Server 2019에서 실행되는 새로운 ADFS 구현이 있습니다. 설정 후 /adfs/ls/IdpInitiatedSignon.aspx를 사용하여 다양한 사용자 계정에 대한 인증을 테스트했습니다. 제가 테스트한 대부분의 계정은 문제 없이 잘 작동했습니다. 그러나 다음과 같은 동작을 보이는 몇 가지 계정이 있습니다.
- 잘못된 사용자 이름/비밀번호로 로그인하면 사용자 이름/비밀번호가 올바르지 않다는 오류 메시지가 표시됩니다. 이는 예상되고 바람직합니다.
- 올바른 사용자 이름/비밀번호로 로그인하면 페이지가 새로 고쳐지고 로그인 양식이 다시 표시됩니다. 오류 메시지가 없습니다. 나는 이것을"로그인 새로고침".
ADFS 서버의 보안 이벤트 로그에 "새로 고침 로그인"과 관련된 다음 세 가지 이벤트가 표시됩니다.
- 이벤트 4648 - 명시적 자격 증명을 사용하여 로그온을 시도했습니다.
- 이벤트 4624 - 계정이 성공적으로 로그온되었습니다.
- 이벤트 4625 - 계정 로그온 실패(실패 이유: 알 수 없는 사용자 이름 또는 잘못된 암호)
몇 가지 정보:
- ADFS는 FsGmsa라는 그룹 관리 서비스 계정을 사용하도록 구성됩니다. Windows 인증 액세스 그룹의 구성원입니다.
- "양식" 및 "Microsoft Passport 인증"이 기본 인증 방법으로 활성화됩니다. 결국 Azure MFA를 추가하겠습니다.
- 모든 테스트는 인트라넷에서 실행되었습니다.
- 모든 인증서는 유효하며 만료되지 않았습니다.
- 어떤 컴퓨터/장치를 사용하든 관계없이 동일한 사용자에 대해 동일한 결과를 얻습니다.
- 작동하는 계정과 작동하지 않는 계정 사이에 유사점이나 차이점을 찾을 수 없습니다.
답변1
그만큼Windows 인증 액세스 그룹읽을 권한이 없었습니다.토큰그룹글로벌앤유니버설문제의 계정에 있는 재산입니다. 다음은 문제를 해결하기 위해 취한 단계입니다.
- Active Directory 사용자 및 컴퓨터 열기
- 로 이동보다메뉴를 확인하고고급 기능옵션이 체크되어 있습니다.
- 열기속성원하는 사용자 계정에 대해.
- 다음을 클릭하세요.보안탭.
- 다음을 클릭하세요.고급의단추.
- 다음을 찾으세요.허용하다"Windows 인증 액세스 그룹" 주체에 대한 항목입니다.
- 항목이 있으면편집하다단추.
- 만약 있다면~ 아니다항목을 추가하려면 "추가" 버튼을 클릭하세요.
- 상단 부분은권한 항목다음과 같아야 합니다:
- 주요한:Windows 인증 액세스 그룹
- 유형:허용하다
- 적용대상:이 개체만
- 새 항목인 경우 창 하단까지 스크롤한 후모두 지우기단추.
- 에 체크를 추가하세요.tokenGroupsGlobalAndUniversal 읽기재산. 목록의 맨 아래에 가깝습니다.
- 딸깍 하는 소리좋아요닫으려면권한 항목창문.
- 딸깍 하는 소리좋아요닫으려면고급 보안 설정창문.
- 딸깍 하는 소리좋아요계좌로속성창문.
문제의 다른 계정에 대해 3~12단계를 반복해야 합니다. 그런 다음 계정을 테스트하면 문제 없이 로그인됩니다.