Felsöka problem med anslutningen till AD FS-slutpunkten när användare loggar in på Office 365, Intune eller Azure

Anteckning

Office 365 ProPlus byter namn till Microsoft 365-appar för företag. Mer information om den här ändringen finns i det här blogginlägget.

Problem

När användare loggar in på en Microsoft-molntjänst som Office 365, Microsoft Intune eller Microsoft Azure med ett federerat användarkonto misslyckas anslutningen till AD FS-tjänsten (Active Directory Federation Services) endast när användarna försöker göra följande:

  • Ansluta från en fjärransluten Internetplats
  • Logga in med e-postanslutningar

Den här situationen orsakar även SSO-testning som Remote Connectivity Analyzer genomför misslyckas.

Mer information om hur du kör Analysverktyg för fjärranslutning för att testa SSO-autentisering i Office 365 finns i följande artiklar i Microsoft Knowledge Base:

  • 2650717 Så här använder du Analysverktyg för fjärranslutning för att felsöka problem med enkel inloggning för Office 365, Azure eller Intune
  • 2466333 Externa användare kan inte ansluta till en Exchange Online-postlåda

Orsak

Det här felet kan uppstå om AD FS-tjänsten inte exponeras på rätt sätt på Internet. Vanligtvis används AD FS-proxyservern för detta ändamål och problem med AD FS-proxyservern orsakar dessa symptom. Vanliga problem är bland annat följande:

  • SSL-certifikat som har tilldelats AD FS-proxyservern har upphört

    Ofta används samma SSL-certifikat för säker kommunikation (HTTPS) för både AD FS-federationstjänsten och AD FS-proxyservern. När certifikatet upphör att gälla och certifikatet förnyas eller uppdateras i AD FS-federationstjänstens servergrupp måste SSL-certifikatet också uppdateras på alla AD FS-proxyservrar. Om AD FS-proxyserverns SSL-certifikat inte uppdateras i det här fallet kan internetanslutningen till AD FS-tjänsten misslyckas, även om AD FS-federationstjänsten är felfri.

  • Felaktig konfiguration av slutpunkter för IIS-autentisering

    AD FS-proxyserverns roll är att ta emot Internetkommunikation som dirigeras till AD FS och för att vidarebefordra kommunikationen till AD FS-federationstjänsten. Därför är det viktigt att IIS-autentiseringsinställningen i AD FS-federationstjänsten och proxyservern kompletterar varandra. När ad FS-proxyserverns IIS-autentiseringsinställningar inte är konfigurerade för att komplettera AD FS-federationstjänstens IIS-autentiseringsinställningar kan inloggningen misslyckas eller generera flera oväntade uppmaningar.

  • Bruten förtroende mellan AD FS-proxyservern och AD FS-federationstjänsten

    AD FS-proxytjänsten är utformad för att installeras på en dator som inte är domän ansluten. Därför kan inte kommunikationen mellan AD FS-proxyservern och AD FS-federationstjänsten baseras på ett Active Directory-förtroende eller autentiseringsuppgifter. I stället etableras kommunikationen mellan de här två serverrollerna med hjälp av en token som utfärdas till AD FS-proxyservern av AD FS-federationstjänsten och signeras av AD FS-tokensigneringscertifikatet. När detta förtroende har upphört att gälla eller är ogiltigt kan AD FS-proxytjänsten inte vidarebefordra AD FS-begäranden och förtroende måste återskapas för att återställa funktionaliteten.

Lösning

Lös problemet genom att använda någon av följande metoder, beroende på din situation, på alla felaktiga AD FS-proxyservrar.

Metod 1: Åtgärda problem med AD FS SSL-certifikat på AD FS-servern

Gör så här:

  1. Felsöka SSL-certifikatproblem på AD FS-federationstjänsten (inte proxytjänsten) med hjälp av följande Microsoft Knowledge Base-artikel:

    2523494 Du får en certifikatvarning från AD FS när du försöker logga in på Office 365, Azure eller Intune

  2. Om SSL-certifikatet för AD FS-federationstjänsten fungerar som det ska uppdaterar du SSL-certifikatet på AD FS-proxyservern med hjälp av funktionerna för export och import av certifikat. Mer information finns i följande Microsoft Knowledge Base-artikel:
    179380 Ta bort, importera och exportera digitala certifikat

Metod 2: Återställ AD FS-proxyserverns IIS-autentiseringsinställningar till standard

Det gör du genom att följa stegen som beskrivs i upplösning 1 i följande Microsoft Knowledge Base-artikel för AD FS-proxyservern:

2461628 En extern användare uppmanas upprepade gånger att ange autentiseringsuppgifter vid inloggning till Office 365, Azure eller Intune

Metod 3: Kör om konfigurationsguiden för AD FS-proxy

Det gör du genom att köra om konfigurationsguiden för AD FS-federationsserverproxy från administrationsverktygsgränssnittet för alla berörda AD FS-proxyservrar.

Anteckning

Det är vanligt att få en varning från steget "Distribuera inloggningswebbplats för webbläsare" när du kör konfigurationsguiden igen. Det här är inget tecken på att guiden inte återskapade förtroende mellan AD FS-proxyservern och AD FS-federationstjänsten.

Mer information

Mer information om hur du exponerar AD FS-tjänsten på Internet med hjälp av en AD FS-proxyserver finns på följande Microsoft-webbplats:

Planera för och distribuera AD FS 2.0 för användning med enkel inloggning

Behöver du fortfarande hjälp? Gå till Microsoft Community.