Freigeben über


Häufig gestellte Fragen (FAQ) zu AD FS

Dieser Artikel enthält Antworten auf häufig gestellte Fragen zu Active Directory-Verbunddiensten (AD FS). Sie ist in Abschnitte unterteilt, die auf der Art der Frage basieren.

Einsatz

Wie kann ich von früheren Versionen von AD FS upgraden/migrieren?

Sie können AD FS aktualisieren/migrieren, indem Sie die Schritte in einem der folgenden verknüpften Artikel ausführen:

Wenn Sie ein Upgrade von AD FS 2.0 oder 2.1 (Windows Server 2008 R2 oder Windows Server 2012) durchführen müssen, verwenden Sie die in C:\Windows\ADFS befindlichen In-Box-Skripts.

Warum erfordert die AD FS-Installation einen Serverneustart?

Http/2-Unterstützung wurde in Windows Server 2016 hinzugefügt, http/2 kann jedoch nicht für die Clientzertifikatauthentifizierung verwendet werden. Viele AD FS-Szenarien verwenden die Clientzertifikatauthentifizierung. Und viele Clients unterstützen das Wiederholen von Anforderungen nicht mithilfe von HTTP/1.1. Daher konfiguriert die AD FS-Farmkonfiguration die HTTP-Einstellungen des lokalen Servers in HTTP/1.1 neu. Für diese Neukonfiguration ist ein Serverneustart erforderlich.

Kann ich Windows Server 2016-Webanwendungsproxyserver verwenden, um die AD FS-Farm im Internet zu veröffentlichen, ohne die Back-End-AD FS-Farm zu aktualisieren?

Diese Konfiguration wird unterstützt, aber es würden keine neuen AD FS 2016-Features darin unterstützt. Diese Konfiguration soll während der Migration von AD FS 2012 R2 zu AD FS 2016 vorübergehend sein. Es sollte nicht für lange Zeiträume verwendet werden.

Kann ich AD FS für Office 365 bereitstellen, ohne einen Proxy in Office 365 zu veröffentlichen?

Ja, aber als Nebeneffekt:

  • Sie müssen Updates von Tokensignaturzertifikaten manuell verwalten, da die Microsoft Entra-ID nicht auf die Verbundmetadaten zugreifen kann. Weitere Informationen zum manuellen Aktualisieren von Tokensignaturzertifikaten finden Sie unter Verlängern von Verbundzertifikaten für Office 365 und Microsoft Entra ID.
  • Sie können keine älteren Authentifizierungsflüsse verwenden (z. B. den ExO-Proxyauthentifizierungsfluss).

Was sind Lastenausgleichsanforderungen für AD FS- und Webanwendungsproxyserver?

AD FS ist ein zustandsloses System, sodass der Lastenausgleich für Anmeldungen relativ einfach ist. Hier sind einige wichtige Empfehlungen für Lastenausgleichssysteme:

  • Lastenausgleichsgeräte sollten nicht mit IP-Affinität konfiguriert werden. Die IP-Affinität kann in bestimmten Exchange Online-Szenarien zu einer Teilmenge Ihrer Server führen.
  • Lastenausgleichsgeräte dürfen die HTTPS-Verbindungen nicht beenden und eine neue Verbindung mit dem AD FS-Server starten.
  • Lastenausgleichsgeräte sollten sicherstellen, dass die VERBINDUNGS-IP-Adresse als Quell-IP im HTTP-Paket übersetzt werden soll, wenn sie an AD FS gesendet wird. Wenn ein Lastenausgleichsmodul die Quell-IP im HTTP-Paket nicht senden kann, muss das Lastenausgleichsmodul die IP-Adresse dem X-Forwarded-For-Header hinzufügen. Dieser Schritt ist für die korrekte Behandlung bestimmter IP-bezogener Features (z. B. gesperrte IP- und Extranet-Smart Lockout) erforderlich. Wenn diese Konfiguration nicht ordnungsgemäß implementiert ist, kann die Sicherheit reduziert werden.
  • Lastenausgleichsgeräte sollten SNI unterstützen. Wenn dies nicht der Fall ist, stellen Sie sicher, dass AD FS so konfiguriert ist, dass HTTPS-Bindungen für Clients erstellt werden, die SNI nicht unterstützen.
  • Lastenausgleichsgeräte sollten den AD FS-HTTP-Integritätstestendpunkt verwenden, um zu ermitteln, ob die AD FS- oder Webanwendungsproxyserver ausgeführt werden. Sie sollten ausgeschlossen werden, wenn 200 OK nicht zurückgegeben wird.

