Řešení problémů s připojením koncových bodů služby AD FS, když se uživatelé přihlásí k Office 365, Intune nebo Azure

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Problém

Když se uživatelé přihlásí do cloudové služby Microsoftu, jako je Office 365, Microsoft Intune nebo Microsoft Azure, pomocí federovaného uživatelského účtu, připojení ke službě AD FS (Active Directory Federation Services) selže jenom v případě, že se uživatelé pokusí udělat toto:

  • Připojení ze vzdáleného internetového umístění
  • Přihlášení pomocí e-mailových připojení

Tato situace také způsobuje, že testování jednotného přihlašování v analyzátoru vzdáleného připojení selže.

Další informace o tom, jak pomocí analyzátoru vzdáleného připojení otestovat ověřování pomocí jednotného přihlašování v Office 365, najdete v následujících článcích znalostní báze Microsoft Knowledge Base:

  • 2650717 jak pomocí analyzátoru vzdáleného připojení řešit problémy s jedním přihlašováním pro Office 365, Azure nebo Intune
  • 2466333 federované uživatelé se nemůžou připojit k poštovní schránce Exchange Online

Příčina

K těmto chybám může dojít, pokud není služba AD FS správně vystavena Internetu. K tomuto účelu se obvykle používá proxy server AD FS a problémy s proxy serverem AD FS způsobí tyto příznaky. Mezi běžné problémy patří:

  • Certifikát SSL s vypršenou platností přiřazený k proxy serveru AD FS

    Stejný certifikát SSL se často používá k zabezpečení komunikace (HTTPS) pro AD FS Federation Service a proxy serveru AD FS. Jakmile platnost certifikátu skončí a certifikát se obnoví nebo aktualizuje ve farmě služby AD FS Federation Service, musí být certifikát SSL také aktualizován na všech serverech proxy AD FS. Pokud se certifikát SSL serveru proxy služby AD FS v tomto případě neaktualizuje, nemusí se internetové připojení ke službě AD FS zdařit, i když je služba AD FS Federation Service v pořádku.

  • Nesprávná konfigurace koncových bodů ověřování služby IIS

    Rolí proxy serveru služby AD FS je přijímat internetovou komunikaci, která je zaměřena na AD FS, a předat tuto komunikaci službě AD FS Federation. Proto je důležité nastavit ověřování služby AD FS Federation Service a proxy serveru na služby IIS. Pokud nastavení ověřování internetové proxy serveru služby AD FS není nastavené tak, aby se přihlásilo nastavení ověřování služby IIS služby AD FS, může se přihlášení zdařit nebo může generovat několik neočekávaných výzev.

  • Přerušený vztah důvěryhodnosti mezi proxy serverem AD FS a AD FS Federation

    Služba AD FS proxy je navržená tak, aby se instalovala do počítače nepřipojeného k doméně. Proto komunikace mezi proxy serverem služby AD FS a službou AD FS Federation není založena na vztahu důvěryhodnosti služby Active Directory ani na přihlašovací údaje. Místo toho se komunikace mezi těmito dvěma rolemi serveru vytvoří pomocí tokenu, který je vydaný serverem proxy služby AD FS a podepsaný podpisovým certifikátem služby AD FS. Pokud platnost této důvěry vypršela nebo je neplatná, nemůže služba AD FS proxy přenášet žádosti AD FS a je nutné znovu vytvořit vztah důvěryhodnosti a obnovit tak funkčnost.

Řešení

Tento problém vyřešíte pomocí jedné z následujících metod (podle situace) na všech nefunkčních serverech proxy služby AD FS.

Metoda 1: Oprava problémů s certifikátem SSL služby AD FS na serveru AD FS

Postupujte takto:

  1. Řešení problémů s certifikátem SSL služby AD FS Federation (ne služby proxy) pomocí následujícího článku znalostní báze Microsoft Knowledge Base:

    2523494 při pokusu o přihlášení k Office 365, Azure nebo Intune se vám zobrazuje upozornění na certifikát od AD FS.

  2. Pokud certifikát SSL služby AD FS Federation Service funguje správně, aktualizujte certifikát SSL na proxy serveru AD FS pomocí funkcí pro export a import certifikátu. Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
    179380 jak odebrat, importovat a exportovat digitální certifikáty

Metoda 2: resetování nastavení ověřování IIS proxy serveru služby AD FS na výchozí hodnoty

Postupujte podle kroků popsaných v překladu 1 v následujícím článku znalostní báze Microsoft Knowledge Base pro proxy server služby AD FS:

2461628 Federovaný uživatel se opakovaně zobrazuje výzva k zadání přihlašovacích údajů pro Office 365, Azure nebo Intune.

Metoda 3: Spusťte znovu Průvodce konfigurací proxy serveru AD FS

Provedete to tak, že znova spustíte Průvodce konfigurací proxy federačního serveru AD FS z rozhraní nástroje pro správu všech ovlivněných serverů proxy AD FS.

Poznámka

Při opětovném spuštění Průvodce konfigurací je běžné přijmout upozornění z kroku nasazení prohlížeče pro přihlášení. To neoznačuje, že Průvodce nesestavil vztah důvěryhodnosti mezi proxy serverem AD FS a AD FS Federation.

Další informace

Další informace o tom, jak vystavit službu AD FS na Internet pomocí proxy serveru služby AD FS, najdete na následujícím webu společnosti Microsoft:

Plánování a nasazení služby AD FS 2,0 pro použití s jedním přihlašováním

Stále potřebujete pomoc? Přejděte na web Microsoft Community.