Azure Active Directory naadloze eenmalige aanmelding oplossenTroubleshoot Azure Active Directory Seamless Single Sign-On

In dit artikel helpt u bij het oplossen van problemen informatie over veelvoorkomende problemen met betrekking tot Azure Active Directory (Azure AD) naadloze eenmalige aanmelding (naadloze eenmalige aanmelding).This article helps you find troubleshooting information about common problems regarding Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO).

Bekende problemenKnown issues

  • In sommige gevallen, kan naadloze eenmalige aanmelding inschakelen maximaal 30 minuten duren.In a few cases, enabling Seamless SSO can take up to 30 minutes.
  • Als u uitschakelen en weer naadloze eenmalige aanmelding voor uw tenant inschakelen, krijgen gebruikers niet de ervaring voor eenmalige aanmelding tot hun in de cache Kerberos-tickets, worden doorgaans geldig voor 10 uur, zijn verlopen.If you disable and re-enable Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets, typically valid for 10 hours, have expired.
  • Ondersteuning van Microsoft Edge-browser is niet beschikbaar.Microsoft Edge browser support is not available.
  • Als u naadloze eenmalige aanmelding is geslaagd, de gebruiker heeft geen selecteren aangemeld blijven.If Seamless SSO succeeds, the user does not have the opportunity to select Keep me signed in. Vanwege dit gedrag scenario's voor SharePoint en OneDrive toewijzing werken niet.Due to this behavior, SharePoint and OneDrive mapping scenarios don't work.
  • Office 365 Win32-clients (Outlook, Word, Excel en andere) met versies 16.0.8730.xxxx en hoger worden ondersteund met behulp van een niet-interactieve stroom.Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. Andere versies worden niet ondersteund. op deze versies voert gebruikers de gebruikersnamen, maar niet met wachtwoorden, om aan te melden.Other versions are not supported; on those versions, users will enter their usernames, but not passwords, to sign-in. Voor OneDrive, hebt u activeren, de OneDrive op de achtergrond config functie voor een ervaring voor op de achtergrond.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Naadloze eenmalige aanmelding werkt niet in de privémodus bladeren in Firefox.Seamless SSO doesn't work in private browsing mode on Firefox.
  • Naadloze eenmalige aanmelding werkt niet in Internet Explorer als uitgebreide beveiligde modus is ingeschakeld.Seamless SSO doesn't work in Internet Explorer when Enhanced Protected mode is turned on.
  • Naadloze eenmalige aanmelding werkt niet op mobiele browsers op iOS en Android.Seamless SSO doesn't work on mobile browsers on iOS and Android.
  • Als een gebruiker deel van te veel groepen in Active Directory uitmaakt, Kerberos-ticket van de gebruiker waarschijnlijk zal zijn te groot om te verwerken en dit zorgt voor naadloze eenmalige aanmelding mislukken.If a user is part of too many groups in Active Directory, the user's Kerberos ticket will likely be too large to process, and this will cause Seamless SSO to fail. Azure AD-HTTPS-aanvragen kunnen headers met een maximale grootte van 50 KB; hebben Kerberos-tickets moeten kleiner zijn dan deze limiet voor andere Azure AD-artefacten (meestal 2-5 KB), zoals cookies.Azure AD HTTPS requests can have headers with a maximum size of 50 KB; Kerberos tickets need to be smaller than that limit to accommodate other Azure AD artifacts (typically, 2 - 5 KB) such as cookies. Onze aanbeveling is het verminderen van groepslidmaatschappen van gebruiker en probeer het opnieuw.Our recommendation is to reduce user's group memberships and try again.
  • Als u 30 of meer Active Directory-forests synchroniseren bent, kunt u naadloze eenmalige aanmelding via Azure AD Connect niet inschakelen.If you're synchronizing 30 or more Active Directory forests, you can't enable Seamless SSO through Azure AD Connect. Als tijdelijke oplossing, kunt u handmatig in te schakelen de functie op uw tenant.As a workaround, you can manually enable the feature on your tenant.
  • Toevoegen van de URL van de Azure AD-service (https://autologon.microsoftazuread-sso.com) aan de zone Vertrouwde websites in plaats van de lokale intranetzone wordt voorkomen dat gebruikers zich.Adding the Azure AD service URL (https://autologon.microsoftazuread-sso.com) to the Trusted sites zone instead of the Local intranet zone blocks users from signing in.
  • Naadloze eenmalige aanmelding gebruikt de RC4_HMAC_MD5 versleutelingstype voor Kerberos.Seamless SSO uses the RC4_HMAC_MD5 encryption type for Kerberos. Uitschakelen van het gebruik van de RC4_HMAC_MD5 versleutelingstype in uw Active Directory-instellingen, naadloze eenmalige aanmelding worden verbroken.Disabling the use of the RC4_HMAC_MD5 encryption type in your Active Directory settings will break Seamless SSO. In de Editor voor Groepsbeleidsbeheer hulpprogramma ervoor te zorgen dat de beleidswaarde voor RC4_HMAC_MD5 onder Computerconfiguratie > Windows-instellingen -> Beveiligingsinstellingen -> lokaal beleid Beveiligingsopties - -> > ' Netwerkbeveiliging: Voor Kerberos toegestane versleutelingstypen configureren' is ingeschakeld.In your Group Policy Management Editor tool ensure that the policy value for RC4_HMAC_MD5 under Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> "Network Security: Configure encryption types allowed for Kerberos" is enabled. Bovendien naadloze eenmalige aanmelding kan geen andere versleutelingstypen gebruiken, dus zorg ervoor dat ze zijn uitgeschakeld.In addition, Seamless SSO can't use other encryption types, so ensure that they are disabled.

