ADFS 2.0 - Comment puis-je Debug “401 - non autorisé”

- Je configurer un Serveur de test 2008 boîte avec Active Directory et ADFS 2.0. J'ai un ASP.NET app qui utilise WIF pour fédérer l'identité. ADFS est configuré pour utiliser Active Directory pour les informations d'identité. J'ai utilisé WIF à configurer le client de l'application à utiliser ADFS point de terminaison.

Lorsque je tente de charger le ASP.NET application en tant qu'utilisateur du navigateur, je suis redirigé vers la ADFS point de terminaison et je suis invité pour les informations d'identification. J'ai tenté de me connecter avec plusieurs comptes utilisateurs, même la réinitialisation de mots de passe, mais les pouvoirs ne semblent jamais être correcte et une 401 non autorisé est retourné. Je peux me connecter à d'autres systèmes avec succès avec les mêmes informations d'identification.

J'ai activé trace de débogage en mode verbose et activé l'audit en mode verbose, mais je ne peux pas trouver des erreurs ou des infos pour m'aider à comprendre le problème.

Comment puis-je obtenir plus d'informations à cerner le problème?

Mise à JOUR:

J'ai trouvé que ce problème est provoqué par mon environnement de test. Ma machine de dev est sur notre domaine d'entreprise (acme.com). J'ai créé deux 2008R2 VMs pour le test d'un Contrôleur de Domaine (notacme.com) et le Serveur Web.

Si je tente d'accéder au site à partir d'un ordinateur sur le acme.com domaine de l'erreur décrite ci-dessus se produit. Si je tente d'accéder au site à partir d'un ordinateur sur le notacme.com domaine il fonctionne.

Que puis-je faire pour accéder au site web à partir d'un ordinateur sur le acme.com nom de domaine?

Comment est votre authentification ADFS mode configuré? Les formes ou Intégrée?
Je pense qu'il est configurer pour intégré. Comment puis-je m'assurer?
Le mode intégré ne fonctionne pas dans les navigateurs autres qu'IE. Vous pouvez vérifier la configuration dans le web.le fichier config pour le adfs application web qui est habituellement dans C:\inetpub\adfs\ls dans le microsoft.identityServer section de configuration.
Je suis à l'aide d'Internet Explorer 8.

OriginalL'auteur chief7 | 2011-07-14

  1. 5

    Apparemment, cela a été causé par l'extension de la Protection intégrée dans ADFS. En essayant de résoudre ce problème que j'ai eu Fiddler en cours d'exécution pour suivre les demandes et les réponses, mais à un moment, je vous jure, je l'ai désactivé pour tester mais ça ne fonctionne toujours pas. Apparemment, je n'ai pas de supprimer complètement le proxy Fiddler car après un IE redémarrer et avec un violon pas en cours d'exécution, il a travaillé dans IE, mais cela ne fonctionne toujours pas dans Firefox ou Chrome. Cela m'a conduit à un article TechNet qui décrit le comportement que j'ai pu voir en conjonction avec l'aide de Fiddler.

    http://social.technet.microsoft.com/wiki/contents/articles/ad-fs-2-0-continuously-prompted-for-credentials-while-using-fiddler-web-debugger.aspx

    OriginalL'auteur chief7

  2. 0

    Dans mon expérience, chaque échec de connexion dans IIS (y compris les services AD FS) est enregistré dans la "Sécurité" journal des événements comme un " Échec de la Vérification de l'événement, qui contient plus de détails. Donc je recherche dans l'observateur d'événements sur l'AD FS système, et voir ce que ces événements ont à dire. Aussi dans l'observateur d'événements, cochez la case 'Applications et de Services Logs' -> 'AD FS 2.0' -> Administration du journal des événements.

    Il semble que vous n'essayez de regarder le trafic HTTP, par exemple, à l'aide de Fiddler. Ce qui est bon. Je présume que le problème se produit également lorsque Fiddler n'est pas utilisé?

    (Avez-vous peut-être avoir un problème de connexion répétées dans la forme, après que vous avez entré le nom d'utilisateur et mot de passe? Ensuite, regardez la réponse suivante: L'authentification ADFS - IE8 fonctionne, google Chrome ne parvient pas.)

    (J'ai aussi vu un cas où l'authentification initiale a été un succès, résultant dans de Vérification Succès " des événements, et puis un 401 a entraîné plus de redirection. Dans ce cas également, les journaux d'événements sur l'AD FS système a aidé.)

    Je ne vois pas de toute défaillance dans l'un de ces journaux. Des idées?
    Donc, vous voyez pas de "Succès de l'Audit" et non "un Échec de la Vérification" des événements dans le journal des événements de Sécurité sur votre AD FS système, correspondant à la fois lorsque vous essayez de l'échec de connexion? Si oui, alors je suis à une perte. Dans mon expérience, ces événements sont toujours là, au moins, si AD FS est installé correctement (et il semble être, puisqu'il semble que vous utilisez ce même AD FS instance avec succès à partir d'une autre application web). Aussi, comme le suggère de regarder le trafic HTTP.
    Non, je suis voyant le succès de l'audit des messages. Si j'entre le mot de passe erroné, je vois Audit des Échecs. Je vois aussi de Ticket de Service Kerberos opérations et du Service d'Authentification Kerberos événements. De toute façon, je suis toujours présentés avec les informations d'identification d'entrée popup et 401.
    Dans un violon, l'URL demandée n'est pas changé, indépendamment du fait que j'ai mis dans des informations d'identification valides ou pas.
    Peut-être, juste peut-être) votre navigateur n'envoie pas les cookies? Le nom de l'hôte ont un trait de soulignement, causant c'est à dire pas d'envoyer des cookies? Dans tous les cas, si vous pouviez poster un Violoneux trace quelque part, je voudrais prendre un coup d'oeil.

    OriginalL'auteur Marnix Klooster