Welche Multiforestkonfigurationen unterstützt AD FS?

AD FS unterstützt mehrere Multiforestkonfigurationen. Es basiert auf dem zugrunde liegenden AD DS-Vertrauensnetzwerk, um Benutzer über mehrere vertrauenswürdige Bereiche hinweg zu authentifizieren. Wir empfehlen dringend bidirektionale Gesamtstrukturvertrauensstellungen, da sie einfacher eingerichtet werden können, wodurch sichergestellt wird, dass das Vertrauenssystem ordnungsgemäß funktioniert.

Zusätzlich:

  • Wenn Sie über eine unidirektionale Gesamtstrukturvertrauensstellung verfügen, z. B. eine Umkreisnetzwerkgesamtstruktur (auch als DMZ bezeichnet), die Partneridentitäten enthält, empfehlen wir, AD FS in der Unternehmensgesamtstruktur bereitzustellen. Behandeln Sie die Umkreisnetzwerkstruktur als eine andere lokale Anspruchsanbieter-Vertrauensstellung, die über LDAP verbunden ist. In diesem Fall funktioniert die integrierte Windows-Authentifizierung für Benutzer der Umkreisnetzwerkstruktur nicht. Sie müssen die Kennwortauthentifizierung verwenden, da sie der einzige unterstützte Mechanismus für LDAP ist.

    Wenn Sie diese Option nicht verwenden können, müssen Sie einen anderen AD FS-Server in der Umkreisnetzwerkstruktur einrichten. Fügen Sie es als Anspruchsanbieter-Vertrauensstellung im AD FS-Server in der Unternehmensstruktur hinzu. Benutzer müssen home Realm Discovery ausführen, aber sowohl die integrierte Windows-Authentifizierung als auch die Kennwortauthentifizierung funktionieren. Nehmen Sie in der Umkreisnetzwerkstruktur geeignete Änderungen an den Veröffentlichungsregeln in AD FS vor, da AD FS in der Unternehmensstruktur keine weiteren Informationen zu Benutzern aus der Umkreisnetzwerkstruktur abrufen kann.

  • Vertrauensstellungen auf Domänenebene werden unterstützt und können funktionieren. Es wird jedoch dringend empfohlen, zu einem Vertrauensmodell auf Gesamtstrukturebene zu wechseln. Außerdem müssen Sie sicherstellen, dass UPN-Routing und NetBIOS-Namensauflösung ordnungsgemäß funktionieren.

Hinweis

Wenn Sie die wahlfreie Authentifizierung mit einer bidirektionale Vertrauenskonfiguration verwenden, stellen Sie sicher, dass dem Anruferbenutzer die Berechtigung "Authentifizieren" für das Zieldienstkonto gewährt wird.

Unterstützt AD FS Smart Lockout IPv6?

Ja, IPv6-Adressen werden für vertraute und unbekannte Speicherorte berücksichtigt.

Entwurf

Welche mehrstufigen Authentifizierungsanbieter von Drittanbietern sind für AD FS verfügbar?

AD FS bietet einen erweiterbaren Mechanismus für mehrstufige Authentifizierungsanbieter von Drittanbietern für die Integration. Dafür gibt es kein festgelegtes Zertifizierungsprogramm. Es wird davon ausgegangen, dass der Anbieter die erforderlichen Überprüfungen vor der Veröffentlichung durchgeführt hat.

Die Liste der Anbieter, die Microsoft benachrichtigt haben, ist hier verfügbar: Mehrstufige Authentifizierungsanbieter für AD FS. Möglicherweise stehen Anbieter zur Verfügung, die wir nicht kennen. Wir aktualisieren die Liste, während wir neue entdecken.

Werden Drittanbieterproxys mit AD FS unterstützt?

Ja, Proxys von Drittanbietern können vor AD FS platziert werden, aber jeder Drittanbieterproxy muss das MS-ADFSPIP Protokoll unterstützen, das anstelle des Webanwendungsproxys verwendet werden soll.

Wir kennen derzeit die folgenden Drittanbieter. Möglicherweise stehen Anbieter zur Verfügung, die wir nicht kennen. Wir aktualisieren diese Liste, während wir neue entdecken.

Wo befindet sich die Kapazitätsplanungstabelle für AD FS 2016?

