首先我要说的是,我目前不在服务器附近,因此无法直接读出任何错误消息。
我们已经实施了 ADFS 3.0 服务器,并使用 Microsoft 附带的 SSO 网页。我们遇到了子域的 UPN 无法在使用表单身份验证的外联网上正常工作的问题。更容易描述的问题:
我们有一个带有子域的域。出于意图和目的,主域中具有 UPN 的用户的后缀是[电子邮件保护]. 子域用户的 UPN 是[电子邮件保护]。
在 SSO 网站上,UPN 可用于登录主域,但子域的 UPN 会出错。例如:[电子邮件保护]将会登录,但是[电子邮件保护]不起作用。更令人困惑的是,xyz\bananas 允许您登录,bananas@xyz 也一样(后缀 xyz 后面没有任何内容)。为了澄清这一点,子域名的实际名称是 xyz,因此 xyz\ 无论如何都应该有效,@xyz 也应该有效,因为后面的域名被 SSO“理解”。
为了澄清所有这些问题并提供简要版本,输入主域用户的 UPN 有效,但输入子域用户的 UPN 无效。ADFS 和 Active Directory 中的所有内容似乎都配置正确。如果其他人遇到过类似问题,我将不胜感激任何提示或建议。目前,感觉表单本身存在问题。
再提供一点信息,当我们使用 Windows 身份验证时,Intranet 中的同一站点运行良好。我们暂时关闭了 Windows 身份验证并在内部使用表单身份验证,子域的 UPN 运行正常。