Problemen met Azure Active Directory naadloze single Sign-On oplossenTroubleshoot Azure Active Directory Seamless Single Sign-On

In dit artikel vindt u informatie over het oplossen van problemen met bekende problemen met Azure Active Directory (Azure AD) naadloze single Sign-On (naadloze SSO).This article helps you find troubleshooting information about common problems regarding Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO).

Bekende problemenKnown issues

  • In enkele gevallen kan het inschakelen van naadloze SSO tot wel 30 minuten duren.In a few cases, enabling Seamless SSO can take up to 30 minutes.
  • Als u naadloze SSO op uw Tenant uitschakelt en weer inschakelt, krijgen gebruikers niet de mogelijkheid tot eenmalige aanmelding te zien, en zijn de in de cache geplaatste Kerberos-tickets, die doorgaans 10 uur geldig zijn, verlopen.If you disable and re-enable Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets, typically valid for 10 hours, have expired.
  • Als naadloze SSO is geslaagd, is de gebruiker niet in staat om aangemeld te blijven selecteren.If Seamless SSO succeeds, the user does not have the opportunity to select Keep me signed in. Vanwege dit gedrag werken share point-en OneDrive-toewijzings scenario's niet.Due to this behavior, SharePoint and OneDrive mapping scenarios don't work.
  • Microsoft 365 Win32-clients (Outlook, Word, Excel en andere) met versies 16.0.8730. xxxx en hoger worden ondersteund met behulp van een niet-interactieve stroom.Microsoft 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. Andere versies worden niet ondersteund. op deze versies voeren gebruikers hun gebruikers namen in, maar geen wacht woorden, om zich aan te melden.Other versions are not supported; on those versions, users will enter their usernames, but not passwords, to sign-in. Voor OneDrive moet u de functie voor stil configuratie van onedrive activeren voor een stille aanmeldings ervaring.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Naadloze SSO werkt niet in de modus voor persoonlijke navigatie op Firefox.Seamless SSO doesn't work in private browsing mode on Firefox.
  • Naadloze SSO werkt niet in Internet Explorer wanneer de uitgebreide beveiligde modus is ingeschakeld.Seamless SSO doesn't work in Internet Explorer when Enhanced Protected mode is turned on.
  • Naadloze SSO werkt niet op mobiele browsers op iOS en Android.Seamless SSO doesn't work on mobile browsers on iOS and Android.
  • Als een gebruiker deel uitmaakt van te veel groepen in Active Directory, is het Kerberos-ticket van de gebruiker waarschijnlijk te groot om te verwerken, waardoor naadloze SSO niet kan worden uitgevoerd.If a user is part of too many groups in Active Directory, the user's Kerberos ticket will likely be too large to process, and this will cause Seamless SSO to fail. HTTPS-aanvragen van Azure AD kunnen kopteksten hebben met een maximale grootte van 50 KB. Kerberos-tickets moeten kleiner zijn dan die limiet voor andere Azure AD-artefacten (meestal 2-5 KB), zoals cookies.Azure AD HTTPS requests can have headers with a maximum size of 50 KB; Kerberos tickets need to be smaller than that limit to accommodate other Azure AD artifacts (typically, 2 - 5 KB) such as cookies. U kunt het beste de groepslid maatschappen van de gebruiker verminderen en het opnieuw proberen.Our recommendation is to reduce user's group memberships and try again.
  • Als u 30 of meer Active Directory-forests wilt synchroniseren, kunt u naadloze eenmalige aanmelding via Azure AD Connect niet inschakelen.If you're synchronizing 30 or more Active Directory forests, you can't enable Seamless SSO through Azure AD Connect. Als tijdelijke oplossing kunt u de functie hand matig inschakelen op uw Tenant.As a workaround, you can manually enable the feature on your tenant.
  • Als de Azure AD-service-URL () wordt toegevoegd https://autologon.microsoftazuread-sso.com aan de zone met vertrouwde websites in plaats van de zone Lokaal intranet, blokkeert u de aanmelding van gebruikers.Adding the Azure AD service URL (https://autologon.microsoftazuread-sso.com) to the Trusted sites zone instead of the Local intranet zone blocks users from signing in.
  • Naadloze SSO ondersteunt de AES256_HMAC_SHA1, AES128_HMAC_SHA1 en RC4_HMAC_MD5 versleutelings typen voor Kerberos.Seamless SSO supports the AES256_HMAC_SHA1, AES128_HMAC_SHA1 and RC4_HMAC_MD5 encryption types for Kerberos. Het is raadzaam om het versleutelings type voor de AzureADSSOAcc $-account in te stellen op AES256_HMAC_SHA1, of een van de AES-typen versus RC4 voor extra beveiliging.It is recommended that the encryption type for the AzureADSSOAcc$ account is set to AES256_HMAC_SHA1, or one of the AES types vs. RC4 for added security. Het versleutelings type wordt opgeslagen in het kenmerk msDS-SupportedEncryptionTypes van het account in uw Active Directory.The encryption type is stored on the msDS-SupportedEncryptionTypes attribute of the account in your Active Directory. Als het versleutelings type AzureADSSOAcc $-account is ingesteld op RC4_HMAC_MD5 en u het wilt wijzigen in een van de AES-versleutelings typen, moet u ervoor zorgen dat u de eerste keer de Kerberos-ontsleutelingssleutel van het AzureADSSOAcc $-account uitschakelt, zoals wordt uitgelegd in het document met veelgestelde vragen onder de relevante vraag, anders wordt naadloze SSO niet uitgevoerd.If the AzureADSSOAcc$ account encryption type is set to RC4_HMAC_MD5, and you want to change it to one of the AES encryption types, please make sure that you first roll over the Kerberos decryption key of the AzureADSSOAcc$ account as explained in the FAQ document under the relevant question, otherwise Seamless SSO will not happen.
  • Als u meer dan één forest met forestvertrouwensrelatie hebt en u eenmalige aanmelding in een van de forests inschakelt, schakelt u SSO in in alle vertrouwde forests.If you have more than one forest with forest trust, enabling SSO in one of the forests, will enable SSO in all trusted forests. Als u SSO inschakelt in een forest waarin SSO al is ingeschakeld, wordt er een fout bericht weer gegeven dat de SSO al is ingeschakeld in het forest.If you enable SSO in a forest where SSO is already enabled, you'll get an error saying that SSO is already enabled in the forest.