Sie können die AD FS 2016-Version der Kalkulationstabelle herunterladen. Sie können dieses Arbeitsblatt auch für AD FS in Windows Server 2012 R2 verwenden.

Wie kann ich sicherstellen, dass meine AD FS- und Webanwendungsproxyserver die ATP-Anforderungen von Apple unterstützen?

Apple hat eine Reihe von Anforderungen namens App Transport Security (ATS) veröffentlicht, die sich auf Anrufe von iOS-Apps auswirken können, die sich bei AD FS authentifizieren. Sie können sicherstellen, dass Ihre AD FS- und Webanwendungsproxyserver eingehalten werden, indem Sie sicherstellen, dass sie die Anforderungen für die Verbindung mithilfe von ATS unterstützen. Insbesondere sollten Sie folgendes überprüfen:

  • Ihre AD FS- und Webanwendungsproxyserver unterstützen TLS 1.2.
  • Die ausgehandelte Verschlüsselungssuite der TLS-Verbindung wird die perfekte Forward-Geheimhaltung unterstützen.

Informationen zum Aktivieren und Deaktivieren von SSL 2.0 und 3.0 und TLS 1.0, 1.1 und 1.2 finden Sie unter Verwalten von SSL-Protokollen in AD FS.

Um sicherzustellen, dass Ihre AD FS- und Webanwendungsproxyserver nur TLS-Verschlüsselungssammlungen aushandeln, die ATP unterstützen, können Sie alle Verschlüsselungssammlungen deaktivieren, die nicht in der Liste der ATP-kompatiblen Verschlüsselungssammlungen enthalten sind. Verwenden Sie die Windows TLS PowerShell-Cmdlets, um sie zu deaktivieren.

Entwickler

Wenn AD FS eine id_token für einen Benutzer generiert, der bei Active Directory authentifiziert wurde, wie wird der "Sub"-Anspruch im id_token generiert?

Der Wert des "sub"-Anspruchs ist der Hash der Client-ID und des Ankeranspruchswerts.

Was sind die Lebensdauer des Aktualisierungstokens und des Zugriffstokens, wenn sich der Benutzer über einen Remoteanspruchsanbieter über WS-Fed/SAML-P anmeldet?

Die Lebensdauer des Aktualisierungstokens ist die Lebensdauer des Tokens, das AD FS von der Vertrauensstellung des Remoteanspruchsanbieters erhalten hat. Die Lebensdauer des Zugriffstokens ist die Tokenlebensdauer der vertrauenden Seite, für die das Zugriffstoken ausgestellt wird.

Zusätzlich zum OpenID-Bereich muss ich Profil- und E-Mail-Bereiche zurückgeben. Kann ich weitere Informationen mithilfe von Bereichen abrufen? Wie können Sie dies in AD FS tun?

Sie können eine angepasste id_token verwenden, um dem id_token selbst relevante Informationen hinzuzufügen. Weitere Informationen finden Sie unter Anpassen von Ansprüchen, die in id_token ausgegeben werden sollen.

Wie gebe ich JSON-Blobs in JWT-Token aus?

Für dieses Szenario in AD FS 2016 wurde ein spezielles ValueType (http://www.w3.org/2001/XMLSchema#json) - und escapezeichen (\x22) hinzugefügt. Verwenden Sie die folgenden Beispiele für die Ausstellungsregel und die endgültige Ausgabe aus dem Zugriffstoken.

Beispielausstellungsregel:

=> issue(Type = "array_in_json", ValueType = "http://www.w3.org/2001/XMLSchema#json", Value = "{\x22Items\x22:[{\x22Name\x22:\x22Apple\x22,\x22Price\x22:12.3},{\x22Name\x22:\x22Grape\x22,\x22Price\x22:3.21}],\x22Date\x22:\x2221/11/2010\x22}");

Anspruch, der im Zugriffstoken ausgestellt wurde:

"array_in_json":{"Items":[{"Name":"Apple","Price":12.3},{"Name":"Grape","Price":3.21}],"Date":"21/11/2010"}

Kann ich einen Ressourcenwert als Teil des Bereichswerts auf die gleiche Weise übergeben, wie Anforderungen an Die Microsoft Entra ID gesendet werden?

Mit AD FS unter Windows Server 2019 können Sie jetzt den im Bereichsparameter eingebetteten Ressourcenwert übergeben. Der Bereichsparameter kann als durch Leerzeichen getrennte Liste organisiert werden, wobei jeder Eintrag als Ressource/Bereich strukturiert ist.

Unterstützt AD FS die PKCE-Erweiterung?

AD FS in Windows Server 2019 unterstützt Proof Key for Code Exchange (PKCE) für den OAuth Authorization Code Grant-Fluss.

Welche zulässigen Bereiche werden von AD FS unterstützt?

Abgestützt:

  • aza. Wenn Sie OAuth 2.0-Protokollerweiterungen für Brokerclients verwenden und der Bereichsparameter den Bereichsaza enthält, gibt der Server ein neues primäres Aktualisierungstoken aus und legt es im feld refresh_token der Antwort fest. Außerdem wird das feld refresh_token_expires_in auf die Lebensdauer des neuen primären Aktualisierungstokens festgelegt, wenn eins erzwungen wird.
  • openid. Ermöglicht einer Anwendung, die Verwendung des OpenID Connect-Autorisierungsprotokolls anzufordern.
  • logon_cert. Ermöglicht einer Anwendung das Anfordern von Anmeldezertifikaten, die verwendet werden können, um authentifizierte Benutzer interaktiv anzumelden. Der AD FS-Server lässt den access_token Parameter aus der Antwort aus und stellt stattdessen eine Base64-codierte CMS-Zertifikatkette oder eine CMC-vollständige PKI-Antwort bereit. Weitere Informationen finden Sie unter "Verarbeitungsdetails".
  • user_impersonation. Erforderlich, wenn Sie ein Zugriffstoken im Auftrag von AD FS anfordern möchten. Weitere Informationen zur Verwendung dieses Bereichs finden Sie unter Erstellen einer mehrstufigen Anwendung mit On-Behalf-Of (OBO) mit OAuth mit AD FS 2016.

Nicht unterstützt:

  • vpn_cert. Ermöglicht einer Anwendung das Anfordern von VPN-Zertifikaten, die verwendet werden können, um VPN-Verbindungen mithilfe EAP-TLS Authentifizierung herzustellen. Dieser Bereich wird nicht mehr unterstützt.
  • E-Mail. Ermöglicht einer Anwendung, einen E-Mail-Anspruch für den angemeldeten Benutzer anzufordern. Dieser Bereich wird nicht mehr unterstützt.
  • Profil. Ermöglicht einer Anwendung, profilbezogene Ansprüche für den angemeldeten Benutzer anzufordern. Dieser Bereich wird nicht mehr unterstützt.

Operationen

Wie kann ich das SSL-Zertifikat für AD FS ersetzen?

Das AD FS-SSL-Zertifikat ist nicht mit dem AD FS-Dienstkommunikationszertifikat im AD FS-Verwaltungs-Snap-In identisch. Um das AD FS-SSL-Zertifikat zu ändern, müssen Sie PowerShell verwenden. Befolgen Sie die Anleitungen zum Verwalten von SSL-Zertifikaten in AD FS und WAP 2016.

Wie kann ich TLS/SSL-Einstellungen für AD FS aktivieren oder deaktivieren?

Informationen zum Deaktivieren und Aktivieren von SSL-Protokollen und Verschlüsselungssammlungen finden Sie unter Verwalten von SSL-Protokollen in AD FS.

Muss das SSL-Proxyzertifikat mit dem AD FS-SSL-Zertifikat identisch sein?

  • Wenn der Proxy für AD FS-Anforderungen verwendet wird, die die integrierte Windows-Authentifizierung verwenden, muss das SSL-Proxyzertifikat denselben Schlüssel wie das SSL-Zertifikat des Verbundservers verwenden.
  • Wenn die AD FS ExtendedProtectionTokenCheck-Eigenschaft aktiviert ist (die Standardeinstellung in AD FS), muss das Proxy-SSL-Zertifikat denselben Schlüssel wie das SSL-Zertifikat des Verbundservers verwenden.
  • Andernfalls kann das Proxy-SSL-Zertifikat einen anderen Schlüssel als das AD FS-SSL-Zertifikat aufweisen. Sie muss die gleichen Anforderungen erfüllen.

Warum wird nur eine Kennwortanmeldung bei AD FS und nicht die anderen Authentifizierungsmethoden angezeigt, die ich konfiguriert habe?

