我在 Server 2019 上运行了一个新的 ADFS 实现。设置后,我使用 /adfs/ls/IdpInitiatedSignon.aspx 测试了各种用户帐户的身份验证。我测试的大多数帐户都可以正常工作,没有任何问题。但是,有一些帐户表现出以下行为:
- 使用错误的用户名/密码登录会导致显示用户名/密码不正确的错误消息。这是预期的和可取的。
- 使用正确的用户名/密码登录会导致页面刷新,再次显示登录表单。没有错误信息。我将此称为“刷新登录”。
在 ADFS 服务器上的安全事件日志中,我看到以下三个与“刷新登录”相关的事件:
- 事件 4648 - 尝试使用显式凭据登录。
- 事件 4624 - 帐户已成功登录。
- 事件 4625 - 帐户登录失败(失败原因:未知用户名或密码错误)
几条信息:
- ADFS 配置为使用名为 FsGmsa 的组托管服务帐户。它是 Windows 授权访问组的成员。
- 启用“表单”和“Microsoft Passport 身份验证”作为主要身份验证方法。我最终将添加 Azure MFA。
- 所有测试都在内网运行。
- 所有证书均有效且未过期。
- 无论使用什么计算机/设备,对于相同的用户,我都会得到相同的结果。
- 我找不到有效的帐户和无效的帐户之间的任何相似之处或差异。