通过ARR反向代理和URL重写访问AD FS（不起作用）

Question

我有以下设置：

1. Web应用程序->使用OWIN WSFederation

2. AD FS 3.0

3. ARR反向代理

Web App和AD FS 3.0位于代理后面。所有重写规则均已正确配置。重定向正确发生。点击我的Web应用程序后，我通过代理重定向到AD FS服务器，浏览器显示弹出窗口以输入凭据。但是，即使我提供了正确的凭据，该弹出窗口仍会继续出现。 2次后，我收到400错误的请求错误。

我已经进行了广泛的研究，并且已经尝试了以下方法：

1. 应用程序池和AD FS服务在同一域用户下运行。由于AD FS 3.0未托管在IIS下，因此我验证了运行AD FS服务的服务帐户。
在ARR代理服务器上，
2. useAppPoolCredentials设置为true。我无法对AD FS执行相同的操作，因为AD FS 3.0无法在IIS中运行。
3. 我已经注册了SPN：SETSPN -S HTTP / domain \ account。 （用于运行AD FS服务的帐户）。

基于我的试用错误的其他更新很少：

由于SSL证书，不会发生此问题。我通过HTTP尝试了整个流程，但仍然得到了相同的行为。

如果启用了“集成的Windows AuthN”，则IE会继续提示输入用户名密码，而在使用Chrome的情况下，我会收到502.3（服务器返回无效响应）。

如果我禁用“集成Windows AuthN”，则IE中的行为与Chrome相同。

我使用Fiddler检查过。 Kerberos令牌确实从浏览器传递到代理，并且从代理传递到AD FS。但是AD FS无法验证请求。

如果我绕过反向代理并直接命中AD FS，则相同的流程将起作用。

有人遇到过这样的问题。知道可能是什么原因吗？

============================================= =======================

感谢您的期待。