Federovanému uživateli se opakovaně zobrazuje výzva k zadání přihlašovacích údajů pro Office 365, Azure nebo Intune.

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Důležité

Tento článek obsahuje informace o tom, jak snížit nastavení zabezpečení nebo vypnout funkce zabezpečení na počítači. Tyto změny vám umožní vyřešit konkrétní problém. Než provedete tyto změny, doporučujeme vyhodnotit rizika spojená s implementací tohoto řešení v konkrétním prostředí. Pokud toto alternativní řešení implementujete, udělejte veškerá dodatečná opatření k ochraně počítače.

Problém

Federovanému uživateli se opakovaně zobrazuje výzva k zadání přihlašovacích údajů, když se uživatel pokusí přihlásit ke koncovému bodu služby AD FS (Active Directory Federation Services) během přihlašování ke cloudové službě Microsoftu, jako je Office 365, Microsoft Azure nebo Microsoft Intune. Když se uživatel zruší, obdrží chybovou zprávu odepření přístupu .

Příčina

Příznak označuje problém s integrovaným ověřováním Windows s AD FS. K tomuto problému může dojít, pokud platí některá z následujících podmínek:

  • Bylo použito nesprávné uživatelské jméno nebo heslo.

  • Nastavení ověřování Internetové informační služby (IIS) se ve službě AD FS nesprávně nastavuje.

  • Hlavní název služby (SPN), který je přidružený k účtu služby, který se používá ke spuštění farmy federačního serveru AD FS, se ztratí nebo je poškozený.

    Poznámka

    K tomu dochází jenom v případě, že AD FS implementujete jako farmu federačních serverů a neimplementujete ji v samostatné konfiguraci.

  • Některá z následujících možností je označena rozšířenou ochranou pro ověřování jako zdrojem útoku prostředního přenosu:

    • Některé internetové prohlížeče třetích stran
    • Firemní brána firewall, služba Vyrovnávání zatížení sítě nebo jiné síťové zařízení publikuje AD FS Federation Service na Internet takovým způsobem, aby mohla být možná přepsána data datové části IP. To může zahrnovat následující typy dat:
      • Přemostění SSL (Secure Sockets Layer)

      • Přesměrování SSL

      • Filtrování stavových paketů

        Další informace najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

        2510193   Podporované scénáře pro nastavení jednotného přihlašování v Office 365, Azure nebo Intune pomocí AD FS

    • V klientském počítači je nainstalovaná nebo aktivní aplikace pro dešifrování monitorováním nebo SSL.
  • Překlad DNS (Domain Name System) pro koncový bod služby AD FS byl proveden prostřednictvím vyhledávání záznamů CNAME místo prostřednictvím vyhledávání záznamů.

  • Windows Internet Explorer není nakonfigurovaný tak, aby předával integrované ověřování Windows na server AD FS.

Než začnete s odstraňováním potíží

Zkontrolujte, jestli není příčinou problému uživatelské jméno a heslo.

  • Ujistěte se, že je použito správné uživatelské jméno a je ve formátu hlavního uživatelského jména (UPN). Třeba johnsmith@contoso.com .

  • Ujistěte se, že je použito správné heslo. Abyste přezkontrolovali, jestli se používá správné heslo, možná budete muset resetovat heslo uživatele. Další informace najdete v následujícím článku na webu Microsoft TechNet:

    Resetování uživatelského hesla

  • Ujistěte se, že účet není zamknutý, vypršela jeho platnost nebo jste nevyužili přihlašovací hodiny. Další informace najdete v následujícím článku na webu Microsoft TechNet: Správa uživatelů

Ověření příčiny

Pokud chcete zkontrolovat, jestli potíže pomocí protokolu Kerberos způsobují problémy, dočasně nepoužívejte ověřování protokolem Kerberos tím, že povolíte ověřování pomocí formulářů ve farmě federačních serverů AD FS. Postupujte takto:

Krok 1: Úprava souboru web.config na každém serveru ve farmě federačního serveru AD FS

  1. V Průzkumníkovi Windows přejděte do složky C:\inetpub\adfs\ls\ a vytvořte záložní kopii souboru web.config.

  2. Klikněte na tlačítko Start, klikněte na položku všechny programy , kliknětepravým tlačítkem myši na položku Poznámkový bloka potom klikněte na příkaz Spustit jako správce.

  3. V nabídce soubor klikněte na otevřít. Do pole název souboru zadejte C:\inetpub\adfs\ls\web.config a klikněte na otevřít.

