我在Windows 2008r2中运行ADFS 2.0,连接到SQL Server 2005数据库服务器。 现在,ADFS服务器有5623个TCP连接对SQL服务器打开(通过netstat进行检查 – 用powershell计数)。 许多连接正在影响我们的SQL服务器,并阻止备份正常运行。 从这个问题来看,似乎ADFS可能不会closures它的SQL连接,但连接都处于“已build立”状态。 这在几个月前成为了一个问题。 如果我记得正确的话,我通过重置NIC来强制终止(强制终止所有活动的连接)。 这一次我正在考虑重新启动ADFS服务。 但问题是,为什么这首先发生,我怎样才能排除根本原因? 我已经做了相当多的研究,找不到任何能够指向ADFS的东西 – 比如bug或者其他东西。
我们有一位最近在服务器2K12 R2上部署了ADFS 3.0的客户,作为我们的SaaS产品(我们是SP,我们使用SimpleSAMLPHP)的IDP。 这个客户是我们的第一个ADFS 3.0客户,但是我们有很多客户。 该客户在其域上使用通过IE身份validation,但在域外需要基于表单的身份validation–ADFS 3.0对此很有帮助。 但是,我们遇到了一个困难… 如果他们在与IE浏览器相同的浏览器环境下第二次login我们的应用程序,他们会从ADFS服务器获取HTTP 400,然后再发回给我们。 多一点颜色…我们的应用程序中有一个注销button,它会杀死我们的应用程序中的用户会话,但不会终止与ADFS的会话(但是真的如何通过传递和IE终止它,您的身份是您的域凭据)。 如果他们在退出后回到我们的应用程序,我们会将其发回给他们的IDP进行身份validation。 通常情况下,他们只是送回authentication,每个人都很高兴。 一些事实: 我们有一个没有代理服务器的域名 服务器通过正确的DNS名称在内部和外部路由 即使技术上ADFS 3.0不需要,我们也安装了IIS 我们试图增加详细程度并在ADFS中查看日志,但没有成功 我们可以在IE中通过每个浏览器会话一次性声明login 其他浏览器基于表单的身份validation正常工作 更有意思的是: 我们在我们公司设置ADFS 3.0来尝试重现它,并且在这里工作正常 我们现在在内部运行ADFS 2.0和3.0,一切正常 我们倾倒和比较了通过Powershell的ADFS属性,但没有成功 我们使用Fiddler来捕获工作事务和失败事务,它们几乎完全相同 Microsoft支持: 我们与微软展开了一个支持问题 微软声称我们在尝试重新authentication之前没有发布适当的SLO 我们在login时手动尝试了ADFS的SLO URL,并抛出了400! 基本上,从我的angular度来看,一旦我们login过,ADFS服务器就会抛出一次400,我们再次尝试再次交谈。 有任何想法吗? 提前致谢!
