在 Exchange Server 2019 上配置 ADFS + OWA 时遇到问题
Trouble configuring ADFS + OWA on Exchange Server 2019
概览:
我们正在尝试使用 ADFS 在 Exchange 2019 服务器(内部部署)上为 OWA 配置 SSO。转到 https://mail.domain.com/owa 时,我们在 ADFS 中收到错误之前遇到 ADFS 和 OWA 之间的多次重定向,随后在 Windows 事件日志中出现错误,内容为:
Encountered error during federation passive request.
Additional Data
Protocol Name:
wsfed
Relying Party:
https://mail.domain.com/owa/
Exception details:
Microsoft.IdentityServer.Web.InvalidRequestException: MSIS7042: The same client browser session has made '6' requests in the last '0' seconds. Contact your administrator for details.
at Microsoft.IdentityServer.Web.Protocols.PassiveProtocolHandler.UpdateLoopDetectionCookie(WrappedHttpListenerContext context)
at Microsoft.IdentityServer.Web.Protocols.PassiveProtocolHandler.ProcessCommonCookiesInLastAuthenticationStage(ProtocolContext context)
at Microsoft.IdentityServer.Web.Protocols.WSFederation.WSFederationProtocolHandler.SendSignInResponse(WSFederationContext context, MSISSignInResponse response)
at Microsoft.IdentityServer.Web.Protocols.WSFederation.WSFederationProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
重现步骤:
- 安装 Exchange Server 2019
- 完全按照以下文章中概述的步骤安装 ADFS 和配置 SSO (click here)
- 导航到 https://mail.domain.com/owa。
到目前为止的故障排除:
- 已确认 ECP 和 OWA 外部 URL 与 Powershell 中设置的受众相匹配。
- 已确认我尝试登录的用户能够使用 FBA 进行身份验证。
- 已确认 OWA 按预期工作。
服务器 + 配置:
- 配置了自签名证书的 Exchange Server 2019 15.02.0221.017
- 配置了自签名证书的 ADFS 4.0
问题:
- 我在哪里可以获取详细说明 OWA 重定向回 ADFS 的原因的 OWA 日志?
- 上面链接的文章中有什么不正确的地方吗?
经过更多的测试,我们发现如果我们使用 IE11,问题就消失了。该问题仅存在于 Chrome 或 Edge Chromium。
我们决定更新到 Exchange 2019 CU10,没有进一步的问题。
概览:
我们正在尝试使用 ADFS 在 Exchange 2019 服务器(内部部署)上为 OWA 配置 SSO。转到 https://mail.domain.com/owa 时,我们在 ADFS 中收到错误之前遇到 ADFS 和 OWA 之间的多次重定向,随后在 Windows 事件日志中出现错误,内容为:
Encountered error during federation passive request.
Additional Data
Protocol Name:
wsfed
Relying Party:
https://mail.domain.com/owa/
Exception details:
Microsoft.IdentityServer.Web.InvalidRequestException: MSIS7042: The same client browser session has made '6' requests in the last '0' seconds. Contact your administrator for details.
at Microsoft.IdentityServer.Web.Protocols.PassiveProtocolHandler.UpdateLoopDetectionCookie(WrappedHttpListenerContext context)
at Microsoft.IdentityServer.Web.Protocols.PassiveProtocolHandler.ProcessCommonCookiesInLastAuthenticationStage(ProtocolContext context)
at Microsoft.IdentityServer.Web.Protocols.WSFederation.WSFederationProtocolHandler.SendSignInResponse(WSFederationContext context, MSISSignInResponse response)
at Microsoft.IdentityServer.Web.Protocols.WSFederation.WSFederationProtocolHandler.Process(ProtocolContext context)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.ProcessProtocolRequest(ProtocolContext protocolContext, PassiveProtocolHandler protocolHandler)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)
重现步骤:
- 安装 Exchange Server 2019
- 完全按照以下文章中概述的步骤安装 ADFS 和配置 SSO (click here)
- 导航到 https://mail.domain.com/owa。
到目前为止的故障排除:
- 已确认 ECP 和 OWA 外部 URL 与 Powershell 中设置的受众相匹配。
- 已确认我尝试登录的用户能够使用 FBA 进行身份验证。
- 已确认 OWA 按预期工作。
服务器 + 配置:
- 配置了自签名证书的 Exchange Server 2019 15.02.0221.017
- 配置了自签名证书的 ADFS 4.0
问题:
- 我在哪里可以获取详细说明 OWA 重定向回 ADFS 的原因的 OWA 日志?
- 上面链接的文章中有什么不正确的地方吗?
经过更多的测试,我们发现如果我们使用 IE11,问题就消失了。该问题仅存在于 Chrome 或 Edge Chromium。
我们决定更新到 Exchange 2019 CU10,没有进一步的问题。