我们正在诊断一个问题,即我们的内部 ADFS 服务器在短时间内(5 分钟间隔)停止接受来自 ADFS 代理服务器的请求。
我们难以理解的一个行为是,当 ADFS 停止响应时,Outlook 客户端用户会收到重新身份验证的提示,并在令牌请求超时时断开连接。有人认为存在某种网络会话重置,但我们无法确定 Outlook 用户的网络路径上是否发生了这种情况。
根据文档和 Microsoft 支持,用户会获得默认 TTL 为 8 小时的登录令牌。如果这是真的,为什么用户需要重新进行身份验证?
答案1
您应该收集一些性能数据,以查看服务器是否处于高负载状态以及负载是否在 AD FS 服务器之间分配。配置错误的负载平衡器(例如粘性会话)可能会导致服务器场中一台服务器的流量大于其他服务器。
根据用于连接到 Exchange Online 的设备,您可能会看到更多的身份验证流量。每次断开连接并建立新连接时,Exchange 可能会提示用户输入凭据。如果您单击了保存密码选项,您可能看不到它。此时将使用这些凭据对 AD FS 进行登录。
顺便说一句,O365 身份验证平台的令牌有效期默认为 1 小时。不是 8 小时。1 小时令牌对于使用 cookie 进行会话的被动应用程序(即基于浏览器)很有用。当设备不断建立新连接(例如手机/平板电脑上的邮件客户端)时,它们在这种情况下不会有帮助。