Controleer de status van de functieCheck status of feature

Zorg ervoor dat de functie voor naadloze eenmalige aanmelding nog steeds is ingeschakeld op uw tenant.Ensure that the Seamless SSO feature is still Enabled on your tenant. U kunt de status controleren door te gaan naar de Azure AD Connect deelvenster in de Azure Active Directory-beheercentrum.You can check the status by going to the Azure AD Connect pane in the Azure Active Directory admin center.

Azure Active Directory-beheercentrum: Deelvenster in de Azure AD Connect

Klik op om te zien van alle AD-forests die zijn ingeschakeld voor naadloze eenmalige aanmelding.Click through to see all the AD forests that have been enabled for Seamless SSO.

Azure Active Directory-beheercentrum: Deelvenster met naadloze eenmalige aanmelding

Oorzaken voor het aanmelden mislukken in het Azure Active Directory-beheercentrum (een Premium-licentie vereist)Sign-in failure reasons in the Azure Active Directory admin center (needs a Premium license)

Als uw tenant een Azure AD Premium-licentie die is gekoppeld heeft, kunt u ook zoeken op de rapport van aanmeldingsactiviteiten in de Azure Active Directory-beheercentrum.If your tenant has an Azure AD Premium license associated with it, you can also look at the sign-in activity report in the Azure Active Directory admin center.

Azure Active Directory-beheercentrum: Aanmeldingenrapport

Blader naar Azure Active Directory > aanmeldingen in de Azure Active Directory-beheercentrum, en selecteer vervolgens de aanmeldingsactiviteiten voor een specifieke gebruiker.Browse to Azure Active Directory > Sign-ins in the Azure Active Directory admin center, and then select a specific user's sign-in activity. Zoek de FOUTCODE voor aanmelding door veld.Look for the SIGN-IN ERROR CODE field. De waarde van dat veld worden toegewezen aan een reden van fout en een oplossing met behulp van de volgende tabel:Map the value of that field to a failure reason and resolution by using the following table:

Fout bij aanmelden codeSign-in error code Reden van fout-aanmeldingSign-in failure reason OplossingResolution
8100181001 Kerberos-ticket van de gebruiker is te groot.User's Kerberos ticket is too large. Reduceer het aantal groepslidmaatschappen van de gebruiker en probeer het opnieuw.Reduce the user's group memberships and try again.
8100281002 Kan niet valideren van het Kerberos-ticket van de gebruiker.Unable to validate the user's Kerberos ticket. Zie de controlelijst voor probleemoplossing.See the troubleshooting checklist.
8100381003 Kan niet valideren van het Kerberos-ticket van de gebruiker.Unable to validate the user's Kerberos ticket. Zie de controlelijst voor probleemoplossing.See the troubleshooting checklist.
8100481004 Poging tot Kerberos-verificatie is mislukt.Kerberos authentication attempt failed. Zie de controlelijst voor probleemoplossing.See the troubleshooting checklist.
8100881008 Kan niet valideren van het Kerberos-ticket van de gebruiker.Unable to validate the user's Kerberos ticket. Zie de controlelijst voor probleemoplossing.See the troubleshooting checklist.
8100981009 Kan niet valideren van het Kerberos-ticket van de gebruiker.Unable to validate the user's Kerberos ticket. Zie de controlelijst voor probleemoplossing.See the troubleshooting checklist.
8101081010 Naadloze eenmalige aanmelding is mislukt omdat het Kerberos-ticket van de gebruiker is verlopen of ongeldig is.Seamless SSO failed because the user's Kerberos ticket has expired or is invalid. De gebruiker moet zich aanmelden vanaf een apparaat lid is van een domein binnen uw bedrijfsnetwerk.The user needs to sign in from a domain-joined device inside your corporate network.
8101181011 Kan niet vinden van het gebruikersobject op basis van de informatie in de Kerberos-ticket van de gebruiker.Unable to find the user object based on the information in the user's Kerberos ticket. Azure AD Connect gebruiken om gegevens van de gebruiker in Azure AD te synchroniseren.Use Azure AD Connect to synchronize the user's information into Azure AD.
8101281012 De gebruiker zich aanmelden bij Azure AD verschilt van de gebruiker die is aangemeld bij het apparaat.The user trying to sign in to Azure AD is different from the user that is signed in to the device. De gebruiker moet zich aanmelden vanaf een ander apparaat.The user needs to sign in from a different device.
8101381013 Kan niet vinden van het gebruikersobject op basis van de informatie in de Kerberos-ticket van de gebruiker.Unable to find the user object based on the information in the user's Kerberos ticket. Azure AD Connect gebruiken om gegevens van de gebruiker in Azure AD te synchroniseren.Use Azure AD Connect to synchronize the user's information into Azure AD.

Controlelijst voor probleemoplossingTroubleshooting checklist

Gebruik de volgende controlelijst om problemen met naadloze eenmalige aanmelding:Use the following checklist to troubleshoot Seamless SSO problems:

  • Zorg ervoor dat de functie voor naadloze eenmalige aanmelding is ingeschakeld in Azure AD Connect.Ensure that the Seamless SSO feature is enabled in Azure AD Connect. Als u de functie (bijvoorbeeld, als gevolg van een geblokkeerde-poort) kan niet inschakelt, zorgt u ervoor dat u beschikt over alle de vereisten op locatie.If you can't enable the feature (for example, due to a blocked port), ensure that you have all the prerequisites in place.
  • Als u beide hebt ingeschakeld Azure AD Join en naadloze eenmalige aanmelding in uw tenant, zorg ervoor dat het probleem niet met Azure AD Join.If you have enabled both Azure AD Join and Seamless SSO on your tenant, ensure that the issue is not with Azure AD Join. Eenmalige aanmelding van Azure AD Join heeft voorrang op naadloze eenmalige aanmelding als het apparaat geregistreerd bij Azure AD en domein is.SSO from Azure AD Join takes precedence over Seamless SSO if the device is both registered with Azure AD and domain-joined. Met eenmalige aanmelding via de Azure AD Join ziet de gebruiker een tegel voor aanmelding met de tekst 'Verbonden aan Windows'.With SSO from Azure AD Join the user sees a sign-in tile that says "Connected to Windows".
  • Zorg ervoor dat de Azure AD-URL (https://autologon.microsoftazuread-sso.com) maakt deel uit van de intranetinstellingen zone van de gebruiker.Ensure that the Azure AD URL (https://autologon.microsoftazuread-sso.com) is part of the user's Intranet zone settings.
  • Zorg ervoor dat het bedrijfsapparaat is gekoppeld aan het Active Directory-domein.Ensure that the corporate device is joined to the Active Directory domain. Het apparaat niet moet Azure AD join voor naadloze eenmalige aanmelding om te werken.The device doesn't need to be Azure AD Joined for Seamless SSO to work.
  • Zorg ervoor dat de gebruiker is aangemeld bij het apparaat wordt via Active Directory-domein-account.Ensure that the user is logged on to the device through an Active Directory domain account.
  • Zorg ervoor dat het gebruikersaccount is van een Active Directory-forest waarbij naadloze eenmalige aanmelding is ingesteld.Ensure that the user's account is from an Active Directory forest where Seamless SSO has been set up.
  • Zorg ervoor dat het apparaat is verbonden met het bedrijfsnetwerk bevinden.Ensure that the device is connected to the corporate network.
  • Zorg ervoor dat de tijd van het apparaat is gesynchroniseerd met de tijd in Active Directory en de domeincontrollers en dat ze zich binnen vijf minuten van elkaar.Ensure that the device's time is synchronized with the time in both Active Directory and the domain controllers, and that they are within five minutes of each other.
  • Zorg ervoor dat de AZUREADSSOACC computeraccount in elk AD-forest dat u wilt dat naadloze eenmalige aanmelding ingeschakeld is aanwezig en ingeschakeld.Ensure that the AZUREADSSOACC computer account is present and enabled in each AD forest that you want Seamless SSO enabled. Als het computeraccount is verwijderd of ontbreekt, kunt u PowerShell-cmdlets om opnieuw te maken.If the computer account has been deleted or is missing, you can use PowerShell cmdlets to re-create them.
  • Lijst van de bestaande Kerberos-tickets op het apparaat met behulp van de klist opdracht uit vanaf een opdrachtprompt.List the existing Kerberos tickets on the device by using the klist command from a command prompt. Zorg ervoor dat de tickets uitgegeven voor de AZUREADSSOACC computeraccount aanwezig zijn.Ensure that the tickets issued for the AZUREADSSOACC computer account are present. Gebruikers Kerberos-tickets zijn doorgaans geldig voor 10 uur.Users' Kerberos tickets are typically valid for 10 hours. Mogelijk hebt u verschillende instellingen in Active Directory.You might have different settings in Active Directory.
  • Als u uitgeschakeld en opnieuw ingeschakeld naadloze eenmalige aanmelding in uw tenant, krijgen gebruikers niet de ervaring voor eenmalige aanmelding tot hun Kerberos-tickets in de cache zijn verlopen.If you disabled and re-enabled Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets have expired.
  • Bestaande Kerberos-tickets van het apparaat verwijderen met behulp van de klist purge opdracht en probeer het opnieuw.Purge existing Kerberos tickets from the device by using the klist purge command, and try again.
  • Bekijk de logboeken van de console van de browser om te bepalen of er problemen met betrekking tot de JavaScript zijn, (onder hulpprogramma's voor ontwikkelaars).To determine if there are JavaScript-related problems, review the console logs of the browser (under Developer Tools).
  • Controleer de domain controller logboeken.Review the domain controller logs.

