AD FS bỏ qua các tham số "nhắc = đăng nhập" trong quá trình xác thực trong Windows Server 2016

Tóm tắt

Xác thực không thành công nếu bạn sử dụng xác thực mật khẩu không (chẳng hạn như thẻ PIV) trên máy chủ cung cấp danh tính (IdP), và yêu cầu chứa tham số nhắc đã đăng nhập là giá trị.

Nguyên nhân

Vấn đề này xảy ra do hành vi mặc định liên kết nhanh chóng chuyển đổi các tham số = nhắc đăng nhập vào wauth = mật khẩu & wfresh = 0 trong liên bang.

Giới thiệu về khắc phục sự cố

Hoạt động ngay bây giờ dịch vụ liên kết Active Directory (AD FS) hỗ trợ các tuỳ chọn sau để kiểm soát cách xử lý số nhắc = đăng nhập trong một liên kết. Các tùy chọn có thể được đặt trên toàn cầu cho tất cả các máy chủ liên kết bằng cách sử dụng lệnh set-ADFSProperties , nhưng chỉ khi nhóm đang chạy ở chế độ hỗn hợp. Thiết lập chung được di chuyển tự động cho các nhà cung cấp tuyên bố cá nhân khi nhóm hành vi cấp (FBI) lên Windows Server 2016. Họ có thể được xem bằng cách sử dụng lệnh get-ADFSProperties .

Lưu ý Các tuỳ chọn này cũng có thể được đặt trên từng yêu cầu cung cấp bằng cách sử dụng lệnh ghép ngắn Add-AdfsClaimsProviderTrust khi nhóm đang chạy ở chế độ không kết hợp.

  • Không. Không federate nhắc = đăng nhập yêu cầu và lỗi đó.

  • FallbackToProtocolSpecificParameters (Mặc định). Dịch = nhắc đăng nhập vào wfresh = 0Wauth = mẫu trong một liên kết. Nếu "wauth" trong yêu cầu ban đầu, nó sẽ được giữ lại.


    Giá trị mặc định "wauth" có thể được ghi đè bằng cách sử dụng tham số PromptLoginFallbackAuthenticationType . Ví dụ, lệnh dịch = nhắc đăng nhập vào wfresh = 0wauth = urn: ietf:rfc:2246 trong một liên kết.

    Set-AdfsProperties - PromptLoginFederation FallbackToProtocolSpecificParameters - PromptLoginFallbackAuthenticationType urn: ietf:rfc:2246

  • ForwardPromptAndHintsOverWsFederation. Chuyển tiếp tham số lời nhắc trong một liên kết.

  • Vô hiệu hoá. Loại bỏ các tham số nhắc từ yêu cầu trong một liên kết.

Sau đây là ví dụ về lệnh ghép ngắn set-ADFSProperties :

  • Set-AdfsProperties - PromptLoginFederation không

  • Set-AdfsProperties - PromptLoginFederation ForwardPromptAndHintsOverWsFederation

Cách nhận bản cập nhật này

Để thêm các tùy chọn mới, cài đặt bản Cập Nhật tháng 2018 KB 4077525.

Điều kiện tiên quyết

Để cài đặt bản cập nhật này, bạn phải có Windows Server 2016 cài đặt.
 

Thông tin đăng ký

Để áp dụng bản cập nhật này, bạn không phải thực hiện bất kỳ thay đổi sổ đăng ký nào.
 

Yêu cầu khởi động lại

Bạn phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.
 

Thông tin thay thế bản cập nhật

Bản cập nhật này không thay thế bản cập nhật được phát hành trước đó.

Trạng thái

Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".

Tham khảo

Tìm hiểu về thuật ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

×