Jak rozwiązywać problemy z połączeniem punktu końcowego usług AD FS, gdy użytkownicy logują się do usługi Office 365, Intune lub platformy Azure

Uwaga

Nazwa usługi Office 365 ProPlus została zmieniona na Aplikacje usługi Microsoft 365 dla przedsiębiorstw. Aby uzyskać więcej informacji na temat tej zmiany, przeczytaj ten wpis w blogu.

Problem

Gdy użytkownicy logują się do usługi w chmurze firmy Microsoft, takiej jak Office 365, Microsoft Intune lub Microsoft Azure, przy użyciu federacji konta użytkownika, połączenie z usługą federacyjną Active Directory (AD FS) kończy się niepowodzeniem tylko wtedy, gdy użytkownicy próbują wykonać następujące czynności:

  • Nawiązywanie połączenia ze zdalnej lokalizacji internetowej
  • Logowanie się za pomocą połączeń e-mail

Taka sytuacja powoduje również niepowodzenie testowania logowania jednokrotnego przez Remote Connectivity Analyzer.

Aby uzyskać więcej informacji na temat uruchamiania narzędzia Remote Connectivity Analyzer w celu przetestowania uwierzytelniania logowania jednokrotnego w usłudze Office 365, zobacz następujące artykuły z bazy wiedzy Microsoft Knowledge Base:

  • 2650717 Jak za pomocą funkcji Remote Connectivity Analyzer rozwiązywać problemy z logowaniem pojedynczym dla usługi Office 365, Azure lub Intune
  • 2466333 Użytkownicy federacyjni nie mogą połączyć się ze skrzynką pocztową usługi Exchange Online

Przyczyna

Te błędy mogą wystąpić, jeśli usługa AD FS nie jest prawidłowo ujawniona w Internecie. Zazwyczaj do tego celu jest używany serwer proxy usług AD FS i powoduje to problemy z serwerem proxy usług AD FS. Typowe problemy to:

  • Wygasły certyfikat SSL przypisany do serwera proxy usług AD FS

    Ten sam certyfikat SSL jest często używany do zabezpieczania komunikacji (HTTPS) zarówno dla usługi federowej AD FS, jak i serwera proxy usług AD FS. Gdy ten certyfikat utraci ważność i certyfikat zostanie odnowiony lub zaktualizowany w farmie usług federowanych AD FS, certyfikat SSL musi być także zaktualizowany na wszystkich serwerach proxy usług AD FS. Jeśli certyfikat SSL serwera proxy usług AD FS nie został zaktualizowany w tym przypadku, połączenia internetowe z usługą AD FS mogą nie powieść się, nawet jeśli usługa federska usług AD FS jest w dobrej kondycji.

  • Niepoprawna konfiguracja punktów końcowych uwierzytelniania usług IIS

    Rola serwera proxy usług AD FS to odbieranie komunikacji internetowej skierowanej do usług AD FS oraz przekazywanie tej komunikacji do usługi federnej usług AD FS. Dlatego ważne jest, aby ustawienie uwierzytelniania usług IIS usługi federnej AD FS i serwera proxy było dopełniać. Jeśli ustawienia uwierzytelniania usług IIS serwera proxy usług AD FS nie są ustawione jako uzupełniające ustawienia uwierzytelniania usług federarnych IIS usług AD FS, logowanie może się nie powieść lub może wygenerować wiele nieoczekiwanych monitów.

  • Przerwane zaufanie między serwerem proxy usług AD FS a usługą federacyjną usług AD FS

    Usługa serwera proxy usług AD FS została zaprojektowana tak, aby została zainstalowana na komputerze przyłączony do domeny niebędącej domeną. Dlatego komunikacja między serwerem proxy usług AD FS a usługą federacyjną usług AD FS nie może być oparta na zaufaniu lub poświadczeniach usługi Active Directory. Zamiast tego komunikacja między tymi dwiema rolami serwera jest ustanowiona przy użyciu tokenu wystawionego do serwera proxy usług AD FS przez usługę federacyjną usług AD FS i podpisanego przez certyfikat podpisywania tokenów usług AD FS. Gdy to zaufanie wygasło lub jest nieprawidłowe, usługa serwera proxy usług AD FS nie może przekazywania żądań usług AD FS i trzeba je odbudować, aby przywrócić funkcje.

Rozwiązanie

Aby rozwiązać ten problem, skorzystaj z jednej z następujących metod, odpowiednio do sytuacji, na wszystkich niepoprawnych serwerach proxy usług AD FS.

Metoda 1. Rozwiązywanie problemów z certyfikatem SSL usług AD FS na serwerze usług AD FS

Aby to zrobić, wykonaj następujące kroki.

  1. Rozwiązywanie problemów z certyfikatem SSL w usłudze federejnej AD FS (nie usłudze serwera proxy) przy użyciu następującego artykułu z bazy wiedzy Microsoft Knowledge Base:

    2523494 Podczas próby zalogowania się do usługi Office 365, platformy Azure lub Intune otrzymujesz ostrzeżenie dotyczące certyfikatu z usług AD FS

  2. Jeśli certyfikat SSL usługi federowej AD FS działa poprawnie, zaktualizuj certyfikat SSL na serwerze proxy usług AD FS przy użyciu funkcji eksportowania i importowania certyfikatów. Aby uzyskać więcej informacji, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    179380 Jak usuwać, importować i eksportować certyfikaty cyfrowe

Metoda 2. Domyślne ustawienia uwierzytelniania usług IIS serwera proxy usług AD FS

W tym celu wykonaj czynności opisane w artykule Rozdzielczość 1 następującego artykułu z bazy wiedzy Microsoft Knowledge Base dla serwera proxy usług AD FS:

2461628 Użytkownik federowany jest wielokrotnie monitowany o poświadczenia podczas logowania się do usługi Office 365, platformy Azure lub Intune

Metoda 3. Ponowne uruchomić kreatora konfiguracji serwera proxy usług AD FS

W tym celu ponownie uruchomić Kreatora konfiguracji federacyjnych serwerów proxy usług AD FS z interfejsu Narzędzia administracyjne wszystkich serwerów proxy usług AD FS, których dotyczy problem.

Uwaga

Zwykle po kolejnym uruchomić kreatora konfiguracji jest wyświetlane ostrzeżenie w kroku "Wdrażanie witryny sieci Web logowania przeglądarki". Nie oznacza to, że kreator nie odbudał zaufania między serwerem proxy usług AD FS a usługą federacyjną usług AD FS.

Więcej informacji

Aby uzyskać więcej informacji na temat sposobu udostępnienia usługi AD FS w Internecie za pomocą serwera proxy usług AD FS, przejdź do następującej witryny internetowej firmy Microsoft:

Planowanie i wdrażanie usług AD FS 2.0 do użytku z logowaniem pojedynczym

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community.