Server 2016 ADFS 3.0 和 Azure AD 更新密码 URL 不起作用

Server 2016 ADFS 3.0 和 Azure AD 更新密码 URL 不起作用

我正在尝试让用户更新他们的密码。

我有一台 Server 2016,其中 Active Directory 和 ADFS 配置为 SSO。SSO
工作正常,Active Directory 与 Azure AD 同步。
我们使用 Office 365,新用户按计划同步。

我启用了 AD FS 端点 /adfs/portal/updatepassword,正如我读过的教程中要求的那样。
当我浏览到https://www.example.com/adfs/portal/updatepassword我收到“HTTP 错误 503。服务不可用”。http 也是一样。

我已在事件查看器中启用 AD FS 跟踪,但找不到任何条目来帮助我找到并修复问题。

此外,当我单击 Office 365 中的更改密码时,我收到错误“您无法在此处更改密码”。

我不知道这两者是否相关,但我完全陷入困境。任何帮助都将不胜感激!

因此,只需说明一下:我希望未在加入域的计算机上工作的用户能够从他们的 Office 365 环境中更改密码。

编辑:我在 AD FS 管理事件日志中收到此错误:

There was an error in enabling endpoints of Federation Service. Fix configuration errors using PowerShell cmdlets and restart the Federation Service. 

Additional Data 
Exception details: 
System.Net.HttpListenerException (0x80004005): Access is denied
   at System.Net.HttpListener.AddAllPrefixes()
   at System.Net.HttpListener.Start()
   at Microsoft.IdentityServer.WebHost.HttpListenerBase.Start(UInt32 contextPoolSize)
   at Microsoft.IdentityServer.Web.PassiveProtocolListener.Start()
   at Microsoft.IdentityServer.ServiceHost.STSService.OnStartInternal(Boolean requestAdditionalTime)

我已禁用 updatepassword 端点,但重新启动 AD FS 服务时仍会收到此错误。那么,此错误是否会以某种方式阻止端点启用/加载?我在哪里可以找到 Web 服务器的日志?我在这里盲目飞行(崩溃)。

答案1

如果 Azure AD 中的用户是联合用户或密码从本地同步,则应启用密码写回才能从 Office 365 门户更改密码。另请注意,密码写回功能需要Azure AD 高级版订阅。有关此内容的更多详细信息,请参阅这里

是的,也可以使用端点 /adfs/portal/updatepassword/ 让您的用户更改密码。但是,您应该注意:

  1. 如果您在 Server 2012 R2 上使用 ADFS 3.0,默认情况下仅在工作场所已连接设备(在 AD 中注册的设备)用户可以更改密码。您可以安装修补程序 KB3035025 来摆脱此问题。

  2. 您应该在代理上启用更新密码端点,以使来自外部网络的用户能够更改密码。有关详细步骤的更多详细信息,请参见这里

相关内容