Fejlfinding

Fejlfinding af problemfrit enkeltlogon i Azure Active Directory

Når du aktiverer problemfrit enkeltlogon (SSO) i Azure AD, kan et af problemerne nedenfor opstå:

• Det tager lang tid at aktivere Seamless SSO (enkeltlogon).
• Hvis Seamless SSO er deaktiveret og genaktiveret i lejeren, har brugerne ikke mulighed for at benytte Seamless SSO, før deres cachelagrede Kerberos-supportanmodninger udløber.
• Når Seamless SSO er gennemført, har brugerne ikke mulighed for at vælge Lad mig være logget ind hele tiden. På grund af denne adfærd fungerer tilknytningsscenarier for SharePoint og OneDrive ikke.
• Seamless SSO fungerer ikke i Mozilla Firefox' private surfing-tilstand.
• Seamless SSO fungerer ikke i Internet Explorer, når tilstanden Udvidet beskyttelse er aktiveret.
• Seamless SSO fungerer ikke i mobilbrowsere på iOS- og Android-enheder.
• Hvis en bruger er en del af et stort antal grupper i Active Directory (AD), kan brugerens Kerberos-supportanmodning være for omfangsrig til at blive behandlet, og Seamless SSO kan muligvis ikke gennemføres. Azure AD HTTPS-anmodninger må højst have overskrifter på 50 KB. Kerberos-supportanmodninger skal være mindre end denne grænse. Løsningen er at skære ned på brugerens gruppemedlemskaber og prøve igen.
• Når du synkroniserer 30 eller flere af de øverste niveauer i Active Directory, kan Seamless SSO aktiveres via Azure AD Connect. Funktionen kan også aktiveres manuelt i lejeren.
• Ved at føje Azure AD-tjenestens URL (https://autologon.microsoftazuread-sso.com) til zonen for pålidelige hjemmesider i stedet for zonen for lokalt intranet kan du forhindre brugere i at logge på.

Tjekliste til fejlfinding

Brug følgende tjekliste til at fejlfinde problemer med Seamless SSO:

• Sørg for, at funktionen Seamless SSO er aktiveret i Azure AD Connect. Hvis du ikke kan aktivere funktionen (f.eks. på grund af en blokeret port), skal du sikre dig, at du har implementeret alle forudsætningerne.
• Hvis du har aktiveret både Azure AD Join og Seamless SSO i lejeren, skal du sikre dig, at problemet ikke skyldes Azure AD Join. SSO (enkeltlogon) i Azure AD Join har forrang frem for Seamless SSO, hvis enheden både er registreret i Azure AD og tilknyttet et domæne. Med SSO (enkeltlogon) i Azure AD Join ser brugeren en logonknap, hvor der står "Forbundet til Windows".
• Sørg for, at URL'en til Azure AD (https://autologon.microsoftazuread-sso.com) er en del af brugerens indstillinger for intranetzonen.
• Sørg for, at virksomhedens enhed er tilknyttet AD-domænet. Enheden behøver ikke at være tilknyttet Azure AD, for at Seamless SSO kan fungere.
• Sørg for, at brugeren er logget på enheden via en AD-domænekonto.
• Sørg for, at brugerens konto er fra et af de øverste niveauer i AD, hvor Seamless SSO er aktiveret.
• Sørg for, at enheden er forbundet til virksomhedens netværk.
• Sørg for, at enhedens klokkeslæt er synkroniseret med klokkeslættet i både AD og kontrolfunktionerne i domænet, og at afvigelsen højst er fem minutter.
• Sørg for, at AZUREADSSOACC-computerkontoen er oprettet og aktiveret i hvert af de øverste niveauer i AD, hvor du ønsker at aktivere Seamless SSO. Hvis computerkontoen er blevet slettet eller mangler, kan du bruge PowerShell-cmdlets til at genskabe dem.
• Angiv de eksisterende Kerberos-supportanmodninger på enheden via kommandoen klist i en kommandoprompt. Sørg for, at de supportanmodninger, der er oprettet for computerkontoen AZUREADSSOACC, er tilgængelige. Brugernes Kerberos-supportanmodninger er som regel gyldige i 10 timer. Du kan have forskellige indstillinger i AD.
• Hvis Seamless SSO er blevet deaktiveret og genaktiveret i lejeren, har brugerne ikke mulighed for at benytte Seamless SSO, før deres cachelagrede Kerberos-supportanmodninger er udløbet.
• Fjern de nuværende Kerberos-supportanmodninger fra enheden via kommandoen klist purge, og prøv igen.
• For at fastslå, om der er problemer med JavaScript, skal du gennemgå browserens konsollogfiler (under Udviklerværktøjer).
• Gennemgå logfilerne for domænets kontrolfunktion.

Det er en vanskelig proces at konfigurere Azure AD Connect Seamless SSO. Dens konfiguration og fejlfinding indebærer flere trin og kommandoer. ADSelfService Plus, der er en løsning til selvbetjent administration af adgangskoder og enkeltlogon i Active Directory, tilbyder en enkeltlogon-funktion, der gør det muligt for brugere at logge på AD-domænet og få adgang til Azure AD/Office 365 uden at skulle angive deres adgangsoplysninger igen. Det kræver kun få trin at aktivere denne funktion. Læs denne vejledning for at få mere at vide.