Мы находимся в процессе диагностики проблемы, из-за которой наши локальные серверы ADFS перестают принимать запросы от прокси-серверов ADFS на короткое время (с интервалом 5 минут).
Одно поведение, которое нам трудно понять, заключается в том, что, когда ADFS перестает отвечать, пользователи клиента Outlook получают запрос на повторную аутентификацию и отключаются по истечении времени ожидания запроса токена. Одно из предположений заключалось в том, что существует какой-то сброс сетевого сеанса, но мы не смогли идентифицировать это, происходящее на сетевом пути для пользователей Outlook.
Согласно документации и поддержке Microsoft, пользователям выдаются токены входа со сроком действия по умолчанию 8 часов. Если это было правдой, почему пользователям предлагается повторно пройти аутентификацию?
Вам следует собрать некоторые данные perfmon, чтобы увидеть, находится ли сервер под большой нагрузкой и распределяется ли нагрузка между серверами AD FS. Неправильно настроенные балансировщики нагрузки (например, закрепленные сеансы) могут вызывать больший трафик на один сервер, чем на другие в ферме.
В зависимости от устройств, используемых для подключения к Exchange Online, вы можете увидеть больше трафика проверки подлинности. Каждый раз, когда соединение разрывается и устанавливается новое соединение, Exchange может запрашивать у пользователя учетные данные. Вы можете не увидеть его, если выберете опцию сохранения пароля. На этом этапе вход в систему будет выполняться в AD FS с использованием этих учетных данных.
Между прочим, время жизни токена для платформы аутентификации O365 по умолчанию составляет 1 час. Не 8 часов. Этот 1-часовой токен полезен для пассивных приложений (например, на основе браузера), которые используют файлы cookie для сеанса. Они не помогут в этом случае, когда устройства постоянно устанавливают новые соединения (например, почтовые клиенты на телефонах / планшетах).