De status van de functie controlerenCheck status of feature

Zorg ervoor dat de functie naadloze SSO nog steeds is ingeschakeld voor uw Tenant.Ensure that the Seamless SSO feature is still Enabled on your tenant. U kunt de status controleren door naar het deel venster Azure AD Connect in het Azure Active Directory beheer centrumte gaan.You can check the status by going to the Azure AD Connect pane in the Azure Active Directory admin center.

Azure Active Directory-beheer centrum: Azure AD Connect deel venster

Klik op door om alle AD-forests weer te geven die zijn ingeschakeld voor naadloze SSO.Click through to see all the AD forests that have been enabled for Seamless SSO.

Azure Active Directory-beheer centrum: naadloze SSO-deel venster

Redenen voor aanmelden is mislukt in het Azure Active Directory-beheer centrum (hiervoor is een Premium-licentie vereist)Sign-in failure reasons in the Azure Active Directory admin center (needs a Premium license)

Als aan uw Tenant een Azure AD Premium-licentie is gekoppeld, kunt u ook kijken naar het rapport aanmeldings activiteit in het Azure Active Directory beheer centrum.If your tenant has an Azure AD Premium license associated with it, you can also look at the sign-in activity report in the Azure Active Directory admin center.

Azure Active Directory beheer centrum: rapporten van aanmeldingen

Blader naar Azure Active Directory > aanmeldingen in het Azure Active Directory beheer centrumen selecteer vervolgens de aanmeldings activiteit van een specifieke gebruiker.Browse to Azure Active Directory > Sign-ins in the Azure Active Directory admin center, and then select a specific user's sign-in activity. Zoek het veld met de fout code voor de aanmelding.Look for the SIGN-IN ERROR CODE field. Wijs de waarde van dat veld toe aan een fout reden en een oplossing met behulp van de volgende tabel:Map the value of that field to a failure reason and resolution by using the following table:

