Użytkownicy federacyjni nie mogą nawiązać połączenia ze skrzynką Exchange Online pocztowej

Symptomy

Użytkownik federowany nie może uwierzytelnić się w aplikacji Microsoft Outlook lub Microsoft Exchange ActiveSync przy użyciu smartfonu w systemie Exchange Online.

Przyczyna

Ten problem może wystąpić, jeśli jeden z następujących warunków jest prawdziwy:

  • Usługa lokalna usługa Active Directory federska (AD FS) 2.0 nie jest dostępna z publicznego Internetu.
  • Certyfikat Secure Sockets Layer (SSL) używany przez punkt końcowy usług AD FS 2.0 jest wydany przez urząd certyfikacji, który nie jest zaufany przez centrum danych usługi Exchange Online.

Bieżący punkt Exchange Online serwera Outlook korzysta z uwierzytelniania podstawowego lub uwierzytelniania serwera proxy. Oznacza to, że Outlook uwierzytelniają się w usłudze Outlook.com przy użyciu uwierzytelniania podstawowego. Jeśli Outlook.com ustali, że użytkownik jest użytkownikiem federacyjną, jego serwer proxy dla uwierzytelniania podstawowego za pośrednictwem protokołu SSL jest serwerem usług AD FS 2.0 tego użytkownika w imieniu klienta. Ta akcja uwierzytelnia użytkownika lokalnie i żąda żądania w języku SAML (Security Assertion Markup Language) lub tokenu dostępu dla użytkownika. Jeśli publicznie dostępny punkt końcowy usług AD FS 2.0 nie jest dostępny, proces uwierzytelniania nie powiedzie się, a użytkownikowi odmówiono dostępu do punktu końcowego usługi.

Użyj narzędzia Microsoft Remote Connectivity Analyzer, aby sprawdzić, czy lokalna usługa federacyjna usług AD FS 2.0 powoduje Outlook logowania u użytkowników federowanych. Aby to zrobić, wykonaj następujące kroki.

  1. W programie Internet Explorer przejdź do narzędzia Microsoft Remote Connectivity Analyzer.

  2. Wpisz adres e-mail i poświadczenia, zaznacz pole wyboru potwierdzania u dołu strony, wpisz kod weryfikacyjny, a następnie wybierz pozycję Przetestuj. Ten test należy uruchomić dwa razy. Uruchom test, używając każdego z następujących poświadczeń:

    • Konto federowane, które ma skrzynkę pocztową w u Exchange Online
    • Standardowe konto użytkownika, które ma skrzynkę pocztową w Exchange Online

    Zrzut ekranu przedstawiający stronę Microsoft Remote Connectivity Analyzer.

  3. Sprawdź wyniki obu testów, aby ustalić, czy program AD FS 2.0 nie Outlook błędem podczas logowania.

    1. Przechodzenie do szczegółów w następującym węźle drzewa Szczegóły testu:

      Testowanie łączności RPC/HTTP

      • Funkcja ExRCA próbuje przetestować automatyczne wykrywania dla john@contoso.com

      • Próby nabierania kontaktów z usługą wykrywania automatycznego przy każdej metodzie

      • Próba kontaktu z usługą wykrywania automatycznego przy użyciu metody przekierowywania HTTP

      • Próba wysłania żądania POST wykrywania automatycznego do potencjalnych adresów URL wykrywania automatycznego

      • ExRCA próbuje pobrać odpowiedź wykrywania automatycznego w formacie XML dla użytkownika z adresu URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml

        Zrzut ekranu przedstawiający skrzynkę pocztową z obsługą logowania jednokrotnego i standardowe wyniki testów skrzynki pocztowej.

    2. Sprawdź, czy są spełnione oba poniższe warunki:

      • Konto federowane nie może uzyskać dostępu do wykrywania automatycznego i otrzymuje komunikat o błędzie "Autoryzowana odpowiedź HTTP 401".
      • Standardowe konto użytkownika może uzyskać dostęp do wykrywania automatycznego.

    Jeśli oba warunki są spełnione, potwierdzono, że błędy logowania jednokrotnego powodują Outlook niepowodzenie uwierzytelniania.

Rozwiązanie 1. Udostępnianie lokalnej usługi federejnej AD FS 2.0 w Internecie

Skonfiguruj federowy serwer proxy usług AD FS 2.0 dla lokalnego środowiska usług AD FS 2.0 (lub skonfiguruj odwrotny serwer proxy zapory dla usługi federrskiej usług AD FS 2.0), która obsługuje logowanie jednokrotne, a następnie opublikuj ten serwer proxy w Internecie.

Rozwiązanie 2. Rozwiązywanie problemów z serwerem proxy AD FS 2.0

Aby uzyskać więcej informacji na temat rozwiązywania problemów z serwerem proxy usług AD FS 2.0, zobacz Rozwiązywanie problemów z połączeniem punktu końcowego usług AD FS, gdy użytkownicy logują się do usługi Office 365, Intune lub platformy Azure.

Nadal potrzebujesz pomocy? Przejdź do witryny internetowej microsoft Community sieci Web.