  4. V souboru web.config postupujte takto:

    1. Najděte řádek, který obsahuje <authentication mode> , a pak ho změňte na <authentication mode="Forms"/> .

    2. Vyhledejte oddíl, na kterém začíná <localAuthenticationTypes> , a změňte oddíl tak, aby se položka <Přidat název = "formuláře"> jako první uvedená:

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
      
  5. V nabídce soubor klikněte na Uložit.

  6. Na příkazovém řádku s vyššími oprávněními restartujte službu IIS pomocí iisresetcommand.

Krok 2: testování funkcí služby AD FS

  1. Na klientském počítači připojeném a ověřeném místním prostředím služby AD DS se přihlaste k portálu Cloud Service.

    Namísto bezproblémového ověřování se může stát, že se přihlašuje přihlášení pomocí formulářů. Pokud je přihlášení úspěšné pomocí ověřování na základě formulářů, potvrdí to, že ve službě AD FS Federation Service existuje problém s protokolem Kerberos.

  2. Před provedením kroků v části řešení vraťte konfiguraci všech serverů ve farmě federačních serverů AD FS na předchozí nastavení ověřování. Pokud chcete vrátit konfiguraci každého serveru ve farmě federačních serverů AD FS, postupujte takto:

    1. V Průzkumníkovi Windows přejděte do složky C:\inetpub\adfs\ls\ a odstraňte soubor web.config.
    2. Přesuňte zálohu web.config souboru, který jste vytvořili, v části Krok 1: Upravte soubor web.config na každém serveru ve farmě federačních serverů AD FS do složky C:\inetpub\adfs\ls.
  3. Na příkazovém řádku s vyššími oprávněními restartujte službu IIS pomocí iisresetcommand.

  4. Zkontrolujte, jestli se při ověřování služby AD FS vrací původní problém.

Řešení

Pokud chcete vyřešit problém s protokolem Kerberos, který omezuje ověřování AD FS, použijte v případě situace jednu nebo více následujících metod.

Řešení 1: resetování nastavení ověřování AD FS na výchozí hodnoty

Pokud je nastavení ověřování IIS služby AD FS nesprávná nebo nastavení ověřování Internetové informační služby pro služby AD FS Federation Services a proxy Services neodpovídá, je jedno z řešení obnovit na výchozí nastavení služby AD FS.

Výchozí nastavení ověřování je uvedené v následující tabulce.

Virtuální aplikace Úroveň ověřování
Výchozí web nebo služba ADFS Anonymní ověřování
Výchozí web, AD FS/LS Anonymní ověřování, ověřování systému Windows

Na každém federačním serveru AD FS a na každém proxy serveru AD FS můžete pomocí informací z následujícího článku Microsoft TechNet resetovat virtuální aplikace IIS AD FS na výchozí nastavení ověřování:

Konfigurace ověřování ve službě IIS 7

Další informace o tom, jak tuto chybu vyřešit, najdete v následujících článcích znalostní báze Microsoft Knowledge Base:

  • 907273 řešení chyb HTTP 401 v IIS

  • 871179 při pokusu o přístup k webovému serveru, který je součástí fondu aplikací služby 6,0 IIS, se zobrazí chybová zpráva "HTTP Error 401,1-Neautorizováno: přístup byl odepřen kvůli neplatným přihlašovacím údajům."

Řešení 2: Oprava názvu SPN farmy federačního serveru AD FS

Poznámka

Tento postup zkuste jenom v případě, že AD FS implementujete jako farmu federačního serveru. Tento postup nepoužívejte v samostatné konfiguraci služby AD FS.

Pokud chcete tento problém vyřešit, pokud dojde ke ztrátě nebo poškození názvu SPN služby AD FS na účtu služby AD FS, postupujte podle těchto kroků na jednom serveru ve farmě federačních serverů AD FS:

  1. Otevřete modul snap-in Správa služeb. Klikněte na tlačítko Start, klikněte na položku všechny programy, klikněte na položku Nástroje pro správua potom na položku služby.

  2. Poklikejte na službu AD FS (2,0) pro Windows.

  3. Na kartě přihlášení si poznamenejte účet služby, který se zobrazuje na tomto účtu.

  4. Klikněte na Start, klikněte na všechny programy, klikněte na příslušenství, pravým tlačítkem myši klikněte na příkazový řádeka potom klikněte na Spustit jako správce.

  5. Zadejte následující příkaz a stiskněte klávesu ENTER.

    SetSPN –f –q host/<AD FS service name>
    

    Poznámka

    V tomto příkazu <AD FS service name> představuje plně kvalifikovaný název domény (FQDN) pro koncový bod služby AD FS. Nepředstavuje název hostitele Windows serveru AD FS.

