我们正在诊断一个问题,即我们的本地ADFS服务器停止从ADFS代理服务器接收请求(5m间隔)。
一种我们难以理解的行为是,当ADFS停止响应时,会提示Outlook客户端用户重新进行身份validation,并在令牌请求超时时断开连接。 一个build议是有一些networking会话重置,但我们一直无法识别Outlook用户的networkingpath发生这种情况。
根据文档和Microsoft支持,用户会发出默认TTL为8小时的login令牌。 如果这是真的,为什么用户被质疑重新authentication?
您应该收集一些perfmon数据以查看服务器是否负载过重以及负载是否分布在AD FS服务器中。 负载平衡器configuration错误(例如粘滞会话)可能会导致一个服务器的stream量比服务器场中的其他stream量多。
根据用于连接Exchange Online的设备,您可能会看到更多身份validationstream量。 每次断开连接并build立新的连接时,Exchange都可能提示用户input凭据。 如果单击保存密码选项,则可能看不到它。此时,将使用这些凭据对AD FS进行login。
顺便说一下,O365身份validation平台的令牌生存期默认为1小时。 不是8个小时。 1小时令牌对于为会话使用cookie的被动应用程序(即基于浏览器)非常有用。 在这种情况下,当设备不断build立新的连接(如手机/平板电脑上的邮件客户端)时,他们不会提供帮助。