ADFS: Einige Benutzer können sich nicht anmelden

tag-icon tag-icon authentication adfs
ADFS: Einige Benutzer können sich nicht anmelden

Ich habe eine neue ADFS-Implementierung auf Server 2019 laufen. Nach dem Setup habe ich die Authentifizierung für verschiedene Benutzerkonten mit /adfs/ls/IdpInitiatedSignon.aspx getestet. Die meisten der von mir getesteten Konten funktionierten einwandfrei und ohne Probleme. Es gibt jedoch einige Konten, die das folgende Verhalten aufweisen:

  • Wenn Sie sich mit einem falschen Benutzernamen/Passwort anmelden, wird eine Fehlermeldung angezeigt, die darauf hinweist, dass der Benutzername/das Passwort falsch ist. Dies ist zu erwarten und wünschenswert.
  • Wenn Sie sich mit dem richtigen Benutzernamen/Passwort anmelden, wird die Seite aktualisiert und das Anmeldeformular erneut angezeigt. Es gibt keine Fehlermeldung. Ich nenne das die"Anmeldung aktualisieren".

Im Sicherheitsereignisprotokoll auf dem ADFS-Server werden mir die folgenden drei Ereignisse im Zusammenhang mit der „Anmeldung aktualisieren“ angezeigt:

  • Ereignis 4648 – Es wurde ein Anmeldeversuch mit expliziten Anmeldeinformationen unternommen.
  • Ereignis 4624 – Ein Konto wurde erfolgreich angemeldet.
  • Ereignis 4625 – Die Anmeldung eines Kontos ist fehlgeschlagen (Fehlerursache: Unbekannter Benutzername oder falsches Kennwort)

Ein paar Infos:

  • ADFS ist so konfiguriert, dass es ein gruppenverwaltetes Dienstkonto namens FsGmsa verwendet. Es ist Mitglied der Windows-Autorisierungszugriffsgruppe.
  • Als primäre Authentifizierungsmethoden sind „Formulare“ und „Microsoft Passport-Authentifizierung“ aktiviert. Ich werde irgendwann Azure MFA hinzufügen.
  • Alle Tests wurden im Intranet durchgeführt.
  • Alle Zertifikate sind gültig und nicht abgelaufen.
  • Ich erhalte für dieselben Benutzer dieselben Ergebnisse, unabhängig davon, welcher Computer/welches Gerät verwendet wird.
  • Ich kann zwischen den Konten, die funktionieren, und den Konten, die nicht funktionieren, keine Ähnlichkeiten oder Unterschiede feststellen.

Antwort1

DerWindows-Autorisierungszugriffsgruppehatte keine Autorität, dietokenGroupsGlobalAndUniversalEigenschaft auf den betreffenden Konten. Dies sind die Schritte, die ich unternommen habe, um das Problem zu beheben:

  1. Öffnen Sie Active Directory-Benutzer und -Computer
  2. Gehen Sie zumSichtund stellen Sie sicher, dass dasErweiterte FunktionenOption ist aktiviert.
  3. Öffne dasEigenschaftenfür das gewünschte Benutzerkonto.
  4. Drücke denSicherheitTab.
  5. Drücke denFortschrittlichTaste.
  6. Suchen Sie nach einemErlaubenEintrag für den Prinzipal „Windows-Autorisierungszugriffsgruppe“.
    • Wenn ein Eintrag vorhanden ist, klicken Sie auf dasBearbeitenTaste.
    • Wenn da istnichtUm einen Eintrag zu erstellen, klicken Sie auf die Schaltfläche „Hinzufügen“.
  7. Der obere Teil desBerechtigungseintragsollte wie folgt aussehen:
    • Rektor:Windows-Autorisierungszugriffsgruppe
    • Typ:Erlauben
    • Gilt für:Dieses Objekt nur
  8. Wenn dies ein neuer Eintrag ist, scrollen Sie ganz nach unten im Fenster und klicken Sie aufAlles löschenTaste.
  9. Setzen Sie ein Häkchen beiLesen von tokenGroupsGlobalAndUniversalEigenschaft. Es steht fast ganz unten auf der Liste.
  10. KlickenOKzum Schließen desBerechtigungseintragFenster.
  11. KlickenOKzum Schließen desErweiterte SicherheitseinstellungenFenster.
  12. KlickenOKauf das KontoEigenschaftenFenster.

Sie müssen die Schritte 3 bis 12 für die anderen betroffenen Konten wiederholen. Testen Sie anschließend Ihre Konten. Die Anmeldung sollte dann problemlos funktionieren.

verwandte Informationen