我在 Server 2019 上執行了一個新的 ADFS 實作。我測試的大多數帳戶都運作良好,沒有任何問題。但是,有一些帳戶表現出以下行為:
- 使用錯誤的使用者名稱/密碼登入會導致錯誤訊息,指示使用者名稱/密碼不正確。這是預期和可取的。
- 使用正確的使用者名稱/密碼登入會導致頁面刷新,並再次顯示登入表單。沒有錯誤訊息。我將稱之為“刷新登入”。
在 ADFS 伺服器上的安全事件日誌中,我看到以下三個與「刷新登入」相關的事件:
- 事件 4648 - 嘗試使用明確憑證登入。
- 活動 4624 - 帳戶已成功登入。
- 事件 4625 - 帳號登入失敗(失敗原因:使用者名稱未知或密碼錯誤)
幾個訊息:
- ADFS 配置為使用名為 FsGmsa 的群組託管服務帳戶。它是 Windows 授權存取群組的成員。
- 啟用「表單」和「Microsoft Passport 身份驗證」作為主要身份驗證方法。我最終將添加 Azure MFA。
- 所有測試均在內部網路中運作。
- 所有證書均有效且尚未過期。
- 無論使用什麼計算機/設備,我都會為相同的使用者獲得相同的結果。
- 我找不到有效帳戶和無效帳戶之間的任何相似之處或差異。
答案1
這Windows 授權存取群組沒有權限閱讀令牌組GlobalAndUniversal有關帳戶上的財產。這些是我為解決該問題所採取的步驟:
- 開啟 Active Directory 使用者和電腦
- 前往看法菜單並確保進階功能選項被選中。
- 打開特性對於所需的用戶帳戶。
- 點選安全標籤。
- 點選先進的按鈕。
- 尋找一個允許“Windows 授權存取群組”主體的條目。
- 如果有條目,請按一下編輯按鈕。
- 如果有不是條目,按一下“新增”按鈕。
- 的頂部部分權限入口應該是以下內容:
- 主要的:Windows 授權存取群組
- 類型:允許
- 適用於:僅此對象
- 如果這是一個新條目,請一直捲動到視窗底部,然後按一下全部清除按鈕。
- 新增一個檢查讀取 tokenGroupsGlobalAndUniversal財產。它接近列表的底部。
- 點選好的關閉權限入口窗戶。
- 點選好的關閉進階安全設定窗戶。
- 點選好的到帳戶特性窗戶。
您需要對其他相關帳號重複步驟 3-12。然後,測試您的帳戶,他們應該可以毫無問題地登入。