Feilsøke tilkoblings problemer med AD FS-sluttpunkt når brukere logger seg på Office 365, Intune eller Azure

Obs!

Office 365 ProPlus får nytt navn og heter nå Microsoft 365-apper for enterprise. Hvis du vil ha mer informasjon om denne endringen, kan du lese dette blogginnlegget.

Problem

Når brukere logger seg på en Microsoft Cloud-tjeneste, for eksempel Office 365, Microsoft Intune eller Microsoft Azure ved hjelp av en samlet bruker konto, mislykkes tilkoblingen til Active Directory Federation Services (AD FS)-tjenesten bare når brukere prøver å gjøre følgende:

  • Koble deg til fra en ekstern Internett-plassering
  • Bruke e-posttilkoblinger til å logge på

Denne situasjonen fører også til at SSO-testing som utføres av Remote connectivity Analyzer mislykkes.

Hvis du vil ha mer informasjon om hvordan du kjører Remote connectivity Analyzer for å teste SSO-godkjenning i Office 365, kan du se følgende artikler i Microsoft Knowledge Base:

  • 2650717 slik bruker du ekstern tilkoblings analyse til å feilsøke problemer med enkel pålogging for Office 365, Azure eller Intune
  • 2466333 -brukere i forbund kan ikke koble til en Exchange Online-postboks

Årsak

Disse feilene kan oppstå hvis AD FS-tjenesten ikke vises på riktig måte på Internet t. Vanligvis brukes AD FS-proxy-serveren til dette formålet, og problemer med AD FS-proxy-serveren vil føre til disse symptomene. Vanlige problemer omfatter følgende:

  • Utløpt SSL-sertifikat som er tilordnet til AD FS-proxy-serveren

    Det samme SSL-sertifikatet brukes ofte til å sikre kommunikasjon (HTTPS) for både AD FS Federation-tjenesten og AD FS-proxy-serveren. Når dette sertifikatet er utløpt og sertifikatet blir fornyet eller oppdatert i farmen for AD FS Federation service, må SSL-sertifikatet også oppdateres på alle AD FS-proxy-servere. Hvis SSL-sertifikatet for AD FS-proxy-serveren ikke oppdateres i dette tilfellet, kan Internett-tilkoblinger til AD FS-tjenesten mislykkes, selv om annonsen for AD FS-Federation har statusen OK.

  • Feil konfigurasjon av godkjennings ende punkter for IIS

    Rollen til AD FS proxy-serveren er å motta Internett-kommunikasjon som dirigeres til AD FS, og til å vide res ende kommunikasjonen til AD FS Federation-tjenesten. Det er derfor viktig at innstillingen for IIS-godkjenning i AD FS Federation-tjenesten og proxy-serveren er komplementær. Når AD FS proxy-godkjennings innstillingene for IIS ikke er angitt til å komplementere godkjennings innstillingene for AD FS Federation service, kan pålogging mislykkes eller kan generere flere, uventede lede tekster.

  • Brutt klarering mellom AD FS-proxy-serveren og AD FS Federation-tjenesten

    AD FS-Proxy-tjenesten er utviklet for å installeres på en data maskin som ikke er knyttet til et domene. Derfor kan ikke kommunikasjonen mellom AD FS proxy-serveren og AD FS Federation-tjeneste tjenesten være basert på en Active Directory-klarering eller-legitimasjon. I stedet etableres kommunikasjonen mellom disse to server-rollene ved å bruke et token som er utstedt til AD FS-proxy-serveren av AD FS Federation-tjeneste og signert av AD FS token signering-sertifikatet. Når denne klareringen er utløpt eller ugyldig, kan ikke AD FS-Proxy-tjenesten vide res ende AD FS-forespørsler, og klareringen må bygges på nytt for å gjenopprette funksjonaliteten.

Løsning

Du kan løse dette problemet ved å bruke en av følgende metoder, avhengig av hva som passer i situasjonen, på alle feil proxy-servere for AD FS.

Metode 1: løse problemer med AD FS SSL-sertifikater på AD FS-serveren

Dette gjør du slik:

  1. Feilsøke SSL-sertifikat problemer på AD FS Federation-tjenesten (ikke proxy-tjenesten) ved å bruke følgende Microsoft Knowledge Base-artikkel:

    2523494 du mottar en sertifikat advarsel fra AD FS når du prøver å logge på Office 365, Azure eller Intune

  2. Hvis SSL-sertifikatet til tjeneste for AD FS Federation fungerer på riktig måte, oppdaterer du SSL-sertifikatet på AD FS-proxy-serveren ved hjelp av eksport-og import funksjonene for sertifikat. Hvis du vil ha mer informasjon, kan du se følgende artikkel i Microsoft Knowledge Base:
    179380 Slik fjerner, importerer og eksporterer du digitale sertifikater

Metode 2: tilbakestille proxy-innstillingene for IIS-godkjenning for AD FS til standard

Hvis du vil gjøre dette, følger du Fremgangs måten som er beskrevet i løsning 1 i følgende Microsoft Knowledge Base-artikkel for AD FS-proxy-serveren:

2461628 en sammenslått bruker blir gjentatte ganger bedt om å oppgi legitimasjon under pålogging til Office 365, Azure eller Intune

Metode 3: Kjør vei viseren for AD FS-proxy Configuration på nytt

Hvis du vil gjøre dette, kjører du vei viseren for proxy-konfigurasjon for AD FS-Federation fra grensesnittet for administrative verktøy på alle berørte AD FS-proxy-servere.

Obs!

Det er vanlig å motta en advarsel fra «Distribuer Netts IDen for pålogging på nettet» når du kjører konfigurasjons vei viseren på nytt. Dette er ikke en indikasjon på at vei viseren ikke gjenoppbygger klareringen mellom AD FS-proxy-serveren og AD FS Federation-tjenesten.

Mer informasjon

Hvis du vil ha mer informasjon om hvordan du eksponerer AD FS-tjenesten til Internet t ved hjelp av en AD FS-proxy-server, går du til følgende Microsoft-nettsted:

Planlegge for og distribuere AD FS 2,0 for bruk med enkel pålogging

Trenger du fremdeles hjelp? Gå til Microsoft Community.