Partager via

Die gefürchteten drei Anmeldeaufforderungen bei der Authentifizierung

  • Article

Die gefürchteten drei Anmeldeaufforderungen bei der Authentifizierung

Dieses sehr häufig auftretende Problem traf mich an diesem Wochenende, jedoch auf meinem ADFS-Server, den ich gerade neu erstellte. Die häufigsten Ursachen hierfür liegen ja bekanntlich in einer falsch konfigurierten Kerberos-Einstellung oder in der Verwendung eines anderen Namens als dem Servernamen für eine Webanwendung (das Szenario mit der Loopbackdeaktivierung). Hier lag jedoch ein anderes, für einen ADFS-Server spezifisches Problem vor, daher habe ich dieses Problem zu Referenzzwecken festgehalten.

Das Schreiben von Problemen in das Ereignisprotokoll funktioniert in AD FS 2.0 recht gut. Beim Öffnen der Ereignisanzeige wird ein separater Knoten für AD FS 2.0 angezeigt. Sehen Sie sich also diesen Knoten an. In diesem speziellen Fall habe ich den Schuldigen hier gefunden. Es hat jedoch ziemlich lange gedauert, da viele verschiedene Dinge vorfallen können, die die gefürchteten drei Anmeldeaufforderungen verursachen können. Lange Rede, kurzer Sinn: Bei der Konfiguration des ADFS-Server habe ich a) den Server so konfiguriert, dass er als Domänenkonto ausgeführt wird und b) ein Zertifikat verwendet, das ich nur für ADFS für die Tokensignierung erstellt habe. Das Problem liegt nun darin, dass das Dienstkonto, das ich für ADFS verwendet habe, keine Berechtigungen für den privaten Schlüssel des Zertifikats für die Tokensignierung besaß. Dies war der Grund für die drei Anmeldeaufforderungen, was interessant, erstaunlich und gleichzeitig auch frustrierend war. Wenn Sie dem Dienstkonto Berechtigungen für den privaten Schlüssel des Zertifikats erteilen möchten, müssen Sie MMC ausführen, das Zertifikate-Snap-In für den lokalen Computer ausführen, den Knoten Persönlich (Personal) öffnen, mit der rechten Maustaste auf das Zertifikat für die Tokensignierung klicken und das Menü Private Schlüssel verwalten (Manage Private Key) öffnen. Hier können Sie die Registerkarte Sicherheit (Security) öffnen und das ADFS-Dienstkonto mindestens mit Lesezugriff auf den privaten Schlüssel hinzufügen.

Ich hoffe, dass erspart Einigen etwas Zeit.

Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter The Dreaded 3 Login Prompts When Authenticating.