Active directory 无法使用AD FS替代登录登录到Office 365_Active Directory_Office365_Adfs_Windows Server 2012 R2

Active directory 无法使用AD FS替代登录登录到Office 365

active-directory office365

Active directory 无法使用AD FS替代登录登录到Office 365,active-directory,office365,adfs,windows-server-2012-r2,Active Directory,Office365,Adfs,Windows Server 2012 R2,我将AD FS 3.0服务器配置为代理，并将其与Office 365联合。 active directory域名为domain.local，用户电子邮件地址为domain-plus.be。无法更改用户UPN，因此我选择配置Office 365。我还更改了以下Microsoft Office 365 Identity Platform声明。这样，用户就可以使用该电子邮件地址登录到adfsuser@domain-plus.be不更改upn 现在我遇到了以下情况：当我登录到一台加入域的计算机，并

我将AD FS 3.0服务器配置为代理，并将其与Office 365联合。 active directory域名为domain.local，用户电子邮件地址为domain-plus.be。无法更改用户UPN，因此我选择配置Office 365。我还更改了以下Microsoft Office 365 Identity Platform声明。这样，用户就可以使用该电子邮件地址登录到adfsuser@domain-plus.be不更改upn

现在我遇到了以下情况：

当我登录到一台加入域的计算机，并在用户的internet站点中添加AD FS登录页面URL时。用户导航到并输入其电子邮件地址，然后被重定向并自动登录到Office 365门户。不需要密码，这是应该的
当我使用相同的加入域的计算机并使用Chrome而不是IE时，在上输入电子邮件地址后，我会重定向到AD FS登录页面。但当我在其中输入密码时，AD FS日志中出现以下错误：

协议名称： wsfed 依赖方： urn:federation:MicrosoftOnline 异常详细信息： Microsoft.IdentityServer.RequestFailedException:MSIS7012:处理请求时出错。有关详细信息，请与管理员联系。-->Microsoft.IdentityServer.Service.AccountPolicy.AdaAccountLookupException:MSIS8013:用户的规范名称：“”：“CN=Testmailmigration，OU=Users，OU=Bio，DC=Bio，DC=local”格式不正确。该用户仍然是几分钟前登录到Office 365门户的同一用户。这些用户在内部工作，因此不使用AD FS代理

当我尝试登录外部时，我遇到了与第二个相同的问题情景

用户名和密码是正确的，这可以从场景1中得出结论。是否有人在配置simular设置时也遇到此错误
提前感谢,，
Gijs。
我们可以通过以下命令扩展ADFS上的SupportedUserAgents来解决Chrome的问题：
设置AdfsProperties–WiaSupportDuserAgents@（“MSAuthHost/1.0/域中”、“MSIE 6.0”、“MSIE 7.0”、“MSIE 8.0”、“MSIE 9.0”、“MSIE 10.0”、“Trident/7.0”、“MSIPC”、“Windows权限管理客户端”、“Mozilla/5.0”、“Edge/12”）
关于身份验证问题，我们注意到用户存在时，OU上有特殊的读取权限。这些权限是故意更改的，或者是因为软件安装（如cpsm门户）而更改的
经过身份验证的用户无法再对OU进行完全读取，因此无法进行LDAP查询。我们为我们的服务帐户提供了必要的OU的完整读取权限，从而解决了问题
因此，在我们的例子中，下面的错误与接收格式不正确的数据无关，我们根本无法读取数据
Microsoft.IdentityServer.Service.AccountPolicy.AdaAccountLookupException:MSIS8013:用户的规范名称：“”：“CN=Testmailmigration，OU=Users，OU=Bio，DC=Bio，DC=local”格式不正确
问候,， Gijs