Domain controller LogboekenDomain controller logs

Als u de controle van geslaagde pogingen op uw domeincontroller en vervolgens telkens wanneer een gebruiker zich aanmeldt via naadloze eenmalige aanmelding inschakelt, wordt een vermelding security vastgelegd in het gebeurtenislogboek wordt geschreven.If you enable success auditing on your domain controller, then every time a user signs in through Seamless SSO, a security entry is recorded in the event log. U vindt deze beveiligingsgebeurtenissen met behulp van de volgende query uit.You can find these security events by using the following query. (Zoek naar gebeurtenis 4769 die zijn gekoppeld aan het computeraccount AzureADSSOAcc$ .)(Look for event 4769 associated with the computer account AzureADSSOAcc$.)

    <QueryList>
      <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
      </Query>
    </QueryList>

Handmatig opnieuw instellen van de functieManual reset of the feature

Als het oplossen van hebt gehad, kunt u de functie handmatig herstellen op uw tenant.If troubleshooting didn't help, you can manually reset the feature on your tenant. Volg deze stappen op de on-premises server waarop u Azure AD Connect wordt uitgevoerd.Follow these steps on the on-premises server where you're running Azure AD Connect.

Stap 1: De naadloze eenmalige aanmelding PowerShell-module importerenStep 1: Import the Seamless SSO PowerShell module

  1. Eerst, download en installeer Azure AD PowerShell.First, download, and install Azure AD PowerShell.
  2. Blader naar de map %programfiles%\Microsoft Azure Active Directory Connect.Browse to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  3. De naadloze eenmalige aanmelding PowerShell-module importeren met behulp van deze opdracht: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module by using this command: Import-Module .\AzureADSSO.psd1.

Stap 2: De lijst met Active Directory-forests waarop naadloze eenmalige aanmelding is ingeschakeldStep 2: Get the list of Active Directory forests on which Seamless SSO has been enabled

  1. Voer PowerShell uit als beheerder.Run PowerShell as an administrator. In PowerShell, roept u New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. Desgevraagd geeft u de hoofdbeheerdersreferenties van uw tenant.When prompted, enter your tenant's global administrator credentials.
  2. Bel Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. Met deze opdracht geeft u de lijst met Active Directory-forests (zoek op de lijst met 'Domeinen') op die deze functie is ingeschakeld.This command provides you with the list of Active Directory forests (look at the "Domains" list) on which this feature has been enabled.