    • Pokud je pro příkaz vráceno více položek a výsledek je spojen s jiným uživatelským účtem, než který byl zaznamenán v kroku 3, odeberte toto přidružení. Uděláte to spuštěním tohoto příkazu:

      SetSPN –d host/<AD FS service name><bad_username>
      
    • Pokud je pro příkaz vrácený více než jedna položka a název SPN používá stejný název jako název počítače serveru AD FS v systému Windows, je název koncového bodu federace pro službu AD FS nesprávný. Službu AD FS je třeba znovu implementovat. Plně kvalifikovaný název domény farmy federačních serverů AD FS nesmí být totožný s názvem hostitele Windows existujícího serveru.

    • Pokud název SPN ještě neexistuje, spusťte následující příkaz:

      SetSPN –a host/<AD FS service name><username of service account>  
      

      Poznámka

      V tomto příkazu <username of service account> představuje uživatelské jméno uvedené v kroku 3.

  6. Po provedení těchto kroků na všech serverech ve farmě federačních serverů AD FS klikněte pravým tlačítkem na službu AD FS (2,0) v modulu snap-in Správa služeb a potom klikněte na restartovat.

Řešení 3: řešení potíží s rozšířenou ochranou

Pokud chcete tento problém vyřešit, pokud Rozšířená ochrana před úspěšným ověřováním zabrání, použijte jednu z následujících doporučených metod:

  • Metoda 1: k přihlášení použijte Windows Internet Explorer 8 (nebo novější verzi programu).
  • Metoda 2: publikování služby AD FS na internetu takovým způsobem, aby přemostění SSL, přesměrování SSL nebo filtrování stavových paketů nepřepisoval data IP. Nejvhodnějším postupem pro tento účel je použít proxy server služby AD FS.
  • Metoda 3: ukončete nebo zakažte monitorování nebo dešifrování protokolu SSL.

Pokud tuto chybu nemůžete použít ani jednou z těchto metod, může být zakázána Rozšířená ochrana před ověřováním pro pasivní a aktivní klienty.

Alternativní řešení: vypnutí rozšířené ochrany pro ověřování

Upozornění

Tento postup nedoporučujeme používat jako dlouhodobé řešení. Když zakážete rozšířenou ochranu ověřování, oslabí se profil zabezpečení služby AD FS tím, že nerozpoznáme určité útoky útoků na integrované ověřování systému Windows.

Poznámka

Pokud se použije toto alternativní řešení pro funkčnost aplikací jiných výrobců, měli byste také odinstalovat opravy hotfix v operačním systému klienta pro rozšířenou ochranu pro ověřování.

Pro pasivní klienty

Pokud chcete zakázat rozšířenou ochranu pro ověřování pro pasivní klienty, proveďte následující postup pro následující virtuální aplikace IIS na všech serverech ve farmě federačních serverů AD FS:

  • Výchozí web nebo služba ADFS
  • Výchozí web, AD FS/LS

Postupujte takto:

  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření Správce služby IIS najdete v tématu otevření Správce služby IIS (IIS 7).
  2. V zobrazení funkce poklikejte na ověřování.
  3. Na stránce ověřování vyberte ověřování Windows.
  4. V podokně Akce klikněte na Upřesnit nastavení.
  5. Po zobrazení dialogového okna Upřesnit nastavení vyberte Off   z rozevírací nabídky Rozšířená ochrana možnost Vypnuto.

Pro aktivní klienty

Pokud chcete zakázat rozšířenou ochranu pro ověřování pro aktivní klienty, proveďte na primárním serveru AD FS následující postup:

  1. Spusťte Windows PowerShell.

  2. Modul snap-in Windows PowerShell spustíte spuštěním následujícího příkazu:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Spuštěním následujícího příkazu zakážete rozšířenou ochranu ověřování:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"
    

Opětovné povolení rozšířené ochrany pro ověřování

Pro pasivní klienty

Pokud chcete znovu zapnout rozšířenou ochranu pro pasivní klienty, proveďte následující postup pro následující virtuální aplikace IIS na všech serverech ve farmě federačních serverů AD FS:

  • Výchozí web nebo služba ADFS
  • Výchozí web, AD FS/LS

Postupujte takto:

  1. Otevřete Správce služby IIS a přejděte na úroveň, kterou chcete spravovat. Informace o otevření Správce služby IIS najdete v tématu otevření Správce služby IIS (IIS 7).
  2. V zobrazení funkce poklikejte na ověřování.
  3. Na stránce ověřování vyberte ověřování Windows.
  4. V podokně Akce klikněte na Upřesnit nastavení.
  5. Po zobrazení dialogového okna Upřesnit nastavení vyberte přijmout z rozevírací nabídky Rozšířená ochrana .

Pro aktivní klienty

Chcete-li znovu povolit rozšířenou ochranu pro ověřování pro aktivní klienty, proveďte na primárním serveru AD FS následující postup:

  1. Spusťte Windows PowerShell.

  2. Modul snap-in Windows PowerShell spustíte spuštěním následujícího příkazu:

    Add-PsSnapIn Microsoft.Adfs.Powershell
    
  3. Spuštěním následujícího příkazu povolíte rozšířenou ochranu ověřování:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"
    

Řešení 4: Nahrazení záznamů CNAME záznamy pro AD FS

Pomocí nástrojů pro správu DNS nahraďte každý záznam DNS (CNAME), který se používá pro službu Federation Service se záznamem adresy DNS (A). Také zaškrtněte nebo zvažte nastavení firemních DNS v případě implementace konfigurace DNS rozděleného mozku. Další informace o správě záznamů DNS najdete v tématu Správa záznamů DNS.

Řešení 5: nastavení Internet Exploreru jako klienta AD FS pro jednotné přihlašování (SSO)

Další informace o tom, jak nastavit Internet Explorer pro AD FS Access, najdete v článku neočekávané zobrazení výzvy k zadání přihlašovacích údajů k pracovnímu nebo školnímu účtu.

Další informace

Za účelem ochrany sítě používá služba AD FS rozšířenou ochranu pro ověřování. Rozšířená ochrana před ověřením může pomoci zabránit útokům při přenosu, při kterých útočník zachycuje přihlašovací údaje klienta a přepošle je na server. Ochrana proti takovým útokům je možná prostřednictvím vazeb kanálů (CBT). CBT může být při navázání komunikace s klienty vyžadován, povolen nebo nevyžadován serverem.

Nastavení AD FS ExtendedProtectionTokenCheck určuje úroveň rozšířené ochrany pro ověřování podporovaná federačním serverem. Toto nastavení má tyto hodnoty:

  • Vyžadovat: Server je plně zpřísněný. Je vynucená Rozšířená ochrana.
  • Povolit: Toto je výchozí nastavení. Server je částečně zpřísněný. Rozšířená ochrana je vynucená pro systémy, které se změnily pro podporu této funkce.
  • Žádné: Server je ohrožený. Rozšířená ochrana není vynucená.

Následující tabulky popisují, jak ověřování funguje pro tři operační systémy a prohlížeče v závislosti na různých možnostech rozšířené ochrany, které jsou dostupné v AD FS se službou IIS.

Poznámka

Klientské operační systémy Windows musí mít k dispozici zvláštní aktualizace, které umožňují efektivní používání funkcí rozšířené ochrany. Ve výchozím nastavení jsou funkce ve službě AD FS povolené.

Ve výchozím nastavení obsahuje systém Windows 7 příslušné binární soubory pro použití rozšířené ochrany.

Windows 7 (nebo správně aktualizované verze Windows Vista nebo Windows XP)

Nastavení Potřebovat Povolit (výchozí) Prázdná
Klient WCF (Windows Communication Foundation) (všechny koncové body) Bude Bude Bude
Internet Explorer 8 a novější verze Bude Bude Bude
Firefox 3,6 Selžou Selžou Bude
Safari 4.0.4 Selžou Selžou Bude

Windows Vista bez příslušných aktualizací

Nastavení Potřebovat Povolit (výchozí) Prázdná
Klient WCF (všechny koncové body) Selžou Bude Bude
Internet Explorer 8 a novější verze Bude Bude Bude
Firefox 3,6 Selžou Bude Bude
Safari 4.0.4 Selžou Bude Bude

Windows XP bez příslušných aktualizací

Nastavení Potřebovat Povolit (výchozí) Prázdná
Internet Explorer 8 a novější verze Bude Bude Bude
Firefox 3,6 Selžou Bude Bude
Safari 4.0.4 Selžou Bude Bude

Další informace o Rozšířené ochraně pro ověřování najdete v následujícím zdroji společnosti Microsoft:

Konfigurace rozšířených možností pro AD FS 2,0

Další informace o rutině Set-ADFSProperties najdete na následujícím webu společnosti Microsoft:

Set-ADFSProperties

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.

Produkty třetích stran, o nichž se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.