Azure Active Directory sorunsuz çoklu oturum açma sorunlarını gidermeTroubleshoot Azure Active Directory Seamless Single Sign-On

Bu makale size yardımcı olur. sorun giderme bilgilerini ilgili sık karşılaşılan sorunları ile ilgili Azure Active Directory (Azure AD) sorunsuz çoklu oturum açma (sorunsuz çoklu oturum açma) bulun.This article helps you find troubleshooting information about common problems regarding Azure Active Directory (Azure AD) Seamless Single Sign-On (Seamless SSO).

Bilinen sorunlarKnown issues

  • Bazı durumlarda, sorunsuz çoklu oturum açmayı etkinleştirme 30 dakikaya kadar sürebilir.In a few cases, enabling Seamless SSO can take up to 30 minutes.
  • Kendi önbelleğe alınmış Kerberos biletleri, 10 saat, genellikle geçerli süresi dolmuş kadar devre dışı bırakın ve sorunsuz çoklu oturum açma kiracınızda yeniden etkinleştirirseniz, kullanıcılar çoklu oturum açma deneyimini alamayacaksınız.If you disable and re-enable Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets, typically valid for 10 hours, have expired.
  • Microsoft Edge tarayıcısı desteği kullanılamıyor.Microsoft Edge browser support is not available.
  • Sorunsuz çoklu oturum açma işlemi başarılı olursa, kullanıcının seçme fırsatı yok Oturumumu açık bırak.If Seamless SSO succeeds, the user does not have the opportunity to select Keep me signed in. Bu davranış nedeniyle SharePoint ve OneDrive eşleme senaryoları çalışmaz.Due to this behavior, SharePoint and OneDrive mapping scenarios don't work.
  • Etkileşimli olmayan bir akış kullanarak Office 365 Win32 istemcileri (Outlook, Word, Excel ve diğerleri) ve üstü sürümleri 16.0.8730.xxxx ile desteklenir.Office 365 Win32 clients (Outlook, Word, Excel, and others) with versions 16.0.8730.xxxx and above are supported using a non-interactive flow. Diğer sürümleri desteklenmez; Bu sürümlerde, kullanıcılar, kullanıcı adları, ancak oturum açma için parola, girin.Other versions are not supported; on those versions, users will enter their usernames, but not passwords, to sign-in. OneDrive için etkinleştirmeniz gerekir OneDrive sessiz Yapılandırma özelliği sessiz bir oturum açma deneyimi.For OneDrive, you will have to activate the OneDrive silent config feature for a silent sign-on experience.
  • Sorunsuz çoklu oturum açma, Firefox özel tarama modunda çalışmıyor.Seamless SSO doesn't work in private browsing mode on Firefox.
  • Geliştirilmiş korumalı mod etkin olduğunda sorunsuz çoklu oturum açma Internet Explorer'da çalışmaz.Seamless SSO doesn't work in Internet Explorer when Enhanced Protected mode is turned on.
  • Sorunsuz çoklu oturum açma, iOS ve Android mobil tarayıcılarda çalışmaz.Seamless SSO doesn't work on mobile browsers on iOS and Android.
  • Bir kullanıcı Active Directory içinde çok fazla gruplarının bir parçası ise, kullanıcının Kerberos anahtarı büyük olasılıkla işlemek için çok büyük olacaktır ve bu sorunsuz SSO başarısız olmasına neden olur.If a user is part of too many groups in Active Directory, the user's Kerberos ticket will likely be too large to process, and this will cause Seamless SSO to fail. Azure AD HTTPS istekleri üstbilgileri en fazla 50 KB boyutlu olabilir; Kerberos biletleri tanımlama bilgileri gibi diğer Azure AD yapıları (genellikle 2-5 KB) uyum sağlamak için bu sınırdan küçük olması gerekir.Azure AD HTTPS requests can have headers with a maximum size of 50 KB; Kerberos tickets need to be smaller than that limit to accommodate other Azure AD artifacts (typically, 2 - 5 KB) such as cookies. Bizim önerimiz, kullanıcının grup üyeliklerini azaltın ve yeniden deneyin sağlamaktır.Our recommendation is to reduce user's group memberships and try again.
  • 30 veya daha fazla Active Directory ormanları eşitliyorsanız, Azure AD Connect ile sorunsuz SSO etkinleştirilemiyor.If you're synchronizing 30 or more Active Directory forests, you can't enable Seamless SSO through Azure AD Connect. Geçici bir çözüm olarak yapabilecekleriniz el ile etkinleştirmeniz kiracınız özelliği.As a workaround, you can manually enable the feature on your tenant.
  • Azure AD hizmet URL'si ekleme (https://autologon.microsoftazuread-sso.com) Güvenilen siteler bölgesine yerel intranet bölgesine yerine oturum açarken kullanıcıların engeller.Adding the Azure AD service URL (https://autologon.microsoftazuread-sso.com) to the Trusted sites zone instead of the Local intranet zone blocks users from signing in.
  • Sorunsuz çoklu oturum açma kullanan RC4_HMAC_MD5 Kerberos için şifreleme türü.Seamless SSO uses the RC4_HMAC_MD5 encryption type for Kerberos. Kullanımını devre dışı bırakma RC4_HMAC_MD5 şifreleme türü Active Directory ayarlarınızdaki sorunsuz çoklu oturum açma bozar.Disabling the use of the RC4_HMAC_MD5 encryption type in your Active Directory settings will break Seamless SSO. Grup İlkesi Yönetimi Düzenleyicisi aracınız için ilke değeri emin RC4_HMAC_MD5 altında bilgisayar yapılandırması -> Windows Ayarları -> Güvenlik Ayarları -> yerel ilkeler -> güvenlik seçenekleri - > "Ağ güvenliği: Kerberos için izin verilen şifreleme türlerini Yapılandır" olduğu etkin.In your Group Policy Management Editor tool ensure that the policy value for RC4_HMAC_MD5 under Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> "Network Security: Configure encryption types allowed for Kerberos" is enabled. Sorunsuz çoklu oturum açma ek olarak, olamaz, diğer şifreleme türlerini kullanmak kadar olduklarından emin olun. devre dışı.In addition, Seamless SSO can't use other encryption types, so ensure that they are disabled.

