ADFS 2.0 - как я могу отладить "401 - неавторизованный"

Question

Я установил тестовый сервер Server 2008 с Active Directory и ADFS 2.0. У меня есть приложение ASP.NET, которое использует WIF для федерации личности. ADFS настроен на использование Active Directory для идентификации личности. Я использовал WIF для настройки клиентского приложения на использование конечной точки ADFS.

Когда я пытаюсь загрузить приложение ASP.NET как пользователь из браузера, меня перенаправляют на конечную точку ADFS и запрашивают учетные данные. Я пытался войти в систему с несколькими учетными записями пользователей, даже сбрасывая пароли, но учетные данные никогда не бывают правильными, и возвращается 401 Unauthorized. Я могу успешно войти в другие системы с теми же учетными данными.

Я включил трассировку отладки в подробном режиме и включил аудит в подробном режиме, но не могу найти никаких ошибок или сведений, которые могли бы помочь мне разобраться в проблеме.

Как я могу получить больше информации, чтобы сузить проблему?

UPDATE:

Я обнаружил, что эта проблема вызвана моей средой тестирования. Мой компьютер разработчика находится в нашем корпоративном домене (acme.com). Я создал две виртуальные машины 2008R2 для тестового контроллера домена (notacme.com) и веб-сервера.

Если я пытаюсь получить доступ к сайту с компьютера в домене acme.com, возникает ошибка, описанная выше. Если я пытаюсь получить доступ к сайту с компьютера в домене notacme.com, он работает.

Что я могу сделать, чтобы получить доступ к веб-сайту с компьютера в домене acme.com?

Answer 1

Очевидно, это было вызвано функцией расширенной защиты, встроенной в ADFS. При попытке устранить эту проблему у меня был запущен Fiddler для отслеживания запросов / ответов, но в один момент я клянусь, что отключил его и для тестирования, но он все еще не работал. Очевидно, я не полностью удалил прокси-сервер Fiddler, потому что после перезагрузки IE, когда Fiddler не работал, он работал в IE, но обнаружил, что он по-прежнему не работает в Firefox или Chrome. Это привело меня к статье TechNet, в которой описывалось поведение, которое я видел в связи с использованием Fiddler.

http://social.technet.microsoft.com/wiki/contents/articles/ad-fs-2-0-continuously-prompted-for-credentials-while-using-fiddler-web-debugger.aspx

Answer 2

По моему опыту, каждая ошибка входа в IIS (включая AD FS) регистрируется в журнале событий «Безопасность» как событие «Ошибка аудита», которое содержит более подробную информацию.Поэтому я бы поискал в средстве просмотра событий в системе AD FS и увидел, что эти события говорят.Также в программе просмотра событий проверьте «Журналы приложений и служб» -> «AD FS 2.0» -> «Журнал событий администратора».

Похоже, вы пытались просмотреть HTTP-трафик, например, с помощью Fiddler.,Это хорошо.Я предполагаю, что проблема также возникает, когда Fiddler не используется?

(Возможно, у вас проблема повторного входа в систему после ввода правильного имени пользователя и пароля? Затем посмотрите на следующий ответ: Аутентификация ADFS - IE8 работает, Chrome не работает .)

(Я также видел случай, когда первоначальная аутентификация прошла успешно, что привело к событиям «Аудит Успех », изатем 401 был получен в результате более позднего перенаправления. Также в этом случае помогли журналы событий в системе AD FS.)