Az AD FS-végpontok csatlakozási hibáinak elhárítása az Office 365-be, az Intune-ba vagy az Azure-ba való bejelentkezéskor

Megjegyzés

Az Office 365 ProPlus átnevezésre került Microsoft 365 Vállalati alkalmazásokra. A változásról további információért olvassa el ezt a blogbejegyzést.

Probléma

Amikor a felhasználók egy szövetséges felhasználói fiókkal jelentkeznek be egy Microsoft felhőszolgáltatásba, például az Office 365-be, a Microsoft Intune-ba vagy a Microsoft Azure-ba, az Active Directory összevonási szolgáltatásokhoz való csatlakozás csak akkor sikertelen, ha a felhasználók az alábbiakat próbálják meg tenni:

  • Csatlakozás távoli internetes helyről
  • Bejelentkezés e-mail-kapcsolatokkal

Ez a helyzet azt is okozhatja, hogy az SSO tesztelése sikertelen lesz.

Ha arra kíváncsi, hogy miként futtathat távkapcsolat-elemzőt az Office 365-ös SSO-hitelesítés teszteléséhez, tekintse meg a Microsoft Tudásbázis alábbi cikkeit:

  • 2650717 Az Office 365, az Azure vagy az Intune egyszeri bejelentkezéssel kapcsolatos problémáinak megoldása a Távkapcsolat-elemzővel
  • 2466333 Az összevont felhasználók nem tudnak csatlakozni az Exchange Online-postaládákhoz

A probléma oka

Ezek a hibák akkor fordulhatnak elő, ha az AD FS szolgáltatás nem megfelelően jelenik meg az interneten. Erre a célra általában az AD FS-proxykiszolgálót használják, és az AD FS proxykiszolgálóval kapcsolatos problémák ezeket a jelenségeket okozhatják. Gyakori problémák a következők:

  • Lejárt SSL-tanúsítvány, amely az AD FS-proxykiszolgálóhoz van hozzárendelve

    Gyakran ugyanaz az SSL-tanúsítvány használatos az AD FS összevonási szolgáltatáshoz és az AD FS proxykiszolgálóhoz való biztonságos kommunikációhoz is. Amikor a tanúsítvány lejár, és a tanúsítvány megújul vagy frissül az AD FS összevonási szolgáltatásfarmján, az SSL-tanúsítványt is frissíteni kell az összes AD FS-proxykiszolgálón. Ha ebben az esetben az AD FS-proxykiszolgáló SSL-tanúsítványa nem frissül, az AD FS szolgáltatás internetkapcsolata sikertelen lehet annak ellenére, hogy az AD FS összevonási szolgáltatása megfelelő.

  • Az IIS-hitelesítési végpontok helytelen konfigurációja

    Az AD FS-proxykiszolgáló szerepe az, hogy fogadja az AD FS szolgáltatáshoz irányított internetes kommunikációt, és továbbítsa az adott kommunikációt az AD FS összevonási szolgáltatásának. Ezért az AD FS összevonási szolgáltatásának és proxykiszolgálójának IIS-hitelesítési beállítása azért fontos, hogy kiegészítő jellegű legyen. Ha az AD FS-proxykiszolgáló IIS-hitelesítési beállításai nincsenek beállítva az AD FS összevonási szolgáltatások IIS-hitelesítési beállításainak kiegészítésére, a bejelentkezés sikertelen lehet, vagy előfordulhat, hogy több, nem várt üzenet is jelentkezik.

  • Megszakadt a megbízhatóság az AD FS proxykiszolgáló és az AD FS összevonási szolgáltatás között

    Az AD FS proxyszolgáltatás nem tartományhoz csatlakozott számítógépre való telepítésre készült. Ezért az AD FS proxykiszolgáló és az AD FS összevonási szolgáltatás közötti kommunikáció nem alapulhat Active Directory-megbízhatóságon vagy hitelesítő adatokon. Ehelyett a két kiszolgálói szerepkör közötti kommunikációt egy olyan jogkivonattal kell létrehozni, amelyet az AD FS összevonási szolgáltatása ad ki az AD FS proxykiszolgálónak, és amelyet az AD FS jogkivonat-aláíró tanúsítványa aláír. Ha a megbízhatósági kapcsolat lejárt vagy érvénytelen, az AD FS proxyszolgáltatás nem tudja továbbítani az AD FS-kérelmeket, és a szolgáltatás működőképessége helyreállításához újra kell építeni a megbízhatóságot.

Megoldás

A probléma megoldásához használja az alábbi módszerek egyikét a helyzetnek megfelelően az összes nem megfelelően működő AD FS-proxykiszolgálón.

1. módszer: Az AD FS SSL-tanúsítványával kapcsolatos problémák megoldása az AD FS-kiszolgálón

Ehhez hajtsa végre a következő lépéseket:

  1. Az SSL-tanúsítványokkal kapcsolatos hibák elhárítása az AD összevonási szolgáltatásban (nem a proxyszolgáltatásban) a Microsoft tudásbázis következő cikkével:

    2523494 Az AD FS tanúsítványértesítványt kap, amikor megpróbál bejelentkezni az Office 365-be, az Azure-ba vagy az Intune-ba

  2. Ha az AD FS összevonási szolgáltatás SSL-tanúsítványa megfelelően működik, frissítse az SSL-tanúsítványt az AD FS proxykiszolgálón a tanúsítvány exportálási és importálási funkcióival. További információt a Microsoft Tudásbázis következő cikkében talál:
    179380 Digitális tanúsítványok eltávolítása, importálása és exportálása

2. módszer: Az AD FS-proxykiszolgáló IIS-hitelesítési beállításainak visszaállítása az alapértelmezettre

Ehhez kövesse az AD FS proxykiszolgálóra vonatkozó Microsoft Tudásbázis következő cikkének 1. megoldása leírt lépéseket:

2461628 A rendszer ismétlődően hitelesítő adatokat kér egy összevont felhasználótól az Office 365-be, az Azure-ba vagy az Intune-ba való bejelentkezés során.

3. módszer: Futtassa újra az AD FS-proxykonfigurációs varázslót

Ehhez futtassa újra az AD FS összevonási kiszolgáló proxybeállítási varázslóját az érintett AD FS-proxykiszolgálók Felügyeleti eszközök felületéről.

Megjegyzés

A konfigurációs varázsló újrafuttatáskor általában figyelmeztetést kap a böngésző bejelentkezési webhelyének telepítése lépéstől. Ez nem jelzi azt, hogy a varázsló nem építi újra az AD FS-proxykiszolgáló és az AD FS összevonási szolgáltatás közötti megbízhatóságot.

További információ

Az AD FS szolgáltatás az AD FS proxykiszolgálón keresztüli internetes elérhetővéjáról a következő Microsoft-webhelyen talál további információt:

Az AD FS 2.0 megtervz és üzembe helyezése egyszeri bejelentkezéssel való használatra

További segítségre van szüksége? Lépjen a Microsoft közösség oldalra.