AD FS zeigt nur eine Authentifizierungsmethode auf dem Anmeldebildschirm an, wenn eine Anwendung explizit einen bestimmten Authentifizierungs-URI erfordert, der einer konfigurierten und aktivierten Authentifizierungsmethode zugeordnet ist. Die Methode wird im wauth-Parameter in WS-Federation Anforderungen vermittelt. Sie wird im Parameter RequestedAuthnCtxRef in SAML-Protokollanforderungen vermittelt. Es wird nur die angeforderte Authentifizierungsmethode angezeigt. (Beispiel: Kennwortanmeldung.)

Wenn Sie AD FS mit Microsoft Entra ID verwenden, ist es üblich, dass Anwendungen den Parameter prompt=login an Microsoft Entra ID senden. Die Microsoft Entra-ID übersetzt diesen Parameter standardmäßig in das Anfordern einer neuen kennwortbasierten Anmeldung bei AD FS. Dieses Szenario ist der häufigste Grund, warum Sie möglicherweise eine Kennwortanmeldung in AD FS in Ihrem Netzwerk sehen oder keine Option zum Anmelden mit Ihrem Zertifikat sehen. Sie können dieses Problem ganz einfach beheben, indem Sie eine Änderung an den Verbunddomäneneinstellungen in der Microsoft Entra-ID vornehmen.

Weitere Informationen finden Sie unter Active Directory Federation Services prompt=login parameter support.

Wie kann ich das AD FS-Dienstkonto ändern?

Um das AD FS-Dienstkonto zu ändern, verwenden Sie das PowerShell-Modul des AD FS-Toolbox-Dienstkontos. Anweisungen finden Sie unter Ändern des AD FS-Dienstkontos.

Wie kann ich Browser für die Verwendung der integrierten Windows-Authentifizierung (WINDOWS Integrated Authentication, WIA) mit AD FS konfigurieren?

Kann ich BrowserSsoEnabled deaktivieren?

Wenn Sie keine Zugriffssteuerungsrichtlinien haben, die auf dem Gerät auf AD FS oder der Windows Hello for Business-Zertifikatregistrierung über AD FS basieren, können Sie BrowserSsoEnabled deaktivieren. BrowserSsoEnabled ermöglicht AD FS, ein primäres Aktualisierungstoken (PRT) vom Client zu sammeln, der Geräteinformationen enthält. Ohne dieses Token funktioniert die Geräteauthentifizierung von AD FS nicht auf Windows 10-Geräten.

Wie lange sind AD FS-Token gültig?

Administratoren fragen sich oft, wie lange Benutzer einmaliges Anmelden (Single Sign-On, SSO) erhalten, ohne neue Anmeldeinformationen eingeben zu müssen und wie Administratoren dieses Verhalten steuern können. Dieses Verhalten und die Konfigurationseinstellungen, die sie steuern, werden in den Ad FS-Einstellungen für einmaliges Anmelden beschrieben.

Die Standardlebensdauer der verschiedenen Cookies und Token werden hier aufgeführt (zusammen mit den Parametern, die die Lebensdauer steuern):

Registrierte Geräte

  • PRT- und SSO-Cookies: maximal 90 Tage, unterliegt PSSOLifeTimeMins. (Wenn das Gerät mindestens alle 14 Tage verwendet wird. Dieses Zeitfenster wird von DeviceUsageWindow gesteuert.)

  • Aktualisierungstoken: Basierend auf den vorherigen Parametern berechnet, um ein konsistentes Verhalten bereitzustellen.

  • access_token: Standardmäßig eine Stunde, basierend auf der vertrauenden Seite.

  • id_token: Identisch mit access_token.

Nicht registrierte Geräte

  • SSO-Cookies: Acht Stunden standardmäßig, unterliegt SSOLifetimeMins. Wenn "Angemeldet bleiben" (KMSI) aktiviert ist, beträgt der Standardwert 24 Stunden. Dieser Standardwert ist über KMSILifetimeMins konfigurierbar.

  • Aktualisierungstoken: Standardmäßig acht Stunden. 24 Stunden, wenn KMSI aktiviert ist.

  • access_token: Standardmäßig eine Stunde, basierend auf der vertrauenden Seite.

  • id_token: Identisch mit access_token.

Unterstützt AD FS implizite Flüsse für vertrauliche Clients?

AD FS unterstützt keine impliziten Flüsse für den vertraulichen Client. Die Clientauthentifizierung ist nur für den Tokenendpunkt aktiviert, und AD FS stellt kein Zugriffstoken ohne Clientauthentifizierung aus. Wenn ein vertraulicher Client ein Zugriffstoken benötigt und auch eine Benutzerauthentifizierung erfordert, muss der Autorisierungscodefluss verwendet werden.