我正在尝试使用任务计划程序来监视位于Windows 2008 R2服务器上的DMZ中的AD FS 2.0代理上的AD FS 2.0事件日志。 我正在尝试监视特定事件ID和数据的日志。 我知道格式的工作原理,因为我能够使用以下手动查询在应用程序日志中触发任务: <QueryList> <Query Id="0" Path="Application"> <Select Path="Application">*[System[(Level=2) and (EventID=1)]] and *[EventData[(Data='Testing')]] </Select> </Query> </QueryList> 如果我使用EVENTCREATE,则可以使用以下命令创buildtesting事件以testing上述计划任务: EventCreate /ID 1 /L APPLICATION /T Error /SO Test /D "Testing" 我还可以使用以下查询使用AD FS 2.0日志来触发计划任务(并且工作正常): <QueryList> <Query Id="0" Path="AD FS 2.0/Admin"> <Select Path="AD FS 2.0/Admin">*[System[(Level=2) and (EventID=364)]]</Select> </Query> </QueryList> 但是,一旦我尝试从日志中查询特定的“ 数据 ”,计划任务也不会被触发。 以下查询失败: […]
让我先序说我暂时不在服务器附近,所以我不能直接读出任何错误信息。 我们已经实现了一个ADFS 3.0服务器,并使用微软包含的SSO网页。 我们使用表单身份validation时,子网域的UPN在外网上无法正常工作。 更容易描述问题: 我们有一个子域的域。 出于意图和目的,在主域中具有UPN的用户的后缀是[email protected]。 子域用户UPN是[email protected]。 在SSO站点上,UPN将在主域上login,但会在子域的UPN中出错。 例如:[email protected]将会login,但[email protected]将不起作用。 为了进一步混淆事实,xyz \ bananas将允许您login,bananas @ xyz(后缀xyz之后没有任何内容)。 为了澄清这一点,子域名的实际名称IS xyz所以xyz \应该工作,无论如何,应该@xyz由于后续被SSO“理解”的域的延续。 为了澄清所有这些,并给出删节版本,input主域用户的UPN工作,但在子域中的用户的UPN键入将不起作用。 所有东西都要在ADFS和Active Directory中正确configuration。 如果其他人遇到类似的情况,我将不胜感激任何提示或build议。 目前,这种forms本身就是一个问题。 为了提供更多信息,当我们使用Windows身份validation时,Intranet中的同一站点工作正常。 我们暂时closures了Windows身份validation,并在内部使用表单身份validation,子域的UPN正常工作没有问题。
我们有一个工作的ADFS服务器,允许一些用户通过WIA向SP进行身份validation,但是一些人正在被引导到RPT的ADFSlogin页面。 用户可以在那里login,并返回到SP就好了。 这不是一个用户问题,因为我可以login到一个工作站,使用WIA就好了,但是之后会被redirect到另一个工作站上的login页面。 我确认它不是浏览器版本问题。 GPO在IE中启用WIA,将SP和ADFS域添加到受信任和本地Intranet列表中。 尽pipe错误并不直接相关,但我确认了本支持文章中的所有build议都已到位:https://support.microsoft.com/en-us/kb/3044976 。 有谁之前经历过这个吗?
我试图将我的ADFS / WAP移到云端,以便在遇到最近的失败后提供更好的恢复能力。 部分为了节省虚拟机成本,我只使用了2个虚拟机,在域控制器上安装了ADFS,在另一台机器上安装了WAP。 好像很多人推荐在域控制器上运行ADFS。 但是,当configurationWeb应用程序代理时,我有点卡住了。 它要求ADFS服务器上的本地pipe理员帐户…在这种情况下,我必须将该帐户添加到MyDomain \ Administrators,这是一个非常高风险的组。 这不符合在DC上运行ADFS的想法。 在启动WAP安装后configuration时,我正在查看联合服务器页面,在其中请求联合服务名称,并在其下方提示ADFS服务器上的本地pipe理员帐户。 当然,DC上没有本地pipe理员组,只有等效的Domain \ Administrators组才具有修改域本身的权限。 除了将ADFSangular色从DC上卸下之外,有没有办法解决这个问题? 一个更有限的帐户也许? 还是这个风险低于乍一看呢?
