Server 2019 で新しい ADFS 実装を実行しています。セットアップ後、/adfs/ls/IdpInitiatedSignon.aspx を使用してさまざまなユーザー アカウントの認証をテストしました。テストしたアカウントのほとんどは問題なく動作しました。ただし、次の動作を示すアカウントがいくつかあります。
- 間違ったユーザー名/パスワードでサインインすると、ユーザー名/パスワードが間違っていることを示すエラー メッセージが表示されます。これは想定内の動作であり、望ましいものです。
- 正しいユーザー名/パスワードでサインインすると、ページが更新され、サインインフォームが再度表示されます。エラーメッセージは表示されません。これを「サインインを更新」。
ADFS サーバーのセキュリティ イベント ログには、「サインインの更新」に関連する次の 3 つのイベントが表示されます。
- イベント 4648 - 明示的な資格情報を使用してログオンが試行されました。
- イベント 4624 - アカウントが正常にログオンされました。
- イベント 4625 - アカウントがログオンに失敗しました (失敗の理由: ユーザー名が不明またはパスワードが間違っています)
いくつかの情報:
- ADFS は、FsGmsa と呼ばれるグループ管理サービス アカウントを使用するように構成されています。これは、Windows 承認アクセス グループのメンバーです。
- 主な認証方法として「フォーム」と「Microsoft Passport 認証」が有効になっています。最終的には Azure MFA を追加する予定です。
- すべてのテストはイントラネット内で実行されました。
- すべての証明書は有効であり、期限切れではありません。
- 使用するコンピューター/デバイスに関係なく、同じユーザーに対して同じ結果が得られます。
- 機能するアカウントと機能しないアカウントの間に類似点や相違点が見つかりません。
答え1
のWindows 認証アクセス グループ読む権限がなかったトークングループグローバルおよびユニバーサル問題のアカウントのプロパティ。問題を解決するために私が実行した手順は次のとおりです。
- Active Directory ユーザーとコンピューターを開く
- に行くビューメニューを確認し、高度な機能オプションがチェックされています。
- 開くプロパティ目的のユーザー アカウントに対して。
- クリック安全タブ。
- クリック高度なボタン。
- 探す許可する「Windows Authorization Access Group」プリンシパルのエントリ。
- エントリがある場合は、編集ボタン。
- もしあるならないエントリを追加するには、「追加」ボタンをクリックします。
- 上部のセクション許可エントリ次のようになります。
- 主要:Windows 認証アクセス グループ
- タイプ:許可する
- に適用されます:このオブジェクトのみ
- 新しいエントリの場合は、ウィンドウの一番下までスクロールして、すべてクリアボタン。
- チェックを追加するtokenGroupsGlobalAndUniversal の読み取りプロパティ。リストの一番下近くにあります。
- クリックわかりました閉じる許可エントリ窓。
- クリックわかりました閉じる高度なセキュリティ設定窓。
- クリックわかりましたアカウントにプロパティ窓。
問題となっている他のアカウントについても、手順 3 ~ 12 を繰り返す必要があります。その後、アカウントをテストすると、問題なくサインインできるはずです。