Мы используем прокси-сервис от zScaler. Это настроено так, что между нами и zScaler существует сервер ADFS, который аутентифицирует пользователей и разрешает им доступ в Интернет. Это работало нормально и хорошо до последних нескольких месяцев (возможно, 6). Обычные пользователи могут по-прежнему правильно проходить аутентификацию и получать свои файлы cookie в Интернете. Однако члены администраторов домена этого не делают. Звонок в службу поддержки zScaler закончился тем, что они предложили нам связаться с Microsoft и позвонить в службу поддержки. Достаточно справедливо, но думал, что посмотрю, есть ли у кого-нибудь здесь какие-нибудь мысли?
Мы попытались удалить пользователя из числа администраторов домена, изменить OU, в котором находится его учетная запись, заново создать сервер ADFS с нуля (в конечном итоге это необходимо для исключения отвлекающих ошибок и из-за того, что другой администратор не составил строгую документацию). Когда я пытаюсь войти в систему, ошибка не возникает, но браузер заходит в бесконечный цикл, пытаясь аутентифицироваться.
Единственный возможный прорыв, который у нас был, - это отключение SAML и установка форм в качестве метода аутентификации. После появления приглашения для входа в систему мы можем ввести учетные данные, но страница обновляется и не обрабатывает запрос. Со стороны сервера я вижу ошибку аудита (4776), но, похоже, это относится к уровням LM в домене, которые не меняются для каждой учетной записи пользователя.
Я ни в коем случае не являюсь экспертом в ADFS 2.0, и единственное, что мы используем в нашей компании, - это прокси. Это означает, что навыков и знаний на земле мало.
Я оставлю это на этом, поскольку мое сообщение уже кажется довольно бессвязным, но я был бы признателен за некоторые мысли, если они у кого-то есть, поскольку это немного почесывает голову.
ОБНОВИТЬ:
Похоже, в этой КБ есть что-то многообещающее:
https://support.microsoft.com/kb/2896713/en-us#appliesto
Посмотрю, чтобы проверить окно технического обслуживания на выходных, но скрестим пальцы.
Итак, оказывается, что эта КБ была основной причиной проблемы:
http://support.microsoft.com/kb/2843638
Если пользователь является участником большого количества учетных записей, тогда аутентификация зайдет в цикл и никогда не завершится. У нас раньше была эта проблема с большими размерами билетов Kerberos в нашей организации. Это вкупе с расширением, которое привело к увеличению нагрузки на группы в AD, означало, что члены наших администраторов домена теперь выходили за рамки лимита «большого количества групп». Применение следующего исправления:
https://support.microsoft.com/kb/2896713/en-us#appliesto
теперь решил проблему. Надеюсь, это будет полезно для всех, кто столкнется с этой проблемой с ADFS.