Özelliğin durumunu denetleyinCheck status of feature

Sorunsuz çoklu oturum açma özelliği hala olduğundan emin olun etkin kiracınıza.Ensure that the Seamless SSO feature is still Enabled on your tenant. Durumu giderek denetleyebilirsiniz Azure AD Connect bölmesinde Azure Active Directory Yönetim Merkezi.You can check the status by going to the Azure AD Connect pane in the Azure Active Directory admin center.

Azure Active Directory Yönetim Merkezi: Azure AD Connect bölmesi

Sorunsuz çoklu oturum açma için etkinleştirilen tüm AD ormanına görmek için tıklayın.Click through to see all the AD forests that have been enabled for Seamless SSO.

Azure Active Directory Yönetim Merkezi: Sorunsuz SSO bölmesi

Azure Active Directory Yönetim Merkezi'nde oturum açma hatası nedeniyle (bir Premium lisansı gerekir)Sign-in failure reasons in the Azure Active Directory admin center (needs a Premium license)

Kiracınızın ilişkili bir Azure AD Premium lisansınız varsa, ayrıca bakabilirsiniz oturum açma etkinliği raporunu içinde Azure Active Directory Yönetim Merkezi.If your tenant has an Azure AD Premium license associated with it, you can also look at the sign-in activity report in the Azure Active Directory admin center.

