如何使用远程连接分析器对 Office 365、Azure 或 Intune 的单一登录问题进行故障排除

备注

Office 365 ProPlus 正在重命名为适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章

简介

本文介绍如何使用 Microsoft 远程连接分析器诊断 Microsoft 云服务(如 Office 365、Microsoft Azure 或 Microsoft Intune)中的单一登录(SSO)登录问题。 它还包含有关常见 SSO 故障原因的信息,并列出了有关如何解决问题的资源的链接。

远程连接分析器是基于云的服务的免费连接测试平台。 它通过从 Internet 对这些服务进行操作来测试所需的联合服务终结点的可用性是否正常。

更多信息

任何 SSO 通信的数据流都是可预测的。 可以将预期的数据流模式与在发生故障的 SSO 过程中发生的实际数据流的捕获相比较或对比,以确定该进程可能有什么问题。

如何运行远程连接分析器以测试 SSO 身份验证

若要运行远程连接分析器以测试 SSO 身份验证,请按照以下步骤操作:

  1. 打开 web 浏览器,然后浏览到 https://www.testconnectivity.microsoft.com/?testid=SingleSignOn

  2. 键入您的用户 ID 和密码,单击以选中 "安全确认" 复选框,键入验证代码,然后单击 "执行测试"。

    备注

    • 你的用户 ID 是你的用户主体名称(UPN)。
    • 您必须输入与要测试的 SSO 实现相关联的实际凭据。

    "远程连接分析器" 页的屏幕截图,显示 "使用帐户" 和 "密码" 字段、"安全确认" 复选框、"验证代码" 和 "执行测试" 按钮突出显示。

  3. 如果未成功完成连接测试,请按照错误图标展开 "测试详细信息结果树",以确定测试遇到的第一个错误。 对于检测到的任何错误状态,请将测试结果树展开为特定错误,然后单击 "告诉我有关此问题的详细信息以及如何解决"。

    下表列出了常见 SSO 故障和可用于帮助解决问题的资源的原因。

    测试 常见原因和失败源 Description 可能的解决方案
    试图检索域注册并验证用户的联合状态信息。 分析为用户收到的域注册 在域注册中发现错误。 这表示用作用户的 UPN 后缀的域尚未进行联合。 联合 UPN 后缀域。 解决域联合身份验证和用户帐户问题。 有关详细信息,请参阅排查 Office 365、Azure 或 Intune 中的联盟用户的帐户问题。 将用户的 UPN 更新为使用正确的联合域后缀。 有关详细信息,请参阅对联合用户登录 Office 365、Azure 或 Intune 时出现的用户名称问题故障排除。 
    正在尝试解析已馈送的主机名。DNS 中的contoso 无法解析主机名称。 AD FS 服务终结点的公共 DNS 解析失败。 有关如何解决此问题的详细信息,请参阅解决 Office 365、Intune 或 Azure 中的单一登录安装问题。有关不公开 AD FS 的限制的详细信息,请参阅使用 AD fs 在 Office 365、Azure 或 Intune 中设置单一登录的受支持方案 
    在主机 sts.contoso.com 上测试 TCP 端口443以确保其正在侦听和打开 指定的端口被阻止、未侦听或未生成预期响应。 一个或多个 AD FS 响应依赖于停止、停止或在某些方面不可用的服务。 重新启动服务。 有关详细信息,请参阅Internet browser 无法显示联合用户的 AD FS 登录网页。 调查可能的 AD FS 内存泄漏。 有关详细信息,请参阅在将HTTP SOAP 请求发送到运行 Windows server 2008 R2 或 Windows server 2008 的计算机上的 "/adfs/services/trust/mex" 终结点时返回 "500" 错误代码。 调查防火墙发布的 AD FS 服务问题。 有关详细信息,请参阅在"防火墙发布的" 配置中设置 AD fs 后,非浏览器客户端无法登录,以及如何在用户登录到 Office 365、Intune 或 AZURE 时解决 ad fs 终结点连接问题。 
    从元数据交换 URL 检索 AD FS 元数据信息 https://fed.contoso.com/adfs/services/trust/mex|ExRCA 无法检索 AD fs 元数据。 一个或多个 AD FS 响应依赖于已停止、已停止或在某些方面不可用的服务。 重新启动服务。 有关详细信息,请参阅当联盟用户尝试登录 Office 365、Azure 或 Intune 时,Internet 浏览器无法显示 AD FS 网页 。 调查 AD FS 代理服务器的问题。 有关详细信息,请参阅如何在用户登录到 Office 365、Intune 或 Azure 时解决 AD FS 终结点连接问题 。 调查可能的 AD FS 内存泄漏。 有关详细信息,请参阅在将HTTP SOAP 请求发送到运行 Windows server 2008 R2 或 Windows server 2008 的计算机上的 "/adfs/services/trust/mex" 终结点时返回 "500" 错误代码。调查防火墙发布的 AD FS 服务问题。 有关详细信息,请参阅在"防火墙发布的" 配置中设置 AD FS 后,非浏览器客户端无法登录
    验证证书名称 证书名称验证失败。 SSL 证书的问题是限制 AD FS 身份验证。 使用 SSL 证书解决问题。 有关详细信息,请参阅在尝试登录 Office 365、Azure 或 Intune 时收到来自 AD FS 的证书警告
    正在验证证书信任。 证书信任验证失败。 SSL 证书的问题是限制 AD FS 身份验证。 使用 SSL 证书解决问题。 有关详细信息,请参阅在尝试登录 Office 365、Azure 或 Intune 时收到来自 AD FS 的证书警告
    ExRCA 正在尝试对处的安全令牌服务进行身份验证 https://sts 。contoso/adfs/服务/信任/2005/usernamemixed 从安全令牌服务收到 SOAP 错误响应。 出现 web 异常,因为收到来自未知的 HTTP 503 服务不可用响应。 使用联合信任对 AD FS 终结点进行身份验证的工作不正常。 检查并重新生成联合身份验证信任。 有关详细信息,请参阅联合用户登录 Office 365、Azure 或 Intune 时的 "80041317" 或 "80043431" 错误。 检查并修复令牌签名证书问题。 有关详细信息,请参阅在联合用户登录 Office 365、Azure 或 Intune 时,"访问网站时遇到问题" 错误从 AD FS。 

更多信息

仍然需要帮助? 转到Microsoft 社区或 Azure Active Directory 论坛网站。