ADFS 2.0 SAMLlogin工作…但不是域pipe理员

我们使用zScaler的代理服务。 这已经build立,以便我们和zScaler之间有一个ADFS服务器来validation用户,并允许他们访问互联网。 直到最近几个月(可能是6个月)的某个时候,这一直都很好,很花哨。 普通用户仍然可以正确authentication并接收他们的互联网cookie。 但是,域pipe理员的成员不。 与zScaler的支持电话已经结束,他们build议我们需要联系微软,并打开一个支持电话与他们。 够公平的,但我想我会看看这里有没有人有任何想法?

我们已经尝试从域pipe理员中删除用户,更改其用户帐户所在的OU,从头重新部署ADFS服务器(最终需要排除红鲱鱼错误以及另一个pipe理员没有发布严格的文档)。 当我尝试login时,没有错误产生,但浏览器进入无限循环尝试进行身份validation。

我们唯一可能的突破是禁用SAML并将Forms设置为身份validation方法。 通过提示login提示,我们可以input凭据,但页面刷新并不处理请求。 从服务器端,我可以看到一个审计失败(4776),但这似乎是指在每个用户帐户不更改的域中的LM级别。

我并不是ADFS 2.0的专家,只是我们公司内部的唯一用途就是代理。 这意味着技能和知识在当地有些薄弱。

我会把它留在这里,因为我的信息似乎已经相当漫不经心了,但如果有人有任何想法,我会感激一些,因为这是一个头脑刮。

更新:

看起来在这个KB中有一些很有前途的东西:

https://support.microsoft.com/kb/2896713/en-us#appliesto

将在周末考察维修窗口,但手指交叉。

所以事实certificate这个KB是问题的根源:

http://support.microsoft.com/kb/2843638

如果用户是大量帐户的成员,那么身份validation将进入循环并且永远不会完成。 我们以前曾经在我们的组织中使用过大的Kerberos票证大小。 再加上在AD中产生更多团体的扩张意味着我们的域pipe理员成员正在绊倒“大量团体”的限制。 应用以下热修复:

https://support.microsoft.com/kb/2896713/en-us#appliesto

现在已经解决了这个问题。 希望对于那些用ADFS来解决这个问题的人来说,这是非常有用的。