Azure Active Directory Yönetim Merkezi: Oturum açma işlemleri raporu

Gözat Azure Active Directory > oturum açma işlemleri içinde Azure Active Directory Yönetim Merkezive ardından belirli bir kullanıcının oturum açma etkinliği seçin.Browse to Azure Active Directory > Sign-ins in the Azure Active Directory admin center, and then select a specific user's sign-in activity. Aranacak oturum açma hata kodu alan.Look for the SIGN-IN ERROR CODE field. Bu alanın değerini, aşağıdaki tabloda kullanarak, bir hata nedeni ve çözümü eşleme:Map the value of that field to a failure reason and resolution by using the following table:

Oturum açma hata koduSign-in error code Oturum açma hata nedeniSign-in failure reason ÇözümResolution
8100181001 Kullanıcının Kerberos anahtarı fazla büyük.User's Kerberos ticket is too large. Kullanıcının grup üyeliklerini azaltın ve yeniden deneyin.Reduce the user's group memberships and try again.
8100281002 Kullanıcının Kerberos anahtarı doğrulanamadı.Unable to validate the user's Kerberos ticket. Bkz: sorun giderme denetim listesi.See the troubleshooting checklist.
8100381003 Kullanıcının Kerberos anahtarı doğrulanamadı.Unable to validate the user's Kerberos ticket. Bkz: sorun giderme denetim listesi.See the troubleshooting checklist.
8100481004 Kerberos kimlik doğrulaması girişimi başarısız oldu.Kerberos authentication attempt failed. Bkz: sorun giderme denetim listesi.See the troubleshooting checklist.
8100881008 Kullanıcının Kerberos anahtarı doğrulanamadı.Unable to validate the user's Kerberos ticket. Bkz: sorun giderme denetim listesi.See the troubleshooting checklist.
8100981009 Kullanıcının Kerberos anahtarı doğrulanamadı.Unable to validate the user's Kerberos ticket. Bkz: sorun giderme denetim listesi.See the troubleshooting checklist.
8101081010 Kullanıcının Kerberos anahtarının süresi dolduğu veya anahtar geçersiz olduğu için sorunsuz SSO başarısız oldu.Seamless SSO failed because the user's Kerberos ticket has expired or is invalid. Kullanıcı, etki alanına katılmış bir CİHAZDAN Kurumsal ağınızdaki oturum açması gerekiyor.The user needs to sign in from a domain-joined device inside your corporate network.
8101181011 Kullanıcının Kerberos anahtarı içindeki bilgileri temel alan kullanıcı nesneyi bulmak yüklenemiyor.Unable to find the user object based on the information in the user's Kerberos ticket. Azure AD Connect, Azure AD'de kullanıcının bilgilerini eşitlemek için kullanın.Use Azure AD Connect to synchronize the user's information into Azure AD.
8101281012 Azure AD'de oturum açmaya çalışan kullanıcı, cihaza oturum açmış olan kullanıcının farklıdır.The user trying to sign in to Azure AD is different from the user that is signed in to the device. Kullanıcı, farklı bir CİHAZDAN oturum açması gerekiyor.The user needs to sign in from a different device.
8101381013 Kullanıcının Kerberos anahtarı içindeki bilgileri temel alan kullanıcı nesneyi bulmak yüklenemiyor.Unable to find the user object based on the information in the user's Kerberos ticket. Azure AD Connect, Azure AD'de kullanıcının bilgilerini eşitlemek için kullanın.Use Azure AD Connect to synchronize the user's information into Azure AD.

