我们有一个现场ADFS 2016服务器设置来验证客户端到Web应用程序。这似乎适用于IE或Edge以外的浏览器。 使用这些浏览器时,客户端获取401并在尝试访问ADFS登录页面时收到提示输入凭据。 此版本的ADFS不使用IIS,因此无需设置任何内容。 我们确保ADFS DNS条目是A记录。 我们尝试将adfs网址添加到客户端浏览器中的受信任网站,但没有成功。 还有其他东西需要设置才能使用吗?
答案 0 :(得分:1)
此问题可能与ADFS中的主要身份验证设置设置为Windows身份验证有关。这在Windows 2016中可能略有不同,但在2012 R2中,如果您打开ADFS控制台,请在左窗格中选择身份验证策略,然后选择编辑全局主要身份验证在右窗格中,您可以看到Extranet和Intranet用户的主要身份验证设置。
如果您希望Windows Authn成为主要身份验证,则可能需要在IE / Edge中启用Windows集成身份验证。如果是这种情况,我可以提供几个步骤。
更新:看起来好像是Kerberos和SPN问题。您的ADFS计算机名称和ADFS服务名称不应相同。我认为问题的核心是SPN" HOST / AdfsMachineName"已注册ADFS服务器的AD计算机对象和SPN" HOST / AdfsServiceName"已在ADFS服务帐户中注册。如果 AdfsMachineName 和 AdfsServiceName 相同,则会导致重复的SPN方案。
答案 1 :(得分:0)
检查以下命令的输出。
Get-AdfsProperties | Select-Object -ExpandProperty WIASupportedUseragents
应该看起来像这样。
PS C:\Users\admin.contoso> Get-AdfsProperties | Select-Object -ExpandProperty WIASupportedUseragents
MSAuthHost/1.0/In-Domain
MSIE 6.0
MSIE 7.0
MSIE 8.0
MSIE 9.0
MSIE 10.0
Trident/7.0
MSIPC
Windows Rights Management Client
MS_WorkFoldersClient
=~Windows\s*NT.*Edge
PS C:\Users\admin.contoso>
这可以控制允许哪些用户代理,浏览器进行WIA。我怀疑此列表仅包含非IE-Edge用户代理。