驗證時出現 3 個可怕的登入提示

驗證時出現 3 個可怕的登入提示

這週末我遇到這個非常常見的問題，而且這個問題是發生在我正要重建的 ADFS 伺服器上。如您所知，最普遍的原因是某些 Kerberos 設定錯誤，或是使用一些與 Web 應用程式的伺服器名稱不同的名稱 ('ol 停用回送案例)。不過，這個問題不一樣，只出現在 ADFS 伺服器上，所以，我將它擷取下來，以供日後參考。

AD FS 2.0 其實是個不錯的工具，可用來將問題寫入事件記錄檔。當您開啟 [事件檢視器] 時，會看到有個代表 AD FS 2.0 的獨立節點。在這個特定個案中，我確實停止在其中尋找錯誤，它真的花費相當長的時間，因為裡面似乎有很多不同的程式會再向您顯示三個可怕的登入提示。長話短說，就是我在設定 ADFS 伺服器時，a) 將它設定為以網域帳戶的身分執行，並且 b) 使用為 ADFS 而建立的憑證進行 Token 簽署。結果問題出在，用於 ADFS 的服務帳戶沒有 Token 簽署憑證的私密金鑰權限。以上，就是造成 3 個登入提示的原因，實在讓人同時感受到有趣 、吃驚又沮喪。若要將憑證私密金鑰的權限授與服務帳戶，您必須執行 MMC，為本機電腦新增 [憑證] 嵌入式單元，接著開啟 [個人] 節點並以滑鼠右鍵按一下 Token 簽署憑證，然後選擇 [管理私密金鑰] 功能表。您可以在其中存取 [安全性] 索引標籤，然後新增具有私密金鑰最低讀取權限的 ADFS 服務帳戶。

希望這份資訊能為後人節省一些時間。

這是翻譯後的部落格文章。英文原文請參閱 The Dreaded 3 Login Prompts When Authenticating