Sorun giderme denetim listesiTroubleshooting checklist

Sorunsuz çoklu oturum açma sorunlarını gidermek için aşağıdaki denetim listesini kullanın:Use the following checklist to troubleshoot Seamless SSO problems:

  • Sorunsuz çoklu oturum açma özelliği Azure AD Connect etkinleştirildiğinden emin olun.Ensure that the Seamless SSO feature is enabled in Azure AD Connect. Özelliği (örneğin, nedeniyle engellenen bir bağlantı noktası) etkinleştiremezsiniz, tüm sahip olduğundan emin olun önkoşulları yerde.If you can't enable the feature (for example, due to a blocked port), ensure that you have all the prerequisites in place.
  • Her ikisi de etkinleştirdiyseniz Azure AD'ye katılımı ve sorunsuz çoklu oturum açma, kiracınıza sorunu Azure AD'ye katılımı ile olduğundan değil emin olun.If you have enabled both Azure AD Join and Seamless SSO on your tenant, ensure that the issue is not with Azure AD Join. Azure AD ile kaydedilen hem de etki alanına katılmış cihaz, Azure AD'ye katılım'nden SSO sorunsuz çoklu oturum açma öncelik kazanır.SSO from Azure AD Join takes precedence over Seamless SSO if the device is both registered with Azure AD and domain-joined. Azure AD'ye katılım'nden SSO ile "Windows bağlı" ifadesini içeren bir oturum açma kutucuğuna kullanıcı görür.With SSO from Azure AD Join the user sees a sign-in tile that says "Connected to Windows".
  • Azure AD URL'sini emin olun (https://autologon.microsoftazuread-sso.com) kullanıcının Intranet bölgesi ayarlarını bir parçasıdır.Ensure that the Azure AD URL (https://autologon.microsoftazuread-sso.com) is part of the user's Intranet zone settings.
  • Kurumsal cihaz Active Directory etki alanına katıldığından emin olun.Ensure that the corporate device is joined to the Active Directory domain. Cihaz değil olmasına gerek Azure AD katıldı çalışmak sorunsuz SSO için.The device doesn't need to be Azure AD Joined for Seamless SSO to work.
  • Kullanıcının cihaza bir Active Directory etki alanı hesabıyla oturum açmasını sağlayın.Ensure that the user is logged on to the device through an Active Directory domain account.
  • Kullanıcı hesabının sorunsuz çoklu oturum açma yeri olan bir Active Directory ormanından kurulduğundan emin olun.Ensure that the user's account is from an Active Directory forest where Seamless SSO has been set up.
  • Cihazın şirket ağına bağlı olduğundan emin olun.Ensure that the device is connected to the corporate network.
  • Cihazın saat saat Active Directory hem de etki alanı denetleyicileri ile eşitlenir ve beş dakika içinde birbiriyle olduklarından emin olun.Ensure that the device's time is synchronized with the time in both Active Directory and the domain controllers, and that they are within five minutes of each other.
  • Emin AZUREADSSOACC bilgisayar hesabı, sorunsuz SSO etkin istediğiniz her AD ormanında mevcut ve etkin.Ensure that the AZUREADSSOACC computer account is present and enabled in each AD forest that you want Seamless SSO enabled. Bilgisayar hesabı silindi veya eksik, kullanabileceğiniz PowerShell cmdlet'leri yeniden oluşturulacak.If the computer account has been deleted or is missing, you can use PowerShell cmdlets to re-create them.
  • Cihazda mevcut Kerberos anahtarları listelemeniz klist bir komut isteminden komutu.List the existing Kerberos tickets on the device by using the klist command from a command prompt. Emin olmak için verilen anahtarların AZUREADSSOACC bilgisayar hesabı.Ensure that the tickets issued for the AZUREADSSOACC computer account are present. Kullanıcıların Kerberos biletleri için 10 saat genellikle geçerlidir.Users' Kerberos tickets are typically valid for 10 hours. Active Directory'de farklı ayarlara sahip olabilir.You might have different settings in Active Directory.
  • Devre dışı ve sorunsuz çoklu oturum açma, kiracınızda yeniden etkinleştirildi, önbelleğe alınan, Kerberos biletleri süresi dolmuş kadar kullanıcılar çoklu oturum açma deneyimini alamayacaksınız.If you disabled and re-enabled Seamless SSO on your tenant, users will not get the single sign-on experience till their cached Kerberos tickets have expired.
  • Kullanarak mevcut Kerberos biletleri CİHAZDAN Temizleme klist purge komutunu ve yeniden deneyin.Purge existing Kerberos tickets from the device by using the klist purge command, and try again.
  • JavaScript ile ilgili sorunlar olup olmadığını belirlemek için tarayıcının yönlendirilen konsol günlüklerini gözden geçirin (altında Geliştirici Araçları).To determine if there are JavaScript-related problems, review the console logs of the browser (under Developer Tools).
  • Gözden geçirme etki alanı denetleyicisi günlükleri.Review the domain controller logs.

