我们在 Windows Server 2016 上通过 ADFS 3 进行 SSO 时遇到了一个奇怪的问题。虽然有些 Windows 10 客户端可以成功登录 IE,但有些则不能。所有 Windows 10 客户端都处于同一补丁级别。该问题似乎基于客户端而不是基于用户;用户 1 可以在客户端 A 上登录,但不能在客户端 B 上登录。我们使用漫游配置文件。
当故障客户端上的用户尝试打开重定向页面时https://sts.ourcompany.nl/adfs/ls/wia?wtrealm=https://original_page&wctx=some_guid[...]他或她将面对一个浏览器登录表单。用户输入正确的凭据并按 [OK],登录表单将再次弹出。输入正确的凭据后,它只显示一个空白页。ADFS 服务器上的 eventvwr 中不会记录任何错误或任何内容。当用户输入错误的凭据三次时,他的帐户将被锁定在 Active Directory 中,并且 ADFS 服务器上的 eventvwr 中会记录一个错误,事件 ID 为 364(用户帐户或密码不正确/引用的帐户当前已被锁定)。
我在这个问题上花了好几天的时间,现在有点不知所措。我们的 ADFS 正在运行,因为有些客户端可以成功登录。我们有一个用户 GPO 处于活动状态,以将相关站点/URL 放在正确的 IE 安全区域中。但我不知道为什么它在某些 Windows 10 客户端上不起作用?