Überwachung von Erweiterungen für AD FS unter Windows Server 2016
In AD FS für Windows Server 2012 R2 werden derzeit zahlreiche Überwachungsereignisse für eine einzige Anforderung generiert, und die relevanten Informationen zu einer Anmelde- oder Tokenausstellungsaktivität sind entweder nicht vorhanden (in einigen Versionen von AD FS) oder auf mehrere Überwachungsereignisse verteilt. Die AD FS-Überwachungsereignisse sind aufgrund ihrer Ausführlichkeit standardmäßig deaktiviert.
Mit der Veröffentlichung von AD FS in Windows Server 2016 ist die Überwachung optimiert und weniger ausführlich.
Überwachungsebenen in AD FS für Windows Server 2016
Standardmäßig ist für AD FS in Windows Server 2016 die grundlegende Überwachung aktiviert. Mit der grundlegenden Überwachung werden den Administratoren für eine einzige Anforderung höchstens fünf Ereignisse angezeigt. So wird die Anzahl der Ereignisse, die Administratoren sich zur Anzeige einer einzigen Anforderung ansehen müssen, erheblich verringert. Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden: Set-AdfsProperties -AuditLevel. In der folgenden Tabelle werden die verfügbaren Überwachungsebenen erläutert.
| Überwachungsebene | PowerShell-Syntax | BESCHREIBUNG |
|---|---|---|
| Keine | Set-AdfsProperties – AuditLevel – Ohne | Die Überwachung ist deaktiviert, und es werden keine Ereignisse protokolliert. |
| Einfach (Standard) | Set-AdfsProperties – AuditLevel – Einfach | Für eine einzelne Anforderung werden nicht mehr als fünf Ereignisse protokolliert. |
| Ausführlich | Set-AdfsProperties – AuditLevel – Ausführlich | Alle Ereignisse werden protokolliert. Dadurch wird eine erhebliche Menge an Informationen pro Anforderung protokolliert. |
Sie können das folgende PowerShell-Cmdlet verwenden, um die aktuelle Überwachungsebene anzuzeigen: Get-AdfsProperties.
Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden: Set-AdfsProperties -AuditLevel.
Typen von Überwachungsereignissen
AD FS-Überwachungsereignisse können unterschiedliche Typen aufweisen, je nach den verschiedenen Arten von Anforderungen, die von AD FS verarbeitet werden. Jedem Überwachungsereignistyp sind bestimmte Daten zugeordnet. Bei den Überwachungsereignistypen ist zwischen Anmeldeanforderungen (z. B. Tokenanforderungen) und Systemanforderungen (Server-Server-Aufrufe einschließlich Abrufen von Konfigurationsinformationen) zu unterscheiden.
In der folgenden Tabelle werden die grundlegenden Überwachungsereignistypen beschrieben.
| Überwachungsereignistyp | Ereignis-ID | BESCHREIBUNG |
|---|---|---|
| Erfolgreiche Überprüfung neuer Anmeldeinformationen | 1202 | Eine Anforderung, bei der neue Anmeldeinformationen vom Verbunddienst erfolgreich überprüft wurden. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte. |
| Fehler bei Überprüfung neuer Anmeldeinformationen | 1203 | Eine Anforderung, bei der während der Überprüfung neuer Anmeldeinformationen beim Verbunddienst ein Fehler aufgetreten ist. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte. |
| Anwendungstoken erfolgreich | 1200 | Eine Anforderung, bei der ein Sicherheitstoken vom Verbunddienst erfolgreich ausgestellt wurde. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wird. (z. B. SSO-Cookie). |
| Fehler bei Anwendungstoken | 1201 | Eine Anforderung, bei der kein Sicherheitstoken für den Verbunddienst ausgestellt werden konnte. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wurde. (z. B. SSO-Cookie). |
| Erfolgreiche Anforderung zur Kennwortänderung | 1204 | Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst erfolgreich verarbeitet wurde. |
| Fehler bei Anforderung zur Kennwortänderung | 1205 | Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst nicht verarbeitet werden konnte. |
| Erfolgreiches Abmelden | 1206 | Beschreibt eine erfolgreiche Abmeldeanforderung. |
| Fehler beim Abmelden | 1207 | Beschreibt eine fehlgeschlagene Abmeldeanforderung. |