Etki alanı denetleyicisi günlükleriDomain controller logs

Etki alanı denetleyicinizde sonra sorunsuz çoklu oturum açma bir kullanıcı oturum açtığı her zaman başarılı denetimi etkinleştirirseniz, bir güvenlik girişi olay günlüğüne kaydedilir.If you enable success auditing on your domain controller, then every time a user signs in through Seamless SSO, a security entry is recorded in the event log. Bu güvenlik olayları, aşağıdaki sorguyu kullanarak bulabilirsiniz.You can find these security events by using the following query. (Olay 4769 bilgisayar hesabı ile ilişkili AzureADSSOAcc$ .)(Look for event 4769 associated with the computer account AzureADSSOAcc$.)

    <QueryList>
      <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name='ServiceName'] and (Data='AZUREADSSOACC$')]]</Select>
      </Query>
    </QueryList>

Elle sıfırlama özelliğiManual reset of the feature

Sorun giderme yaramazsa, kiracınızda özelliğini el ile de sıfırlayabilirsiniz.If troubleshooting didn't help, you can manually reset the feature on your tenant. Bu adımları, Azure AD Connect burada çalıştırdığınız şirket içi sunucuda izleyin.Follow these steps on the on-premises server where you're running Azure AD Connect.

1. adım: Sorunsuz SSO PowerShell modülünü içeri aktarınStep 1: Import the Seamless SSO PowerShell module

  1. İlk olarak, indirme ve yükleme Azure AD PowerShell.First, download, and install Azure AD PowerShell.
  2. Gözat %programfiles%\Microsoft Azure Active Directory Connect klasör.Browse to the %programfiles%\Microsoft Azure Active Directory Connect folder.
  3. Bu komutu kullanarak sorunsuz SSO PowerShell modülünü içeri aktarın: Import-Module .\AzureADSSO.psd1.Import the Seamless SSO PowerShell module by using this command: Import-Module .\AzureADSSO.psd1.

2. adım: Active Directory ormanlarını sorunsuz çoklu oturum açma etkinleştirildi'nın listesini alınStep 2: Get the list of Active Directory forests on which Seamless SSO has been enabled

  1. PowerShell'i yönetici olarak çalıştırın.Run PowerShell as an administrator. PowerShell'de, çağrı New-AzureADSSOAuthenticationContext.In PowerShell, call New-AzureADSSOAuthenticationContext. İstendiğinde, kiracınızın genel yönetici kimlik bilgilerini girin.When prompted, enter your tenant's global administrator credentials.
  2. Çağrı Get-AzureADSSOStatus.Call Get-AzureADSSOStatus. Bu komut, Active Directory ormanına ("Etki alanları" listesinde bakın) listesini bu özelliğin etkinleştirildiği üzerinde sağlar.This command provides you with the list of Active Directory forests (look at the "Domains" list) on which this feature has been enabled.

3. adım: Sorunsuz çoklu oturum açma özelliği burada ayarladığınız her bir Active Directory ormanı için devre dışı bırakStep 3: Disable Seamless SSO for each Active Directory forest where you've set up the feature

  1. Çağrı $creds = Get-Credential.Call $creds = Get-Credential. İstendiğinde, hedeflenen Active Directory orman için etki alanı yönetici kimlik bilgilerini girin.When prompted, enter the domain administrator credentials for the intended Active Directory forest.