Stap 3: Naadloze eenmalige aanmelding uitschakelen voor elk Active Directory-forest waar u de functie hebt ingesteldStep 3: Disable Seamless SSO for each Active Directory forest where you've set up the feature

  1. Bel $creds = Get-Credential.Call $creds = Get-Credential. Wanneer u wordt gevraagd, typt u de referenties voor de domeinbeheerder voor het beoogde Active Directory-forest.When prompted, enter the domain administrator credentials for the intended Active Directory forest.

    Notitie

    We gebruiken de domeinbeheerder username, opgegeven in de User Principal namen (UPN) (johndoe@contoso.com) indeling of domein gekwalificeerde sam-account,-naam (contoso\janjansen of contoso.com\johndoe), om te vinden van de beoogde AD-forest.We use the Domain Administrator's username, provided in the User Principal Names (UPN) (johndoe@contoso.com) format or the domain qualified sam-account name (contoso\johndoe or contoso.com\johndoe) format, to find the intended AD forest. Als u de domeinnaam van de gekwalificeerde sam-account gebruikt, gebruiken we het domeingedeelte van de gebruikersnaam voor vinden van de domeincontroller van de beheerder van het domein met behulp van DNS.If you use domain qualified sam-account name, we use the domain portion of the username to locate the Domain Controller of the Domain Administrator using DNS. Als u de UPN in plaats daarvan gebruiken we vertaald in een domein gekwalificeerde sam-accountnaam voordat het zoeken naar de desbetreffende domeincontroller.If you use UPN instead, we translate it to a domain qualified sam-account name before locating the appropriate Domain Controller.

  2. Bel Disable-AzureADSSOForest -OnPremCredentials $creds.Call Disable-AzureADSSOForest -OnPremCredentials $creds. Deze opdracht verwijdert u de AZUREADSSOACC computeraccount van de lokale domeincontroller voor dit specifieke Active Directory-forest.This command removes the AZUREADSSOACC computer account from the on-premises domain controller for this specific Active Directory forest.

  3. Herhaal de voorgaande stappen voor elk Active Directory-forest waar u de functie hebt ingesteld.Repeat the preceding steps for each Active Directory forest where you’ve set up the feature.

Stap 4: Naadloze eenmalige aanmelding inschakelen voor elk Active Directory-forestStep 4: Enable Seamless SSO for each Active Directory forest

  1. Bel Enable-AzureADSSOForest.Call Enable-AzureADSSOForest. Wanneer u wordt gevraagd, typt u de referenties voor de domeinbeheerder voor het beoogde Active Directory-forest.When prompted, enter the domain administrator credentials for the intended Active Directory forest.

    Notitie

    We gebruiken de domeinbeheerder username, opgegeven in de User Principal namen (UPN) (johndoe@contoso.com) indeling of domein gekwalificeerde sam-account,-naam (contoso\janjansen of contoso.com\johndoe), om te vinden van de beoogde AD-forest.We use the Domain Administrator's username, provided in the User Principal Names (UPN) (johndoe@contoso.com) format or the domain qualified sam-account name (contoso\johndoe or contoso.com\johndoe) format, to find the intended AD forest. Als u de domeinnaam van de gekwalificeerde sam-account gebruikt, gebruiken we het domeingedeelte van de gebruikersnaam voor vinden van de domeincontroller van de beheerder van het domein met behulp van DNS.If you use domain qualified sam-account name, we use the domain portion of the username to locate the Domain Controller of the Domain Administrator using DNS. Als u de UPN in plaats daarvan gebruiken we vertaald in een domein gekwalificeerde sam-accountnaam voordat het zoeken naar de desbetreffende domeincontroller.If you use UPN instead, we translate it to a domain qualified sam-account name before locating the appropriate Domain Controller.

  2. Herhaal de vorige stap voor elk Active Directory-forest waar u het instellen van de functie.Repeat the preceding step for each Active Directory forest where you want to set up the feature.

Stap 5.Step 5. De functie op uw tenant inschakelenEnable the feature on your tenant

Als u wilt inschakelen op de functie op uw tenant, aanroepen Enable-AzureADSSO -Enable $true.To turn on the feature on your tenant, call Enable-AzureADSSO -Enable $true.