在尝试计划从Exchange 2010迁移到Office 365的过程中,我一直在圈子里转,信息冲突和意见不一,对于我的情况来说,迁移方法是最好的。 考虑这种情况,请指教…. 一个公司有一个AD域名和域名ABC.com, 在ABC.com中,有一台交换机2010服务器负责300个用户的所有交换angular色, ABC.com还拥有并使用多个电子邮件域名,如DEF.com,LMN,com和XYZ.com(均设置为接受域,MX / AutoDiscoverlogging指向相同的内部部署服务器)。 每个用户都有一个ABC.com别名,而另一个接受的域被设置为主要的。 每个用户使用他们的@ ABC.com UPNlogin到Outlook和其他域authentication服务。 30个使用XYZ.com域名作为主要别名的邮箱用户希望迁移到Office 365,其次是几个星期后的DEF.com用户,几个星期之后是LMN.com。 最后,ABC.com将被要求通过365环境进行路由,在这个环境中,它应该被设置为邮箱的别名(原来是在本地服务器上) 将需要实施ADFS以允许通过本地AD进行帐户pipe理 什么是达到这个目标的最好方法? 最佳迁移path? 脚步? 为了使ADFS和DirSync能够正常工作,ABC.com是否需要在Office 365中注册为接受域? – (我不能看到它没有这个工作,但我需要问) 由于ABC.com的DNSlogging直到迁移的最后才能更改,我假设在迁移接受的域名时,为了在ABC和XYZ域名上接收电子邮件,这两个别名都需要在Outlook中单独configuration(即[email protected]指向office 365和[email protected]指向内部部署服务器) – 这是正确的吗?
在AD FS中有一个网站列表,可以让你进入其他网站。 是否有可能在login之前不会显示这些内容,然后将这些内容限制为用户可以访问的服务(例如,Amazon Web Services仅限于AD上的AWS组,除非您是该组的成员,否则不能访问它)。 另外一个问题是,我们有AD FS运行Office 365.这不会显示为站点选项。 有没有办法使这个网站(我们使用Azure AD同步)。 我们希望做到这一点,以便您可以login到一个网站,并从可用的下拉列表中简单地select您的服务。 谢谢。
我们正在Windows服务器2012R2上实施WebApplication Proxy(WAP),以替代TMG的authenticatin / SSOfunction。 目前我们有一个工作的WAP与SSO的: – SharePoint 2013 – 外表 – Office 365 – 其他几个Web应用程序。 身份validation很有效,它是一个真正的无缝validation环境。 它的后端基于Kerberos,因此没有声明被用于SharePoint或Exchange。 正确的SPN是在AD中创build的。 当我使用webbrowserlogin(尝试通常的嫌疑人)并尝试打开位于SharePoint服务器上的office文档时,Office Web App服务器(再次使用SSO)可以正常打开文档,但是当我尝试编辑Word(或Excel等)的文档,我从WAP服务器得到一个新的身份validation提示(基于表单)。 如果我再次input我的凭证,文档打开,一切正常。 我可以保存文档等。当我离开MS Office应用程序打开并从SharePoint网站打开另一个文档时,我没有得到另一个身份validation提示。 这不是我们对TMG解决scheme的无缝体验。 在我看来,有两个不同的会话cookie在玩。 一个用于浏览器,一个用于MS Office应用程序。 当然,我广泛search这个,但没有find解决办法。 这几乎就像我是唯一有这个问题的人! 到目前为止,我学到的东西是MS Office使用MSOFBA“引擎”来处理他们的应用程序。 也许有一种方法可以将此useragent添加到WAP服务器,以便在webbrowser中进行身份validation时接收正确的cookie? 我真的被困在这里 再加上我是唯一的感觉,让我觉得我正在做一些非常愚蠢的事情。 感谢您的任何想法! PS所有对WAP的访问都是外部的。 我们的域内没有进行内部(Intranet)身份validation。 我们有一个完整的BYODnetworking,其中一切都以“如果您在家工作”的forms呈现。
我试图根据微软的最佳实践在DMZ中设置一个ADFS代理,但并不真正了解这是如何做到的。 基本前提是服务器放置在DMZ中,并且来自互联网的所有HTTPSstream量都被转发到该服务器。 此服务器然后与内部networking上的ADFS服务器进行通信。 现在,这是否意味着ADFS代理服务器有两个网卡,每个都在各自的networking中? 或者我需要在两个区域之间设置路由? 如果是这样的话,我将不得不在DMZ中的ADFS代理上设置默认路由。 任何见解或提示,不胜感激。