如何排查用户登录到 Microsoft 365、Intune 或 Azure 时的 AD FS 终结点连接问题
问题
当用户使用联合用户帐户登录到 Microsoft 365、Microsoft Intune 或 Microsoft Azure 等 Microsoft 云服务时,仅当用户尝试执行以下操作时,与 Active Directory 联合身份验证服务 (AD FS) 服务的连接才会失败:
- 从远程 Internet 位置进行连接
- 使用电子邮件连接登录
这种情况还会导致远程连接分析器进行的 SSO 测试失败。
有关如何运行远程连接分析器以测试 Microsoft 365 中的 SSO 身份验证的详细信息,请参阅 Microsoft 知识库中的以下文章:
原因
如果 AD FS 服务未正确公开到 Internet,则可能会出现这些故障。 通常,AD FS 代理服务器用于此目的,AD FS 代理服务器的问题将导致这些症状。 常见问题包括:
分配给 AD FS 代理服务器的已过期 SSL 证书
通常,同一 SSL 证书用于帮助保护 AD FS 联合身份验证服务和 AD FS 代理服务器 (HTTPS) 的通信。 当此证书过期且证书在 AD FS 联合身份验证服务场上续订或更新时,还必须在所有 AD FS 代理服务器上更新 SSL 证书。 如果在这种情况下未更新 AD FS 代理服务器 SSL 证书,则与 AD FS 服务的 Internet 连接可能会失败,即使 AD FS 联合身份验证服务正常也是如此。
IIS 身份验证终结点配置不正确
AD FS 代理服务器的作用是接收定向到 AD FS 的 Internet 通信,并将该通信中继到 AD FS 联合身份验证服务。 因此,AD FS 联合身份验证服务和代理服务器的 IIS 身份验证设置必须相互补充,这一点很重要。 当 AD FS 代理服务器 IIS 身份验证设置未设置为补充 AD FS 联合身份验证服务 IIS 身份验证设置时,登录可能会失败,或者可能会生成多个意外提示。
AD FS 代理服务器与 AD FS 联合身份验证服务之间的信任断开
AD FS 代理服务设计为安装在未加入域的计算机上。 因此,AD FS 代理服务器与 AD FS 联合身份验证服务之间的通信不能基于 Active Directory 信任或凭据。 相反,这两个服务器角色之间的通信是通过使用由 AD FS 联合身份验证服务颁发给 AD FS 代理服务器并由 AD FS 令牌签名证书签名的令牌建立的。 当此信任过期或无效时,AD FS 代理服务无法中继 AD FS 请求,并且必须重新生成信任才能还原功能。
解决方案
若要解决此问题,请在所有发生故障的 AD FS 代理服务器上根据自己的情况使用以下方法之一。
方法 1:修复 AD FS 服务器上的 AD FS SSL 证书问题
为此,请按照下列步骤操作:
使用以下 Microsoft 知识库文章排查 AD FS 联合身份验证服务 (而不是代理服务) 上的 SSL 证书问题:
2523494 尝试登录到 Microsoft 365、Azure 或 Intune 时,会收到来自 AD FS 的证书警告
如果 AD FS 联合身份验证服务 SSL 证书正常运行,请使用证书导出和导入函数更新 AD FS 代理服务器上的 SSL 证书。 有关详细信息,请参阅以下 Microsoft 知识库文章:
179380 如何删除、导入和导出数字证书
方法 2:将 AD FS 代理服务器 IIS 身份验证设置重置为默认值
为此,请按照以下 Microsoft 知识库文章的以下 Microsoft 知识库文章的解决方法 1 中所述的步骤操作:AD FS 代理服务器:
2461628在登录到 Microsoft 365、Azure 或 Intune 期间反复提示联合用户输入凭据
方法 3:重新运行 AD FS 代理配置向导
为此,请从所有受影响的 AD FS 代理服务器的管理工具界面重新运行 AD FS 联合服务器代理配置向导。
注意
重新运行配置向导时,通常会收到来自“部署浏览器登录网站”步骤的警告。 这并不表示向导未重新生成 AD FS 代理服务器与 AD FS 联合身份验证服务之间的信任。
更多信息
有关如何使用 AD FS 代理服务器向 Internet 公开 AD FS 服务的详细信息,请转到以下 Microsoft 网站:
仍然需要帮助? 请转到 Microsoft 社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