Jak rozwiązywać problemy z połączeniem z punktem końcowym usług AD FS, gdy użytkownicy logują się do Office 365, Intune lub platformy Azure

Problem

Gdy użytkownicy logują się do usługi w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Intune lub Microsoft Azure przy użyciu federacyjnego konta użytkownika, połączenie z usługą Active Directory Federation Services (AD FS) kończy się niepowodzeniem tylko wtedy, gdy użytkownicy spróbują wykonać następujące czynności:

  • Połączenie ze zdalnej lokalizacji internetowej
  • Logowanie przy użyciu połączeń poczty e-mail

Ta sytuacja powoduje również testowanie logowania jednokrotnego, które przeprowadza analizator łączności zdalnej, aby zakończyć się niepowodzeniem.

Aby uzyskać więcej informacji na temat uruchamiania analizatora łączności zdalnej w celu przetestowania uwierzytelniania logowania jednokrotnego w Office 365, zobacz następujące artykuły w bazie wiedzy Microsoft Knowledge Base:

  • 2650717 How to use Remote Connectivity Analyzer to troubleshoot single sign-on issues for Office 365, Azure, or Intune
  • 2466333 użytkownicy federacyjny nie mogą nawiązać połączenia ze skrzynką pocztową Exchange Online

Przyczyna

Te błędy mogą wystąpić, jeśli usługa AD FS nie jest poprawnie uwidoczniona w Internecie. Zazwyczaj serwer proxy usług AD FS jest używany do tego celu, a problemy z serwerem proxy usług AD FS spowoduje te objawy. Typowe problemy obejmują następujące kwestie:

  • Wygasły certyfikat SSL przypisany do serwera proxy usług AD FS

    Często ten sam certyfikat SSL jest używany do zabezpieczania komunikacji (HTTPS) zarówno dla usługi federacyjnej usług AD FS, jak i serwera proxy usług AD FS. Po wygaśnięciu tego certyfikatu i odnowieniu lub zaktualizowaniu certyfikatu w farmie usług federacyjnych usług AD FS certyfikat SSL musi być również aktualizowany na wszystkich serwerach proxy usług AD FS. Jeśli w tym przypadku certyfikat SSL serwera proxy usług AD FS nie zostanie zaktualizowany, połączenia internetowe z usługą AD FS mogą zakończyć się niepowodzeniem, nawet jeśli usługa federacyjna usług AD FS jest w dobrej kondycji.

  • Nieprawidłowa konfiguracja punktów końcowych uwierzytelniania usług IIS

    Rolą serwera proxy usług AD FS jest odbieranie komunikacji internetowej skierowanej do usług AD FS oraz przekazywanie tej komunikacji do usługi federacyjnej usług AD FS. Dlatego ważne jest, aby ustawienie uwierzytelniania usług IIS usługi federacyjnej usług AD FS i serwera proxy było komplementarne. Jeśli ustawienia uwierzytelniania usług IIS serwera proxy usług AD FS nie są ustawione w celu uzupełnienia ustawień uwierzytelniania usług federacyjnych usług AD FS IIS, logowanie może zakończyć się niepowodzeniem lub wygenerować wiele nieoczekiwanych monitów.

  • Przerwane zaufanie między serwerem proxy usług AD FS a usługą federacyjną usług AD FS

    Usługa serwera proxy usług AD FS jest przeznaczona do instalowania na komputerze nieprzyłączonym do domeny. W związku z tym komunikacja między serwerem proxy usług AD FS a usługą federacyjną usług AD FS nie może być oparta na zaufaniu lub poświadczeniach usługi Active Directory. Zamiast tego komunikacja między tymi dwiema rolami serwera jest nawiązywana przy użyciu tokenu wystawionego serwerowi proxy usług AD FS przez usługę federacyjną usług AD FS i podpisanego przez certyfikat podpisywania tokenu usług AD FS. Gdy to zaufanie wygasło lub jest nieprawidłowe, usługa serwera proxy usług AD FS nie może przekazywać żądań usług AD FS, a zaufanie musi zostać odbudowane w celu przywrócenia funkcji.

Rozwiązanie

Aby rozwiązać ten problem, użyj jednej z następujących metod, stosownie do twojej sytuacji, na wszystkich nieprawidłowo działających serwerach proxy usług AD FS.

Metoda 1. Rozwiązywanie problemów z certyfikatami SSL usług AD FS na serwerze usług AD FS

Aby to zrobić, wykonaj następujące kroki.

  1. Rozwiąż problemy z certyfikatami SSL w usłudze federacyjnej usług AD FS (a nie w usłudze proxy), korzystając z następującego artykułu z bazy wiedzy Microsoft Knowledge Base:

    2523494 Podczas próby zalogowania się do Office 365, platformy Azure lub Intune zostanie wyświetlone ostrzeżenie certyfikatu od usług AD FS

  2. Jeśli certyfikat SSL usługi federacyjnej usług AD FS działa poprawnie, zaktualizuj certyfikat SSL na serwerze proxy usług AD FS przy użyciu funkcji eksportowania i importowania certyfikatów. Aby uzyskać więcej informacji, zobacz następujący artykuł bazy wiedzy Microsoft Knowledge Base:
    179380 Jak usunąć, zaimportować i wyeksportować certyfikaty cyfrowe

Metoda 2. Resetowanie domyślnych ustawień uwierzytelniania serwera proxy usług AD FS dla usług IIS

W tym celu wykonaj kroki opisane w rozwiązaniu 1 poniższego artykułu bazy wiedzy Microsoft Knowledge Base dla serwera proxy usług AD FS:

2461628 Użytkownik federacyjny jest wielokrotnie monitowany o poświadczenia podczas logowania do Office 365, platformy Azure lub Intune

Metoda 3. Ponowne uruchamianie kreatora konfiguracji serwera proxy usług AD FS

W tym celu uruchom ponownie Kreatora konfiguracji serwera proxy usług AD FS z interfejsu narzędzi administracyjnych wszystkich serwerów proxy usług AD FS, których dotyczy problem.

Uwaga

Zwykle podczas ponownego uruchamiania kreatora konfiguracji jest wyświetlane ostrzeżenie z kroku "Wdrażanie witryny sieci Web logowania w przeglądarce". Nie oznacza to, że kreator nie odbudował relacji zaufania między serwerem proxy usług AD FS a usługą federacyjną usług AD FS.

Więcej informacji

Aby uzyskać więcej informacji na temat sposobu uwidaczniania usługi AD FS w Internecie przy użyciu serwera proxy usług AD FS, przejdź do następującej witryny internetowej firmy Microsoft:

Planowanie i wdrażanie usług AD FS 2.0 do użycia z logowaniem jednokrotnym

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community.