Problembehandlung bei AD FS – Schleifenerkennung

Schleifen in AD FS treten auf, wenn eine vertrauende Seite kontinuierlich ein gültiges Sicherheitstoken ablehnt und zurück an AD FS umleitet.

Um dies zu verhindern, hat AD FS ein sogenanntes Schleifenerkennungscookie implementiert. Standardmäßig schreibt AD FS ein Cookie in passive Webclients mit dem Namen MSISLoopDetectionCookie. Dieses Cookie enthält einen Zeitstempelwert und eine Reihe ausgestellter Tokenwerte. Dadurch können AD FS nachverfolgen, wie oft und wie oft ein Client innerhalb eines bestimmten Zeitraums die Verbunddienst besucht hat.

Wenn ein passiver Client die Verbunddienst für ein Token innerhalb von 20 Sekunden fünf (5) Mal besucht, löst AD FS den folgenden Fehler aus:

MSIS7042: Die gleiche Clientbrowsersitzung hat in den letzten{1} Sekunden "{0}" Anforderungen gestellt. Wenden Sie sich bezüglich der Einzelheiten an den Administrator.

Das Eintreten in Endlosschleifen wird häufig durch eine fehlerhafte Anwendung der vertrauenden Seite verursacht, die das von AD FS ausgestellte Token nicht erfolgreich verbraucht, und die Anwendung sendet den passiven Client wiederholt an AD FS für ein neues Token zurück. AD FS geben dem passiven Client jedes Mal ein neues Token aus, solange sie innerhalb von 20 Sekunden 5 Anforderungen nicht überschreiten.

Sie können PowerShell verwenden, um die Anzahl der ausgestellten Token und den Zeitraumwert zu ändern.

Set-AdfsProperties -LoopDetectionMaximumTokensIssuedInterval 5  -LoopDetectionTimeIntervalInSeconds 20

Der Mindestwert für LoopDetectionMaximumTokensIssuedInterval ist 1.

Der Mindestwert für LoopDetectionTimeIntervalInSeconds ist 5.

Sie können die Schleifenerkennung auch deaktivieren, wenn Sie Leistungstests durchführen.

Set-AdfsProperties -EnableLoopDetection $false

Wichtig

Es wird nicht empfohlen, die Schleifenerkennung dauerhaft zu deaktivieren, da dadurch verhindert wird, dass Benutzer in Endlosschleifenzustände eintreten.

Nächste Schritte