    Not

    Etki alanı yöneticisinin kullanıcı adı, kullanıcı asıl adı (UPN) içinde sağlanan kullanırız (johndoe@contoso.com) biçimi veya hedeflenen AD ormanı bulmak için etki alanı tam sam hesabı adı (contoso\johndoe veya contoso.com\johndoe) biçimi.We use the Domain Administrator's username, provided in the User Principal Names (UPN) (johndoe@contoso.com) format or the domain qualified sam-account name (contoso\johndoe or contoso.com\johndoe) format, to find the intended AD forest. Etki alanı tam sam hesabı adı kullanırsanız, etki alanı bölümü için kullanıcı adını kullanıyoruz , DNS kullanarak olan etki alanı yöneticisi etki alanı denetleyicisinin yerini.If you use domain qualified sam-account name, we use the domain portion of the username to locate the Domain Controller of the Domain Administrator using DNS. Bunun yerine, UPN kullanırsanız, biz bir etki alanı tam sam hesabı adı için çevir uygun etki alanı denetleyicisi bulunurken önce.If you use UPN instead, we translate it to a domain qualified sam-account name before locating the appropriate Domain Controller.

  2. Çağrı Disable-AzureADSSOForest -OnPremCredentials $creds.Call Disable-AzureADSSOForest -OnPremCredentials $creds. Bu komut kaldırır AZUREADSSOACC bu belirli Active Directory ormanı için şirket içi etki alanı denetleyicisi bilgisayar hesabı.This command removes the AZUREADSSOACC computer account from the on-premises domain controller for this specific Active Directory forest.

  3. Özelliği burada ayarladığınız her bir Active Directory ormanı için önceki adımları yineleyin.Repeat the preceding steps for each Active Directory forest where you’ve set up the feature.

4. Adım: Her Active Directory ormanı için sorunsuz SSO etkinleştirmeStep 4: Enable Seamless SSO for each Active Directory forest

  1. Çağrı Enable-AzureADSSOForest.Call Enable-AzureADSSOForest. İstendiğinde, hedeflenen Active Directory orman için etki alanı yönetici kimlik bilgilerini girin.When prompted, enter the domain administrator credentials for the intended Active Directory forest.

    Not

    Etki alanı yöneticisinin kullanıcı adı, kullanıcı asıl adı (UPN) içinde sağlanan kullanırız (johndoe@contoso.com) biçimi veya hedeflenen AD ormanı bulmak için etki alanı tam sam hesabı adı (contoso\johndoe veya contoso.com\johndoe) biçimi.We use the Domain Administrator's username, provided in the User Principal Names (UPN) (johndoe@contoso.com) format or the domain qualified sam-account name (contoso\johndoe or contoso.com\johndoe) format, to find the intended AD forest. Etki alanı tam sam hesabı adı kullanırsanız, etki alanı bölümü için kullanıcı adını kullanıyoruz , DNS kullanarak olan etki alanı yöneticisi etki alanı denetleyicisinin yerini.If you use domain qualified sam-account name, we use the domain portion of the username to locate the Domain Controller of the Domain Administrator using DNS. Bunun yerine, UPN kullanırsanız, biz bir etki alanı tam sam hesabı adı için çevir uygun etki alanı denetleyicisi bulunurken önce.If you use UPN instead, we translate it to a domain qualified sam-account name before locating the appropriate Domain Controller.

  2. Bir özelliği ayarlamak istediğiniz her bir Active Directory ormanı için önceki adımı yineleyin.Repeat the preceding step for each Active Directory forest where you want to set up the feature.

5. adımı.Step 5. Kiracı özelliğini etkinleştirmeEnable the feature on your tenant

Kiracınızın özelliğini etkinleştirmek için çağrı Enable-AzureADSSO -Enable $true.To turn on the feature on your tenant, call Enable-AzureADSSO -Enable $true.