如何排查用户登录 Microsoft 365、Intune 或 Azure 时出现的 AD FS 终结点连接问题
问题
当用户使用联合用户帐户登录到 Microsoft 365、Microsoft Intune 或 Microsoft Azure 等 Microsoft 云服务时,仅当用户尝试执行以下操作时,与 Active Directory 联合身份验证服务 (AD FS) 服务的连接才会失败:
- 从远程 Internet 位置进行连接
- 使用电子邮件连接登录
这种情况还会导致远程连接分析器进行的 SSO 测试失败。
有关如何运行远程连接分析器以在 Microsoft 365 中测试 SSO 身份验证的详细信息,请参阅 Microsoft 知识库中的以下文章:
原因
如果 AD FS 服务未正确向 Internet 公开,则可能会发生这些故障。 通常,AD FS 代理服务器用于此目的,AD FS 代理服务器的问题将导致这些症状。 常见问题包括:
分配给 AD FS 代理服务器的 SSL 证书过期
通常,相同的 SSL 证书用于帮助保护 AD FS 联合身份验证服务和 AD FS 代理服务器的通信 (HTTPS) 。 当此证书过期并在 AD FS 联合身份验证服务场上续订或更新证书时,还必须在所有 AD FS 代理服务器上更新 SSL 证书。 如果本例中未更新 AD FS 代理服务器 SSL 证书,即使 AD FS 联合身份验证服务正常,与 AD FS 服务的 Internet 连接也可能失败。
IIS 身份验证终结点配置不正确
AD FS 代理服务器的作用是接收针对 AD FS 的 Internet 通信,并将该通信中继到 AD FS 联合身份验证服务。 因此,AD FS 联合身份验证服务和代理服务器的 IIS 身份验证设置必须是相辅相成的。 如果 AD FS 代理服务器 IIS 身份验证设置未设置为补充 AD FS 联合身份验证服务 IIS 身份验证设置,登录可能会失败或可能生成多个意外提示。
AD FS 代理服务器与 AD FS 联合身份验证服务之间的信任断开
AD FS 代理服务设计为安装在未加入域的计算机上。 因此,AD FS 代理服务器与 AD FS 联合身份验证服务之间的通信不能基于 Active Directory 信任或凭据。 相反,这两个服务器角色之间的通信是使用 AD FS 联合身份验证服务颁发给 AD FS 代理服务器并由 AD FS 令牌签名证书签名的令牌建立的。 当此信任过期或无效时,AD FS 代理服务无法中继 AD FS 请求,并且必须重新生成信任才能还原功能。
解决方案
若要解决此问题,请根据自己的情况,在所有出现故障的 AD FS 代理服务器上使用以下方法之一。
方法 1:修复 AD FS 服务器上的 AD FS SSL 证书问题
为此,请按照下列步骤操作:
使用以下 Microsoft 知识库文章排查 AD FS 联合身份验证服务上的 SSL 证书问题, (代理服务) :
2523494尝试登录到 Microsoft 365、Azure 或 Intune 时,会收到 AD FS 的证书警告
如果 AD FS 联合身份验证服务 SSL 证书正常运行,请使用证书导出和导入函数更新 AD FS 代理服务器上的 SSL 证书。 有关详细信息,请参阅以下 Microsoft 知识库文章:
179380 如何删除、导入和导出数字证书
方法 2:将 AD FS 代理服务器 IIS 身份验证设置重置为默认设置
为此,请按照 AD FS 代理服务器的以下 Microsoft 知识库文章第 1 条中所述的步骤操作:
2461628联合用户在登录 Microsoft 365、Azure 或 Intune 期间反复提示输入凭据
方法 3:重新运行 AD FS 代理配置向导
为此,请从所有受影响的 AD FS 代理服务器的管理工具接口重新运行 AD FS 联合服务器代理配置向导。
注意
重新运行配置向导时,通常会收到来自“部署浏览器登录网站”步骤的警告。 这并不表示向导未重新生成 AD FS 代理服务器与 AD FS 联合身份验证服务之间的信任。
更多信息
有关如何使用 AD FS 代理服务器向 Internet 公开 AD FS 服务的详细信息,请转到以下 Microsoft 网站:
仍然需要帮助? 请转到 Microsoft 社区。