Teilen über


Überwachung von Erweiterungen für AD FS unter Windows Server 2016

In AD FS für Windows Server 2012 R2 werden derzeit zahlreiche Überwachungsereignisse für eine einzige Anforderung generiert, und die relevanten Informationen zu einer Anmelde- oder Tokenausstellungsaktivität sind entweder nicht vorhanden (in einigen Versionen von AD FS) oder auf mehrere Überwachungsereignisse verteilt. Die AD FS-Überwachungsereignisse sind aufgrund ihrer Ausführlichkeit standardmäßig deaktiviert.

Mit der Veröffentlichung von AD FS in Windows Server 2016 ist die Überwachung optimiert und weniger ausführlich.

Überwachungsebenen in AD FS für Windows Server 2016

Standardmäßig ist für AD FS in Windows Server 2016 die grundlegende Überwachung aktiviert. Mit der grundlegenden Überwachung werden den Administratoren für eine einzige Anforderung höchstens fünf Ereignisse angezeigt. So wird die Anzahl der Ereignisse, die Administratoren sich zur Anzeige einer einzigen Anforderung ansehen müssen, erheblich verringert. Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden: Set-AdfsProperties -AuditLevel. In der folgenden Tabelle werden die verfügbaren Überwachungsebenen erläutert.

Überwachungsebene PowerShell-Syntax BESCHREIBUNG
Keine Set-AdfsProperties – AuditLevel – Ohne Die Überwachung ist deaktiviert, und es werden keine Ereignisse protokolliert.
Einfach (Standard) Set-AdfsProperties – AuditLevel – Einfach Für eine einzelne Anforderung werden nicht mehr als fünf Ereignisse protokolliert.
Ausführlich Set-AdfsProperties – AuditLevel – Ausführlich Alle Ereignisse werden protokolliert. Dadurch wird eine erhebliche Menge an Informationen pro Anforderung protokolliert.

Sie können das folgende PowerShell-Cmdlet verwenden, um die aktuelle Überwachungsebene anzuzeigen: Get-AdfsProperties.

Screenshot that shows how to use the Get-AdfsProperties cmdlet.

Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden: Set-AdfsProperties -AuditLevel.

audit enhancements

Typen von Überwachungsereignissen

AD FS-Überwachungsereignisse können unterschiedliche Typen aufweisen, je nach den verschiedenen Arten von Anforderungen, die von AD FS verarbeitet werden. Jedem Überwachungsereignistyp sind bestimmte Daten zugeordnet. Bei den Überwachungsereignistypen ist zwischen Anmeldeanforderungen (z. B. Tokenanforderungen) und Systemanforderungen (Server-Server-Aufrufe einschließlich Abrufen von Konfigurationsinformationen) zu unterscheiden.

In der folgenden Tabelle werden die grundlegenden Überwachungsereignistypen beschrieben.

Überwachungsereignistyp Ereignis-ID BESCHREIBUNG
Erfolgreiche Überprüfung neuer Anmeldeinformationen 1202 Eine Anforderung, bei der neue Anmeldeinformationen vom Verbunddienst erfolgreich überprüft wurden. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte.
Fehler bei Überprüfung neuer Anmeldeinformationen 1203 Eine Anforderung, bei der während der Überprüfung neuer Anmeldeinformationen beim Verbunddienst ein Fehler aufgetreten ist. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte.
Anwendungstoken erfolgreich 1200 Eine Anforderung, bei der ein Sicherheitstoken vom Verbunddienst erfolgreich ausgestellt wurde. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wird. (z. B. SSO-Cookie).
Fehler bei Anwendungstoken 1201 Eine Anforderung, bei der kein Sicherheitstoken für den Verbunddienst ausgestellt werden konnte. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wurde. (z. B. SSO-Cookie).
Erfolgreiche Anforderung zur Kennwortänderung 1204 Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst erfolgreich verarbeitet wurde.
Fehler bei Anforderung zur Kennwortänderung 1205 Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst nicht verarbeitet werden konnte.
Erfolgreiches Abmelden 1206 Beschreibt eine erfolgreiche Abmeldeanforderung.
Fehler beim Abmelden 1207 Beschreibt eine fehlgeschlagene Abmeldeanforderung.