Unterstützt AD FS HTTP Strict Transport Security (HSTS)?

HSTS ist ein Websicherheitsrichtlinienmechanismus. Es hilft, Protokoll-Downgrade-Angriffe und Cookie-Hijacking für Dienste zu minimieren, die sowohl HTTP- als auch HTTPS-Endpunkte haben. Es ermöglicht Webservern, zu deklarieren, dass Webbrowser (oder andere complianceierende Benutzer-Agents) nur mithilfe von HTTPS und nie über das HTTP-Protokoll mit ihnen interagieren sollen.

Alle AD FS-Endpunkte für den Webauthentifizierungsdatenverkehr werden ausschließlich über HTTPS geöffnet. Daher entschärft AD FS die Bedrohungen, die der HSTS-Richtlinienmechanismus erstellt. (Standardmäßig gibt es kein Downgrade auf HTTP, da es keine Listener in HTTP gibt.) AD FS verhindert außerdem, dass Cookies an einen anderen Server mit HTTP-Protokollendpunkten gesendet werden, indem alle Cookies mit dem sicheren Flag markiert werden.

Daher benötigen Sie HSTS auf einem AD FS-Server nicht, da HSTS nicht herabgestuft werden kann. AD FS-Server erfüllen Complianceanforderungen, da sie HTTP nicht verwenden können und weil Cookies als sicher gekennzeichnet sind.

Schließlich unterstützen AD FS 2016 (mit den meisten up-to-Datumspatches) und AD FS 2019 das Ausgeben des HSTS-Headers. Informationen zum Konfigurieren dieses Verhaltens finden Sie unter Anpassen von HTTP-Sicherheitsantwortheadern mit AD FS.

X-MS-Forwarded-Client-IP enthält nicht die IP des Clients. Sie enthält die IP-Adresse der Firewall vor dem Proxy. Wo erhalte ich die IP des Clients?

Es wird nicht empfohlen, vor dem Webanwendungsproxyserver SSL-Beendigung zu erledigen. Wenn sie vor dem Webanwendungsproxyserver ausgeführt wird, enthält die X-MS-Forwarded-Client-IP die IP des Netzwerkgeräts vor dem Webanwendungsproxyserver. Hier ist eine kurze Beschreibung der verschiedenen IP-bezogenen Ansprüche, die von AD FS unterstützt werden:

  • X-MS-Client-IP. Netzwerk-IP des Geräts, das mit dem STS verbunden ist. Für Extranetanforderungen enthält dieser Anspruch immer die IP des Webanwendungsproxyservers.
  • X-MS-Forwarded-Client-IP. Mehrwertige Ansprüche, die alle Werte enthalten, die von Exchange Online an AD FS weitergeleitet werden. Sie enthält auch die IP-Adresse des Geräts, das mit dem Webanwendungsproxyserver verbunden ist.
  • Userip. Für Extranetanforderungen enthält dieser Anspruch den Wert von X-MS-Forwarded-Client-IP. Für Intranetanforderungen enthält dieser Anspruch denselben Wert wie X-MS-Client-IP.

AD FS 2016 (mit den meisten up-to-Datumspatches) und höheren Versionen unterstützen auch die Erfassung des X-Forwarded-For-Headers. Alle Lastenausgleichsgeräte oder Netzwerkgeräte, die nicht auf Ebene 3 weitergeleitet werden (IP wird beibehalten), sollten die eingehende Client-IP dem branchenübden X-Forwarded-For-Header hinzufügen.

Ich versuche, weitere Ansprüche für den UserInfo-Endpunkt zu erhalten, aber es gibt nur den Betreff zurück. Wie erhalte ich weitere Ansprüche?

Der AD FS UserInfo-Endpunkt gibt immer den Antragstelleranspruch wie in den OpenID-Standards angegeben zurück. AD FS unterstützt keine zusätzlichen Ansprüche, die über den UserInfo-Endpunkt angefordert werden. Wenn Sie weitere Ansprüche in einem ID-Token benötigen, lesen Sie benutzerdefinierte ID-Token in AD FS.

Warum wird eine Warnung angezeigt, dass das AD FS-Dienstkonto der Gruppe "Enterprise Key Admins" nicht hinzugefügt wird?