Fout code voor aanmeldenSign-in error code Reden voor aanmeldings foutSign-in failure reason OplossingResolution
8100181001 Kerberos-ticket van de gebruiker is te groot.User's Kerberos ticket is too large. Reduceer het aantal groepslidmaatschappen van de gebruiker en probeer het opnieuw.Reduce the user's group memberships and try again.
8100281002 Kan het Kerberos-ticket van de gebruiker niet valideren.Unable to validate the user's Kerberos ticket. Raadpleeg de controle lijst voor probleem oplossing.See the troubleshooting checklist.
8100381003 Kan het Kerberos-ticket van de gebruiker niet valideren.Unable to validate the user's Kerberos ticket. Raadpleeg de controle lijst voor probleem oplossing.See the troubleshooting checklist.
8100481004 Poging tot Kerberos-verificatie is mislukt.Kerberos authentication attempt failed. Raadpleeg de controle lijst voor probleem oplossing.See the troubleshooting checklist.
8100881008 Kan het Kerberos-ticket van de gebruiker niet valideren.Unable to validate the user's Kerberos ticket. Raadpleeg de controle lijst voor probleem oplossing.See the troubleshooting checklist.
8100981009 Kan het Kerberos-ticket van de gebruiker niet valideren.Unable to validate the user's Kerberos ticket. Raadpleeg de controle lijst voor probleem oplossing.See the troubleshooting checklist.
8101081010 Naadloze eenmalige aanmelding is mislukt omdat het Kerberos-ticket van de gebruiker is verlopen of ongeldig is.Seamless SSO failed because the user's Kerberos ticket has expired or is invalid. De gebruiker moet zich aanmelden vanaf een apparaat dat lid is van een domein in uw bedrijfs netwerk.The user needs to sign in from a domain-joined device inside your corporate network.
8101181011 Kan het gebruikers object niet vinden op basis van de informatie in het Kerberos-ticket van de gebruiker.Unable to find the user object based on the information in the user's Kerberos ticket. Gebruik Azure AD Connect om de gebruikers gegevens te synchroniseren met Azure AD.Use Azure AD Connect to synchronize the user's information into Azure AD.
8101281012 De gebruiker die zich probeert aan te melden bij Azure AD wijkt af van de gebruiker die is aangemeld bij het apparaat.The user trying to sign in to Azure AD is different from the user that is signed in to the device. De gebruiker moet zich aanmelden vanaf een ander apparaat.The user needs to sign in from a different device.
8101381013 Kan het gebruikers object niet vinden op basis van de informatie in het Kerberos-ticket van de gebruiker.Unable to find the user object based on the information in the user's Kerberos ticket. Gebruik Azure AD Connect om de gebruikers gegevens te synchroniseren met Azure AD.Use Azure AD Connect to synchronize the user's information into Azure AD.

Controlelijst voor probleemoplossingTroubleshooting checklist

Gebruik de volgende controle lijst om problemen met naadloze SSO op te lossen:Use the following checklist to troubleshoot Seamless SSO problems:

  • Zorg ervoor dat de functie naadloze SSO is ingeschakeld in Azure AD Connect.Ensure that the Seamless SSO feature is enabled in Azure AD Connect. Als u de functie niet kunt inschakelen (bijvoorbeeld vanwege een geblokkeerde poort), moet u ervoor zorgen dat u beschikt over alle vereiste onderdelen .If you can't enable the feature (for example, due to a blocked port), ensure that you have all the prerequisites in place.
  • Als u Azure AD-deelname en naadloze SSO hebt ingeschakeld voor uw Tenant, moet u ervoor zorgen dat het probleem niet is met Azure AD-deelname.If you have enabled both Azure AD Join and Seamless SSO on your tenant, ensure that the issue is not with Azure AD Join. SSO van Azure AD join heeft voor rang op naadloze SSO als het apparaat is geregistreerd bij Azure AD en lid is van een domein.SSO from Azure AD Join takes precedence over Seamless SSO if the device is both registered with Azure AD and domain-joined. Met SSO van Azure AD-deelname ziet de gebruiker een aanmeldings tegel met de tekst ' verbonden met Windows '.With SSO from Azure AD Join the user sees a sign-in tile that says "Connected to Windows".
  • Zorg ervoor dat de Azure AD-URL ( https://autologon.microsoftazuread-sso.com ) deel uitmaakt van de intranet zone-instellingen van de gebruiker.Ensure that the Azure AD URL (https://autologon.microsoftazuread-sso.com) is part of the user's Intranet zone settings.
  • Zorg ervoor dat het bedrijfs apparaat is gekoppeld aan het Active Directory domein.Ensure that the corporate device is joined to the Active Directory domain. Het apparaat hoeft geen lid te zijn van Azure AD voor naadloze SSO.The device doesn't need to be Azure AD Joined for Seamless SSO to work.
  • Zorg ervoor dat de gebruiker is aangemeld bij het apparaat via een Active Directory domein account.Ensure that the user is logged on to the device through an Active Directory domain account.
  • Zorg ervoor dat het account van de gebruiker afkomstig is van een Active Directory-forest waar naadloze SSO is ingesteld.Ensure that the user's account is from an Active Directory forest where Seamless SSO has been set up.
  • Zorg ervoor dat het apparaat is verbonden met het bedrijfs netwerk.Ensure that the device is connected to the corporate network.
  • Zorg ervoor dat de tijd van het apparaat wordt gesynchroniseerd met de tijd in zowel Active Directory als de domein controllers en dat ze binnen vijf minuten van elkaar zijn.Ensure that the device's time is synchronized with the time in both Active Directory and the domain controllers, and that they are within five minutes of each other.
  • Zorg ervoor dat het AZUREADSSOACC computer account aanwezig is en is ingeschakeld in elk AD-forest waarvoor u naadloze SSO wilt inschakelen.Ensure that the AZUREADSSOACC computer account is present and enabled in each AD forest that you want Seamless SSO enabled. Als het computer account is verwijderd of ontbreekt, kunt u de Power shell-cmdlets gebruiken om ze opnieuw te maken.If the computer account has been deleted or is missing, you can use PowerShell cmdlets to re-create them.
  • De bestaande Kerberos-tickets op het apparaat weer geven met behulp klist van de opdracht vanaf een opdracht prompt.List the existing Kerberos tickets on the device by using the klist command from a command prompt. Zorg ervoor dat de tickets die zijn uitgegeven voor het AZUREADSSOACC computer account aanwezig zijn.Ensure that the tickets issued for the AZUREADSSOACC computer account are present. De Kerberos-tickets van gebruikers zijn doorgaans 10 uur geldig.Users' Kerberos tickets are typically valid for 10 hours. Er zijn mogelijk verschillende instellingen in Active Directory.You might have different settings in Active Directory.
  • Als u naadloze SSO op uw Tenant hebt uitgeschakeld en opnieuw hebt ingeschakeld, krijgen gebruikers niet de mogelijkheid om eenmalige aanmelding te ontvangen. de Kerberos-tickets in de cache zijn verlopen.If you disabled and re-enabled Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets have expired.
  • Verwijder bestaande Kerberos-tickets van het apparaat met behulp van de klist purge opdracht en probeer het opnieuw.Purge existing Kerberos tickets from the device by using the klist purge command, and try again.
  • Raadpleeg de console logboeken van de browser (onder Ontwikkelhulpprogramma's) om te bepalen of er problemen zijn met Java script.To determine if there are JavaScript-related problems, review the console logs of the browser (under Developer Tools).
  • Controleer de Logboeken van de domein controller.Review the domain controller logs.

Domein controller logboekenDomain controller logs

Als u geslaagde controle op de domein controller inschakelt, wordt er telkens wanneer een gebruiker zich aanmeldt via naadloze SSO, een beveiligings vermelding vastgelegd in het gebeurtenis logboek.If you enable success auditing on your domain controller, then every time a user signs in through Seamless SSO, a security entry is recorded in the event log. U kunt deze beveiligings gebeurtenissen vinden met behulp van de volgende query.You can find these security events by using the following query. (Zoek naar gebeurtenis 4769 die is gekoppeld aan het computer account AzureADSSOAcc $.)(Look for event 4769 associated with the computer account AzureADSSOAcc$.)

    <QueryList>
      <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
      </Query>
    </QueryList>

Hand matig opnieuw instellen van de functieManual reset of the feature

Als u het probleem niet kunt oplossen, kunt u de functie hand matig opnieuw instellen op uw Tenant.If troubleshooting didn't help, you can manually reset the feature on your tenant. Volg deze stappen op de on-premises server waarop u Azure AD Connect uitvoert.Follow these steps on the on-premises server where you're running Azure AD Connect.

Stap 1: de naadloze SSO Power shell-module importerenStep 1: Import the Seamless SSO PowerShell module

  1. Down load en installeer eerst Azure AD Power shell.First, download, and install Azure AD PowerShell.
  2. Blader naar de map %programfiles%\Microsoft Azure Active Directory Connect.Browse to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  3. Importeer de naadloze SSO Power shell-module met behulp van deze opdracht: Import-Module .\AzureADSSO.psd1 .Import the Seamless SSO PowerShell module by using this command: Import-Module .\AzureADSSO.psd1.

Stap 2: de lijst met Active Directory forests ophalen waarop naadloze SSO is ingeschakeldStep 2: Get the list of Active Directory forests on which Seamless SSO has been enabled

  1. Voer PowerShell uit als beheerder.Run PowerShell as an administrator. Bel in Power shell New-AzureADSSOAuthenticationContext .In PowerShell, call New-AzureADSSOAuthenticationContext. Voer de referenties van de globale beheerder van uw Tenant in wanneer dit wordt gevraagd.When prompted, enter your tenant's global administrator credentials.
  2. Aanroep Get-AzureADSSOStatus .Call Get-AzureADSSOStatus. Met deze opdracht geeft u de lijst met Active Directory forests weer (Bekijk de lijst ' domeinen ') waarop deze functie is ingeschakeld.This command provides you with the list of Active Directory forests (look at the "Domains" list) on which this feature has been enabled.

Stap 3: naadloze SSO uitschakelen voor elke Active Directory forest waarin u de functie hebt ingesteldStep 3: Disable Seamless SSO for each Active Directory forest where you've set up the feature

  1. Aanroep $creds = Get-Credential .Call $creds = Get-Credential. Wanneer u hierom wordt gevraagd, voert u de referenties voor de domein beheerder in voor het beoogde Active Directory-forest.When prompted, enter the domain administrator credentials for the intended Active Directory forest.

    Notitie

    De gebruikers naam van de domein beheerder referenties moet worden opgegeven in de indeling SAM-account naam (contoso\johndoe of contoso. com\johndoe).The domain administrator credentials username must be entered in the SAM account name format (contoso\johndoe or contoso.com\johndoe). We gebruiken het domein gedeelte van de gebruikers naam voor het zoeken van de domein controller van de domein beheerder met behulp van DNS.We use the domain portion of the username to locate the Domain Controller of the Domain Administrator using DNS.

    Notitie

    Het domein beheerders account dat wordt gebruikt, mag geen lid zijn van de groep met beveiligde gebruikers.The domain administrator account used must not be a member of the Protected Users group. Als dit het geval is, mislukt de bewerking.If so, the operation will fail.

  2. Aanroep Disable-AzureADSSOForest -OnPremCredentials $creds .Call Disable-AzureADSSOForest -OnPremCredentials $creds. Met deze opdracht wordt het AZUREADSSOACC computer account van de on-premises domein controller verwijderd voor dit specifieke Active Directory-forest.This command removes the AZUREADSSOACC computer account from the on-premises domain controller for this specific Active Directory forest.

  3. Herhaal de voor gaande stappen voor elke Active Directory forest waarin u de functie hebt ingesteld.Repeat the preceding steps for each Active Directory forest where you’ve set up the feature.

Stap 4: naadloze SSO inschakelen voor elke Active Directory-forestStep 4: Enable Seamless SSO for each Active Directory forest

  1. Aanroep Enable-AzureADSSOForest .Call Enable-AzureADSSOForest. Wanneer u hierom wordt gevraagd, voert u de referenties voor de domein beheerder in voor het beoogde Active Directory-forest.When prompted, enter the domain administrator credentials for the intended Active Directory forest.

    Notitie

    De gebruikers naam van de domein beheerder referenties moet worden opgegeven in de indeling SAM-account naam (contoso\johndoe of contoso. com\johndoe).The domain administrator credentials username must be entered in the SAM account name format (contoso\johndoe or contoso.com\johndoe). We gebruiken het domein gedeelte van de gebruikers naam voor het zoeken van de domein controller van de domein beheerder met behulp van DNS.We use the domain portion of the username to locate the Domain Controller of the Domain Administrator using DNS.

    Notitie

    Het domein beheerders account dat wordt gebruikt, mag geen lid zijn van de groep met beveiligde gebruikers.The domain administrator account used must not be a member of the Protected Users group. Als dit het geval is, mislukt de bewerking.If so, the operation will fail.

  2. Herhaal de vorige stap voor elke Active Directory forest waarin u de functie wilt instellen.Repeat the preceding step for each Active Directory forest where you want to set up the feature.

Stap 5.Step 5. De functie inschakelen op uw TenantEnable the feature on your tenant

Als u de functie wilt inschakelen voor uw Tenant, roept u op Enable-AzureADSSO -Enable $true .To turn on the feature on your tenant, call Enable-AzureADSSO -Enable $true.