Tôi có một triển khai ADFS mới đang chạy trên Máy chủ 2019. Sau khi thiết lập, tôi đã thử nghiệm xác thực cho nhiều tài khoản người dùng khác nhau bằng cách sử dụng /adfs/ls/IdpInitiatedSignon.aspx. Hầu hết các tài khoản mà tôi đã kiểm tra đều hoạt động tốt mà không gặp vấn đề gì. Tuy nhiên, có một vài tài khoản thể hiện hành vi sau:
- Đăng nhập bằng tên người dùng/mật khẩu sai dẫn đến thông báo lỗi cho biết tên người dùng/mật khẩu không chính xác. Điều này được mong đợi và mong muốn.
- Đăng nhập bằng tên người dùng/mật khẩu chính xác sẽ làm mới trang, hiển thị lại biểu mẫu đăng nhập. Không có thông báo lỗi. tôi sẽ gọi đây là "làm mới đăng nhập".
Trong Nhật ký sự kiện bảo mật trên máy chủ ADFS, tôi thấy ba sự kiện sau liên quan đến "làm mới đăng nhập":
- Sự kiện 4648 - Đã thử đăng nhập bằng thông tin đăng nhập rõ ràng.
- Sự kiện 4624 - Một tài khoản đã được đăng nhập thành công.
- Sự kiện 4625 - Tài khoản không đăng nhập được (Lý do không thành công: Tên người dùng không xác định hoặc mật khẩu không hợp lệ)
Một vài mẩu thông tin:
- ADFS được định cấu hình để sử dụng tài khoản dịch vụ được quản lý theo nhóm có tên là FsGmsa. Nó là thành viên của Nhóm truy cập ủy quyền Windows.
- "Biểu mẫu" và "Xác thực hộ chiếu Microsoft" được bật làm phương thức xác thực chính. Cuối cùng tôi sẽ thêm Azure MFA.
- Tất cả các bài kiểm tra đã được chạy trong mạng nội bộ.
- Tất cả các chứng chỉ đều hợp lệ và chưa hết hạn.
- Tôi nhận được kết quả giống nhau cho cùng một người dùng, bất kể máy tính/thiết bị nào được sử dụng.
- Tôi không thể tìm thấy bất kỳ điểm tương đồng hoặc khác biệt nào giữa tài khoản hoạt động và tài khoản không hoạt động.
