Az AD FS-végpont csatlakozási problémáinak elhárítása, amikor a felhasználók bejelentkeznek a Microsoft 365-be, a Intune vagy az Azure-ba
Probléma
Ha a felhasználók összevont felhasználói fiókkal jelentkeznek be egy Microsoft-felhőszolgáltatásba, például a Microsoft 365-be, Microsoft Intune vagy Microsoft Azure-ba, a Active Directory összevonási szolgáltatások (AD FS) (AD FS) szolgáltatáshoz való csatlakozás csak akkor meghiúsul, ha a felhasználók az alábbiakat próbálják meg végrehajtani:
- Csatlakozás távoli internetről
- Bejelentkezés e-mail-kapcsolatokkal
Ez a helyzet azt is eredményezi, hogy a távoli kapcsolatelemző által végzett egyszeri bejelentkezéses tesztelés sikertelen lesz.
Ha többet szeretne tudni arról, hogyan futtathatja a Távoli kapcsolatelemzőt az egyszeri bejelentkezéses hitelesítés Microsoft 365-ben való teszteléséhez, tekintse meg a Következő cikkeket a Microsoft Tudásbázisban:
- 2650717 A Távoli kapcsolatelemző használata a Microsoft 365, az Azure vagy Intune egyszeri bejelentkezési problémáinak elhárításához
- 2466333 összevont felhasználók nem tudnak csatlakozni egy Exchange Online postaládához
A probléma oka
Ezek a hibák akkor fordulhatnak elő, ha az AD FS szolgáltatás nem érhető el megfelelően az interneten. Erre a célra általában az AD FS proxykiszolgálót használják, és az AD FS proxykiszolgálóval kapcsolatos problémák okozzák ezeket a tüneteket. A gyakori problémák közé tartoznak a következők:
Lejárt SSL-tanúsítvány, amely az AD FS proxykiszolgálóhoz van hozzárendelve
Gyakran ugyanazt az SSL-tanúsítványt használják az AD FS összevonási szolgáltatás és az AD FS proxykiszolgáló biztonságos kommunikációjának (HTTPS) elősegítésére. Amikor ez a tanúsítvány lejár, és a tanúsítvány megújul vagy frissül az AD FS összevonási szolgáltatásfarmon, az SSL-tanúsítványt az összes AD FS-proxykiszolgálón is frissíteni kell. Ha az AD FS proxykiszolgáló SSL-tanúsítványa ebben az esetben nem frissül, az AD FS szolgáltatáshoz való internetkapcsolat meghiúsulhat, annak ellenére, hogy az AD FS összevonási szolgáltatás kifogástalan állapotú.
Az IIS-hitelesítési végpontok helytelen konfigurációja
Az AD FS proxykiszolgáló szerepe az AD FS-hez irányított internetes kommunikáció fogadása és a kommunikáció továbbítása az AD FS összevonási szolgáltatással. Ezért fontos, hogy az AD FS összevonási szolgáltatás és a proxykiszolgáló IIS-hitelesítési beállítása kiegészítő legyen. Ha az AD FS proxykiszolgáló IIS-hitelesítési beállításai nincsenek beállítva az AD FS összevonási szolgáltatás IIS-hitelesítési beállításainak kiegészítéseként, a bejelentkezés sikertelen lehet, vagy több váratlan kérést eredményezhet.
Megszakadt a megbízhatóság az AD FS-proxykiszolgáló és az AD FS összevonási szolgáltatás között
Az AD FS proxyszolgáltatás úgy van kialakítva, hogy egy nem tartományhoz csatlakoztatott számítógépre legyen telepítve. Ezért az AD FS proxykiszolgáló és az AD FS összevonási szolgáltatás közötti kommunikáció nem alapulhat Active Directory-megbízhatóságon vagy hitelesítő adatokon. Ehelyett a két kiszolgálói szerepkör közötti kommunikáció egy jogkivonattal jön létre, amelyet az AD FS összevonási szolgáltatás bocsát ki az AD FS proxykiszolgálónak, és amelyet az AD FS jogkivonat-aláíró tanúsítványa ír alá. Ha a megbízhatósági kapcsolat lejárt vagy érvénytelen, az AD FS proxyszolgáltatás nem tudja továbbítani az AD FS-kéréseket, és a megbízhatósági kapcsolatot újra kell létrehozni a funkciók visszaállításához.
Megoldás
A probléma megoldásához használja az alábbi módszerek egyikét, a helyzetének megfelelően az összes hibás AD FS-proxykiszolgálón.
1. módszer: Az AD FS SSL-tanúsítványával kapcsolatos problémák megoldása az AD FS-kiszolgálón
Ehhez hajtsa végre a következő lépéseket:
Az SSL-tanúsítványokkal kapcsolatos problémák elhárítása az AD FS összevonási szolgáltatásban (nem a proxyszolgáltatásban) a Microsoft tudásbázis következő cikkével:
2523494 Tanúsítványra vonatkozó figyelmeztetést kap az AD FS-től, amikor megpróbál bejelentkezni a Microsoft 365-be, az Azure-ba vagy Intune
Ha az AD FS összevonási szolgáltatás SSL-tanúsítványa megfelelően működik, frissítse az SSL-tanúsítványt az AD FS proxykiszolgálón a tanúsítványexportálási és -importálási függvények használatával. További információt a Microsoft Tudásbázis következő cikkében talál:
179380 Digitális tanúsítványok eltávolítása, importálása és exportálása
2. módszer: Az AD FS proxykiszolgáló IIS-hitelesítési beállításainak alaphelyzetbe állítása
Ehhez kövesse az AD FS-proxykiszolgálóra vonatkozó microsoft tudásbáziscikk 1. megoldásában leírt lépéseket:
2461628 A microsoft 365-be, az Azure-ba vagy Intune való bejelentkezéskor a rendszer ismétlődően hitelesítő adatokat kér egy összevont felhasználótól
3. módszer: Az AD FS proxykonfiguráció varázslójának újrafuttatása
Ehhez futtassa újra az AD FS összevonási kiszolgálóproxy-konfiguráció varázslóját az összes érintett AD FS proxykiszolgáló Felügyeleti eszközök felületén.
Megjegyzés:
A konfigurációs varázsló újrafuttatásakor általában figyelmeztetést kap a "Böngésző bejelentkezési webhelyének üzembe helyezése" lépéstől. Ez nem azt jelzi, hogy a varázsló nem tudta újraépíteni az AD FS proxykiszolgáló és az AD FS összevonási szolgáltatás közötti megbízhatósági kapcsolatot.
További információ
Az AD FS szolgáltatásnak az AD FS proxykiszolgálóval történő internetes elérhetővé tételével kapcsolatos további információkért látogasson el a Microsoft következő webhelyére:
Az AD FS 2.0 tervezése és üzembe helyezése egyszeri bejelentkezéshez
További segítségre van szüksége? Lépjen a Microsoft közösség oldalra.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: