft 365, platformy Azure lub Intune
Metoda 3. Ponowne uruchamianie kreatora konfiguracji serwera proxy usług AD FS
W tym celu uruchom ponownie Kreatora konfiguracji serwera proxy usług AD FS z interfejsu narzędzi administracyjnych wszystkich serwerów proxy usług AD FS, których dotyczy problem.
Uwaga
Zwykle podczas ponownego uruchamiania kreatora konfiguracji jest wyświetlane ostrzeżenie z kroku "Wdrażanie witryny sieci Web logowania w przeglądarce". Nie oznacza to, że kreator nie odbudował relacji zaufania między serwerem proxy usług AD FS a usługą federacyjną usług AD FS.
Więcej informacji
Aby uzyskać więcej informacji na temat sposobu uwidaczniania usługi AD FS w Internecie przy użyciu serwera proxy usług AD FS, przejdź do następującej witryny internetowej firmy Microsoft:
Planowanie i wdrażanie usług AD FS 2.0 do użycia z logowaniem jednokrotnym
Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla