Feedback

Ein Verbundbenutzer wird während der Anmeldung bei Microsoft 365, Azure oder Intune wiederholt zur Eingabe von Anmeldeinformationen aufgefordert.

  • Artikel
  • 11 Minuten Lesedauer
  • Gilt für::
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft 365, Microsoft Intune, CRM Online via Office 365 E Plans, Azure Backup

Wichtig

Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen senken oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, sollten Sie die Risiken bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer bestimmten Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um den Computer zu schützen.

Problem

Ein Verbundbenutzer wird wiederholt zur Eingabe von Anmeldeinformationen aufgefordert, wenn der Benutzer versucht, sich während der Anmeldung bei einem Microsoft-Clouddienst wie Microsoft 365, Microsoft Azure oder Microsoft Intune beim Active Directory 联合身份验证服务 (AD FS)-Dienstendpunkt zu authentifizieren. Wenn der Benutzer abbricht, erhält der Benutzer die Fehlermeldung "Zugriff verweigert ".

Ursache

Das Symptom zeigt ein Problem mit der integrierten Windows-Authentifizierung mit AD FS an. Dieses Problem kann auftreten, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Es wurde ein falscher Benutzername oder ein falsches Kennwort verwendet.

  • Internetinformationsdienste(IIS)-Authentifizierungseinstellungen sind in AD FS falsch eingerichtet.

  • Der Dienstprinzipalname (Service Principal Name, SPN), der dem Dienstkonto zugeordnet ist, das zum Ausführen der AD FS-Verbundserverfarm verwendet wird, geht verloren oder ist beschädigt.

    Hinweis

    Dies geschieht nur, wenn AD FS als Verbundserverfarm und nicht in einer eigenständigen Konfiguration implementiert wird.

  • Mindestens eine der folgenden Elemente wird durch den erweiterten Authentifizierungsschutz als Quelle eines Man-in-the-Middle-Angriffs identifiziert:

    • Einige Internetbrowser von Drittanbietern
    • Die Unternehmensnetzwerkfirewall, der Netzwerklastenausgleich oder ein anderes Netzwerkgerät veröffentlicht den AD FS-Verbunddienst so im Internet, dass IP-Nutzlastdaten möglicherweise umgeschrieben werden können. Dazu gehören möglicherweise die folgenden Arten von Daten:

      • SSL-Überbrückung (Secure Sockets Layer)

      • SSL-Offloading

      • Zustandsbehaftete Paketfilterung

        Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

        2510193 Unterstützte Szenarien für die Verwendung von AD FS zum Einrichten der einmaligen Anmeldung in Microsoft 365, Azure oder Intune

    • Eine Überwachungs- oder SSL-Entschlüsselungsanwendung wird installiert oder ist auf dem Clientcomputer aktiv.

  • Die DNS-Auflösung (Domain Name System) des AD FS-Dienstendpunkts wurde über die CNAME-Eintragssuche statt über eine A-Eintragssuche ausgeführt.

  • Windows Internet Explorer ist nicht so konfiguriert, dass die integrierte Windows-Authentifizierung an den AD FS-Server übergeben wird.

Bevor Sie mit der Problembehandlung beginnen

Überprüfen Sie, ob der Benutzername und das Kennwort nicht die Ursache des Problems sind.

  • Stellen Sie sicher, dass der richtige Benutzername verwendet wird und im UPN-Format (User Principal Name) vorliegt. Beispiel: johnsmith@contoso.com.

  • Stellen Sie sicher, dass das richtige Kennwort verwendet wird. Um zu überprüfen, ob das richtige Kennwort verwendet wird, müssen Sie möglicherweise das Benutzerkennwort zurücksetzen. Weitere Informationen finden Sie im folgenden Microsoft TechNet-Artikel:

    Zurücksetzen eines Benutzerkennworts

  • Stellen Sie sicher, dass das Konto außerhalb der festgelegten Anmeldezeiten nicht gesperrt, abgelaufen oder verwendet wird. Weitere Informationen finden Sie im folgenden Microsoft TechNet-Artikel: Verwalten von Benutzern

Überprüfen der Ursache

Um zu überprüfen, ob Kerberos-Probleme das Problem verursachen, umgehen Sie vorübergehend die Kerberos-Authentifizierung, indem Sie die formularbasierte Authentifizierung in der AD FS-Verbundserverfarm aktivieren. Gehen Sie dazu wie folgt vor:

Schritt 1: Bearbeiten der web.config Datei auf jedem Server in der AD FS-Verbundserverfarm

  1. Suchen Sie im Windows-Explorer den Ordner "C:\inetpub\adfs\ls", und erstellen Sie dann eine Sicherungskopie der web.config Datei.

  2. Klicken Sie auf "Start", dann auf "Alle Programme", klicken Sie auf "Zubehör", klicken Sie mit der rechten Maustaste auf Editor, und klicken Sie dann auf " Als Administrator ausführen".

  3. Klicken Sie im Menü Datei auf Öffnen. Geben Sie im Feld "Dateiname " C:\inetpub\adfs\ls\web.config ein, und klicken Sie dann auf "Öffnen".

  4. Führen Sie in der web.config Datei die folgenden Schritte aus:

    1. Suchen Sie die Zeile, die enthält <authentication mode>, und ändern Sie sie dann in <authentication mode="Forms"/>.

    2. Suchen Sie den Abschnitt, der mit <localAuthenticationTypes>beginnt, und ändern Sie dann den Abschnitt, sodass die <name="Forms" hinzufügen ,> Eintrag zuerst wie folgt aufgeführt wird:

      <localAuthenticationTypes>
<add name="Forms" page="FormsSignIn.aspx" />
<add name="Integrated" page="auth/integrated/" />
<add name="TlsClient" page="auth/sslclient/" />
<add name="Basic" page="auth/basic/" />

  5. Klicken Sie im Menü Datei auf Speichern.

  6. Starten Sie IIS an einer Eingabeaufforderung mit erhöhten Rechten mithilfe des Befehls iisresetcommand neu.

Schritt 2: Testen der AD FS-Funktionalität

  1. Melden Sie sich auf einem Clientcomputer, der mit der lokalen AD DS-Umgebung verbunden und authentifiziert ist, beim Clouddienstportal an.

    Anstelle einer nahtlosen Authentifizierung sollte eine formularbasierte Anmeldung erfolgen. Wenn die Anmeldung mithilfe der formularbasierten Authentifizierung erfolgreich ist, wird bestätigt, dass ein Problem mit Kerberos im AD FS-Verbunddienst vorhanden ist.

  2. Setzen Sie die Konfiguration jedes Servers in der AD FS-Verbundserverfarm auf die vorherigen Authentifizierungseinstellungen zurück, bevor Sie die Schritte im Abschnitt "Auflösung" ausführen. Führen Sie die folgenden Schritte aus, um die Konfiguration der einzelnen Server in der AD FS-Verbundserverfarm wiederhergestellt zu haben:

    1. Suchen Sie im Windows-Explorer den Ordner "C:\inetpub\adfs\ls", und löschen Sie dann die web.config Datei.
    2. Verschieben Sie die Sicherung der web.config Datei, die Sie im Abschnitt "Schritt 1: Bearbeiten der web.config Datei auf jedem Server im AD FS-Verbundserverfarm" erstellt haben, in den Ordner "C:\inetpub\adfs\ls".

  3. Starten Sie IIS an einer Eingabeaufforderung mit erhöhten Rechten mithilfe des Befehls iisresetcommand neu.

  4. Überprüfen Sie, ob das AD FS-Authentifizierungsverhalten auf das ursprüngliche Problem zurückgesetzt wird.

Lösung

Um das Kerberos-Problem zu beheben, das die AD FS-Authentifizierung eingrenzt, verwenden Sie je nach Situation eine oder mehrere der folgenden Methoden.

Lösung 1: Zurücksetzen der AD FS-Authentifizierungseinstellungen auf die Standardwerte

Wenn die IIS-Authentifizierungseinstellungen von AD FS falsch sind oder die IIS-Authentifizierungseinstellungen für AD FS-Verbunddienste und Proxydienste nicht übereinstimmen, besteht eine Lösung darin, alle IIS-Authentifizierungseinstellungen auf die standardmäßigen AD FS-Einstellungen zurückzusetzen.

Die Standardauthentifizierungseinstellungen sind in der folgenden Tabelle aufgeführt.

Virtuelle Anwendung Authentifizierungsstufe(n)
Standardwebsite/Adfs Anonyme Authentifizierung
Standardwebsite/adfs/ls Anonyme Authentifizierung, Windows 認証

Verwenden Sie auf jedem AD FS-Verbundserver und jedem AD FS-Verbundserverproxy die Informationen im folgenden Microsoft TechNet-Artikel, um die virtuellen AD FS IIS-Anwendungen auf die Standardauthentifizierungseinstellungen zurückzusetzen:

Konfigurieren der Authentifizierung in IIS 7

Lösung 2: Korrigieren des AD FS-Verbundserverfarm-SPN

Hinweis

Versuchen Sie diese Auflösung nur, wenn AD FS als Verbundserverfarm implementiert ist. Versuchen Sie diese Auflösung nicht in einer eigenständigen AD FS-Konfiguration.

Um das Problem zu beheben, wenn der SPN für den AD FS-Dienst im AD FS-Dienstkonto verloren geht oder beschädigt ist, führen Sie die folgenden Schritte auf einem Server in der AD FS-Verbundserverfarm aus:

  1. Öffnen Sie das Dienstverwaltungs-Snap-In. Klicken Sie dazu auf "Start", dann auf "Alle Programme", dann auf " Verwaltungstools" und dann auf " Dienste".

  2. Doppelklicken Sie auf AD FS (2.0) Windows Service.

  3. Notieren Sie sich auf der Registerkarte "Anmelden" das Dienstkonto, das in "Dieses Konto" angezeigt wird.

  4. Klicken Sie nacheinander auf Start, Alle Programme und Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  5. Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste.

    SetSPN –f –q host/<AD FS service name>

    Hinweis

    In diesem Befehl <AD FS service name> wird der vollqualifizierte Domänenname (FQDN)-Dienstname des AD FS-Dienstendpunkts dargestellt. Es stellt nicht den Windows-Hostnamen des AD FS-Servers dar.

    • Wenn für den Befehl mehrere Einträge zurückgegeben werden und das Ergebnis einem anderen Benutzerkonto als dem in Schritt 3 angegebenen zugeordnet ist, entfernen Sie diese Zuordnung. Führen Sie dazu den folgenden Befehl aus:

      SetSPN –d host/<AD FS service name><bad_username>

    • Wenn für den Befehl mehrere Einträge zurückgegeben werden und der SPN denselben Namen wie der Computername des AD FS-Servers in Windows verwendet, ist der Name des Verbundendpunkts für AD FS falsch. AD FS muss erneut implementiert werden. Der FQDN der AD FS-Verbundserverfarm darf nicht mit dem Windows-Hostnamen eines vorhandenen Servers identisch sein.

    • Wenn der SPN noch nicht vorhanden ist, führen Sie den folgenden Befehl aus:

      SetSPN –a host/<AD FS service name><username of service account>

      Hinweis

      Stellt in diesem Befehl den Benutzernamen dar, <username of service account> der in Schritt 3 angegeben wurde.

  6. Nachdem diese Schritte auf allen Servern in der AD FS-Verbundserverfarm ausgeführt wurden, klicken Sie im Dienstverwaltungs-Snap-In mit der rechten Maustaste auf AD FS (2.0) Windows Service , und klicken Sie dann auf "Neu starten".

Lösung 3: Beheben erweiterter Authentifizierungsschutzprobleme

Um das Problem zu beheben, wenn der erweiterte Schutz für die Authentifizierung eine erfolgreiche Authentifizierung verhindert, verwenden Sie eine der folgenden empfohlenen Methoden:

  • Methode 1: Melden Sie sich mit Windows Internet Explorer 8 (oder einer höheren Version des Programms) an.
  • Methode 2: Veröffentlichen Sie AD FS-Dienste im Internet so, dass SSL-Überbrückung, SSL-Offloading oder zustandsbehaftete Paketfilterung keine IP-Nutzlastdaten neu schreiben. Die bewährte Methode für diesen Zweck ist die Verwendung eines AD FS-Proxyservers.
  • Methode 3: Schließen oder deaktivieren Sie Überwachungs- oder SSL-Entschlüsselungsanwendungen.

Wenn Sie keine dieser Methoden verwenden können, kann der erweiterte Authentifizierungsschutz für passive und aktive Clients deaktiviert werden, um dieses Problem zu umgehen.

Problemumgehung: Deaktivieren des erweiterten Schutzes für die Authentifizierung

Warnung

Es wird davon abgeraten, dieses Verfahren als langfristige Lösung zu verwenden. Das Deaktivieren des erweiterten Schutzes für die Authentifizierung schwächt das AD FS-Dienstsicherheitsprofil, indem bestimmte Man-in-the-Middle-Angriffe auf integrierte Windows-Authentifizierungsendpunkte nicht erkannt werden.

Hinweis

Wenn diese Problemumgehung für Anwendungsfunktionen von Drittanbietern angewendet wird, sollten Sie hotfixes auch auf dem Clientbetriebssystem für erweiterten Schutz für die Authentifizierung deinstallieren.

Für passive Clients

Um den erweiterten Schutz für die Authentifizierung für passive Clients zu deaktivieren, führen Sie das folgende Verfahren für die folgenden virtuellen IIS-Anwendungen auf allen Servern in der AD FS-Verbundserverfarm aus:

  • Standardwebsite/Adfs
  • Standardwebsite/adfs/ls

Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie den IIS-Manager, und navigieren Sie zu der Ebene, die Sie verwalten möchten. Informationen zum Öffnen des IIS-Managers finden Sie unter Open IIS Manager (IIS 7).
  2. Doppelklicken Sie in der Featuresansicht auf Authentifizierung.
  3. Wählen Sie auf der Seite "Authentifizierung" die Option "Windows-Authentifizierung" aus.
  4. Klicken Sie im Bereich "Aktionen" auf "Erweiterte Einstellungen".
  5. Wenn das Dialogfeld "Erweiterte Einstellungen" angezeigt wird, wählen Sie im Dropdownmenü "Erweiterter Schutz" die Option "Aus" aus.

Für aktive Clients

Führen Sie zum Deaktivieren des erweiterten Schutzes für die Authentifizierung für aktive Clients das folgende Verfahren auf dem primären AD FS-Server aus:

  1. Öffnen Sie Windows PowerShell.

  2. Führen Sie den folgenden Befehl aus, um die Windows PowerShell für das AD FS-Snap-In zu laden:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Führen Sie den folgenden Befehl aus, um den erweiterten Schutz für die Authentifizierung zu deaktivieren:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "None"

Erneutes Aktivieren des erweiterten Schutzes für die Authentifizierung

Für passive Clients

Führen Sie zum erneuten Aktivieren des erweiterten Schutzes für die Authentifizierung für passive Clients das folgende Verfahren für die folgenden virtuellen IIS-Anwendungen auf allen Servern in der AD FS-Verbundserverfarm aus:

  • Standardwebsite/Adfs
  • Standardwebsite/adfs/ls

Gehen Sie dazu wie folgt vor:

  1. Öffnen Sie den IIS-Manager, und navigieren Sie zu der Ebene, die Sie verwalten möchten. Informationen zum Öffnen des IIS-Managers finden Sie unter Open IIS Manager (IIS 7).
  2. Doppelklicken Sie in der Featuresansicht auf Authentifizierung.
  3. Wählen Sie auf der Seite "Authentifizierung" die Option "Windows-Authentifizierung" aus.
  4. Klicken Sie im Bereich "Aktionen" auf "Erweiterte Einstellungen".
  5. Wenn das Dialogfeld "Erweiterte Einstellungen" angezeigt wird, wählen Sie im Dropdownmenü "Erweiterter Schutz" die Option "Annehmen" aus.

Für aktive Clients

Führen Sie zum erneuten Aktivieren des erweiterten Schutzes für die Authentifizierung für aktive Clients das folgende Verfahren auf dem primären AD FS-Server aus:

  1. Öffnen Sie Windows PowerShell.

  2. Führen Sie den folgenden Befehl aus, um die Windows PowerShell für das AD FS-Snap-In zu laden:

    Add-PsSnapIn Microsoft.Adfs.Powershell

  3. Führen Sie den folgenden Befehl aus, um den erweiterten Schutz für die Authentifizierung zu aktivieren:

    Set-ADFSProperties –ExtendedProtectionTokenCheck "Allow"

Auflösung 4: Ersetzen von CNAME-Einträgen durch A-Einträge für AD FS

Verwenden Sie DNS-Verwaltungstools, um jeden DNS-Alias (CNAME)-Eintrag, der für den Verbunddienst verwendet wird, durch einen DNS-Adresseintrag (A) zu ersetzen. Überprüfen oder berücksichtigen Sie auch die DNS-Einstellungen des Unternehmens, wenn eine Split-Brain-DNS-Konfiguration implementiert wird. Weitere Informationen zum Verwalten von DNS-Einträgen finden Sie unter Managing DNS Records.

Lösung 5: Einrichten von Internet Explorer als AD FS-Client für einmaliges Anmelden (Single Sign-On, SSO)

Weitere Informationen zum Einrichten von Internet Explorer für den AD FS-Zugriff finden Sie unter "Ein Verbundbenutzer wird unerwartet aufgefordert, Anmeldeinformationen für Geschäfts-, Schul- oder Unikonten einzugeben.

Weitere Informationen

Zum Schutz eines Netzwerks verwendet AD FS erweiterten Schutz für die Authentifizierung. Der erweiterte Authentifizierungsschutz kann dazu beitragen, Man-in-the-Middle-Angriffe zu verhindern, bei denen ein Angreifer die Anmeldeinformationen eines Clients abfangen und an einen Server weiterleitet. Der Schutz vor solchen Angriffen wird mithilfe von Channel Binding Works (CBT) ermöglicht. CBT kann vom Server erforderlich, zulässig oder nicht erforderlich sein, wenn die Kommunikation mit Clients hergestellt wird.

Die Ad FS-Einstellung "ExtendedProtectionTokenCheck " gibt die Ebene des erweiterten Schutzes für die Authentifizierung an, die vom Verbundserver unterstützt wird. Dies sind die verfügbaren Werte für diese Einstellung:

  • Erforderlich: Der Server ist vollständig gehärtet. Erweiterter Schutz wird erzwungen.
  • Zulassen: Dies ist die Standardeinstellung. Der Server ist teilweise gehärtet. Erweiterter Schutz wird für beteiligte Systeme erzwungen, die geändert werden, um dieses Feature zu unterstützen.
  • Keine: Der Server ist anfällig. Erweiterter Schutz wird nicht erzwungen.

In den folgenden Tabellen wird beschrieben, wie die Authentifizierung für drei Betriebssysteme und Browser funktioniert, abhängig von den verschiedenen Optionen für erweiterten Schutz, die in AD FS mit IIS verfügbar sind.

Hinweis

Windows-Clientbetriebssysteme müssen über bestimmte Updates verfügen, die installiert sind, um erweiterte Schutzfeatures effektiv nutzen zu können. Standardmäßig sind die Features in AD FS aktiviert.

Standardmäßig enthält Windows 7 die entsprechenden Binärdateien, um erweiterten Schutz zu verwenden.

Windows 7 (oder entsprechend aktualisierte Versionen von Windows Vista oder Windows XP)

Einstellung Erforderlich Zulassen (Standard) Keine
Windows Communication Foundation (WCF)-Client (alle Endpunkte) Funktioniert Funktioniert Funktioniert
Internet Explorer 8 und höhere Versionen Funktioniert Funktioniert Funktioniert
Firefox 3.6 Fehlschlägt Fehlschlägt Funktioniert
Safari 4.0.4 Fehlschlägt Fehlschlägt Funktioniert

Windows Vista ohne entsprechende Updates

Einstellung Erforderlich Zulassen (Standard) Keine
WCF-Client (Alle Endpunkte) Fehlschlägt Funktioniert Funktioniert
Internet Explorer 8 und höhere Versionen Funktioniert Funktioniert Funktioniert
Firefox 3.6 Fehlschlägt Funktioniert Funktioniert
Safari 4.0.4 Fehlschlägt Funktioniert Funktioniert

Windows XP ohne entsprechende Updates

Einstellung Erforderlich Zulassen (Standard) Keine
Internet Explorer 8 und höhere Versionen Funktioniert Funktioniert Funktioniert
Firefox 3.6 Fehlschlägt Funktioniert Funktioniert
Safari 4.0.4 Fehlschlägt Funktioniert Funktioniert

Weitere Informationen zum erweiterten Schutz für die Authentifizierung finden Sie in der folgenden Microsoft-Ressource:

Konfigurieren erweiterter Optionen für AD FS 2.0

Weitere Informationen zum cmdlet Set-ADFSProperties finden Sie auf der folgenden Microsoft-Website:

Set-ADFSProperties

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community- oder die Azure Active Directory Forum-Website.

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.