如何使用远程连接分析器排查 Office 365、Azure 或 Intune 的单一登录问题
备注
Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章。
简介
本文介绍如何使用 Microsoft 远程连接分析器诊断 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)中的单一登录 (SSO) 登录问题。 它还包含有关常见 SSO 失败原因的信息,并列出指向资源的链接,以了解如何解决问题。
远程连接分析器是基于云的服务的免费连接测试平台。 它通过从 Internet 对所需服务执行来测试所需联合身份验证服务终结点的预期行为的可用性。
详细信息
任何 SSO 通信的数据流都是可预测的。 可以将预期的数据流模式与在失败的 SSO 尝试确定过程可能出错时发生的实际数据流的捕获进行比较。
如何运行远程连接分析器来测试 SSO 身份验证
若要运行远程连接分析器来测试 SSO 身份验证,请按照以下步骤操作:
打开 Web 浏览器,然后浏览到 https://www.testconnectivity.microsoft.com/tests/SingleSignOn/input 。
键入用户 ID 和密码,单击以选中安全确认复选框,键入验证码,然后单击"执行测试"。
备注
- 用户 ID 是 UPN 用户 (名称) 。
- 必须输入与正在测试的 SSO 实现关联的实际凭据。
如果未成功完成连接测试,请通过遵循错误图标展开"测试详细信息"结果树,以确定测试遇到的第一个错误。 对于检测到的任何错误状态,将测试结果树展开到特定错误,然后单击"告诉我有关此问题以及如何 解决的详细信息"。
下表列出了常见 SSO 故障的原因以及可用于帮助解决问题的资源。
测试 常见原因和故障源 说明 可能分辨率 尝试检索域注册并验证用户的联盟状态信息。 分析为用户收到的域注册 在域注册中发现错误。 这表示用作用户的 UPN 后缀的域尚未联合。 联合 UPN 后缀域。 域联盟和用户帐户问题疑难解答。 有关详细信息,请参阅在Office 365、Azure或 Intune 中解决联合用户的帐户问题。 更新用户的 UPN 以使用正确的联盟域后缀。 有关详细信息,请参阅解决联合用户在登录到Office 365、Azure 或 Intune 时发生的用户名问题。 尝试解析所馈发的主机名。DNS 中的 contoso.com 无法解析主机名。 AD FS 服务终结点的公共 DNS 解析失败。 若要详细了解如何解决此问题,请参阅排查Office 365、Intune 或 Azure 中的单一登录设置问题。 有关不公开 AD FS 的限制详细信息,请参阅支持的方案使用AD FS 在 Office 365、Azure或 Intune 中设置单一登录。 在主机上测试 TCP 端口 443 sts.contoso.com 以确保它正在侦听并打开 指定的端口被阻止、不侦听或不生成预期响应。 AD FS 响应所依赖的一个或多个服务已停止、已停止或以某种方式不可用。 重新启动服务。 有关详细信息,请参阅 Internet 浏览器无法显示联盟用户的 AD FS 登录网页。 调查可能的 AD FS 内存泄漏。 有关详细信息,请参阅在运行Windows Server 2008 R2 或 Windows Server 2008 的计算机上向"/adfs/services/trust/mex"终结点发送 HTTP SOAP 请求时,将返回"500"错误代码。 调查防火墙发布的 AD FS 服务问题。 有关详细信息,请参阅如何排查 AD FS 终结点连接问题,当用户登录到Office 365、Intune 或 Azure 时。 从元数据交换 URL 检索 AD FS 元数据 https://fed.contoso.com/adfs/services/trust/mex|ExRCA信息无法检索 AD FS 元数据。AD FS 响应所依赖的一个或多个服务已停止、已停止或以某种某种方式不可用。 重新启动服务。 有关详细信息,请参阅Internet 浏览器无法显示 AD FS网页,当联合用户尝试登录 Office 365、Azure 或 Intune 时。 调查 AD FS 代理服务器的问题。 有关详细信息,请参阅如何排查 AD FS 终结点连接问题,当用户登录到Office 365、Intune 或 Azure时。 调查可能的 AD FS 内存泄漏。 有关详细信息,请参阅在运行Windows Server 2008 R2 或 Windows Server 2008 的计算机上向"/adfs/services/trust/mex"终结点发送 HTTP SOAP 请求时,将返回"500"错误代码。 验证证书名称 证书名称验证失败。 SSL 证书的问题正在限制 AD FS 身份验证。 使用 SSL 证书解决问题。 有关详细信息,请参阅在尝试登录 Azure、Azure 或 Intune Office 365 AD FS收到证书警告。 正在验证证书信任。 证书信任验证失败。 SSL 证书的问题正在限制 AD FS 身份验证。 使用 SSL 证书解决问题。 有关详细信息,请参阅在尝试登录 Azure、Azure 或 Intune Office 365 AD FS 收到证书警告。 ExRCA 正在尝试对 位于 的安全令牌服务进行身份验证 https://sts 。contoso.com/adfs/services/trust/2005/usernamemixed 从安全令牌服务收到 SOAP 错误响应。 发生 Web 异常,因为收到来自 Unknown 的 HTTP 503 - 服务不可用响应。 使用联合身份验证信任对 AD FS 终结点的身份验证失败。 检查并重新生成联合身份验证信任。 有关详细信息,请参阅联合用户登录到 80041317、Azure 或 Intune 时出现"Office 365"或"80043431"错误。 检查并修复令牌签名证书问题。 有关详细信息,请参阅联合用户登录Office 365、Azure 或 Intune 时,AD FS 中的"访问站点时出现问题"错误。
仍然需要帮助? 转到 Microsoft 社区或 Azure Active Directory 论坛网站。