Diese Gruppe wird nur erstellt, wenn ein Windows Server 2016-Domänencontroller mit der FSMO-PDC-Rolle in der Domäne vorhanden ist. Um den Fehler zu beheben, können Sie die Gruppe manuell erstellen. Führen Sie die folgenden Schritte aus, um die erforderlichen Berechtigungen hinzuzufügen, nachdem Sie das Dienstkonto als Mitglied der Gruppe hinzugefügt haben:

  1. Öffnen Sie Active Directory-Benutzer und -Computer.
  2. Klicken Sie im linken Bereich mit der rechten Maustaste auf Ihren Domänennamen, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie Sicherheit aus. (Wenn die Registerkarte "Sicherheit " fehlt, aktivieren Sie " Erweiterte Features " im Menü "Ansicht ".)
  4. Wählen Sie "Erweitert", "Hinzufügen" und dann "Prinzipal" aus.
  5. Das Dialogfeld "Benutzer auswählen", "Computer", "Dienstkonto" oder "Gruppe auswählen " wird angezeigt. Geben Sie im Zuwählfeld den Objektnamen ein, und geben Sie die Schlüsseladministratorgruppe ein. Wählen Sie OK aus.
  6. Wählen Sie im Feld "Gilt für " die Option "Untergeordnete Benutzerobjekte" aus.
  7. Scrollen Sie nach unten auf der Seite, und wählen Sie "Alle löschen" aus.
  8. Wählen Sie im Abschnitt "Eigenschaften"die Option "MsDS-KeyCredentialLink lesen " und "msDS-KeyCredentialLink schreiben" aus.

Warum schlägt die moderne Authentifizierung von Android-Geräten fehl, wenn der Server nicht alle Zwischenzertifikate in der Kette mit dem SSL-Zertifikat sendet?

Bei Apps, die die Android ADAL-Bibliothek verwenden, schlägt die Authentifizierung bei Microsoft Entra-ID möglicherweise für Verbundbenutzer fehl. Die App erhält eine AuthenticationException , wenn versucht wird, die Anmeldeseite anzuzeigen. Im Chrome-Browser wird die AD FS-Anmeldeseite möglicherweise als unsicher beschrieben.

Für alle Versionen und alle Geräte unterstützt Android das Herunterladen zusätzlicher Zertifikate aus dem AuthorityInformationAccess-Feld des Zertifikats nicht. Diese Einschränkung gilt auch für den Chrome-Browser. Jedes Serverauthentifizierungszertifikat, das keine Zwischenzertifikate enthält, führt zu diesem Fehler, wenn die gesamte Zertifikatkette nicht von AD FS übergeben wird.

Sie können dieses Problem lösen, indem Sie die AD FS- und Webanwendungsproxyserver so konfigurieren, dass die erforderlichen Zwischenzertifikate zusammen mit dem SSL-Zertifikat gesendet werden.

Wenn Sie das SSL-Zertifikat von einem Computer exportieren, der in den persönlichen Speicher des Computers der AD FS- und Webanwendungsproxyserver importiert werden soll, müssen Sie unbedingt den privaten Schlüssel exportieren und persönlichen Informationsaustausch – PKCS #12 auswählen.

Achten Sie außerdem darauf, wenn möglich alle Zertifikate im Zertifikatpfad einzuschließen und alle erweiterten Eigenschaften zu exportieren.

Führen Sie certlm.msc auf den Windows-Servern aus, und importieren Sie *.pfx in den persönlichen Zertifikatspeicher des Computers. Dadurch wird der Server die gesamte Zertifikatkette an die ADAL-Bibliothek übergeben.

Hinweis

Der Zertifikatspeicher von Netzwerklastenausgleichsmodulen sollte ebenfalls aktualisiert werden, um die gesamte Zertifikatkette einzuschließen, sofern vorhanden.

Unterstützt AD FS HEAD-Anforderungen?

AD FS unterstützt keine HEAD-Anforderungen. Anwendungen sollten keine HEAD-Anforderungen für AD FS-Endpunkte verwenden. Die Verwendung dieser Anforderungen kann zu UNERWARTETEn oder verzögerten HTTP-Fehlerantworten führen. Möglicherweise werden auch unerwartete Fehlerereignisse im AD FS-Ereignisprotokoll angezeigt.

Warum wird beim Anmelden mit einem Remote-IdP kein Aktualisierungstoken angezeigt?

Ein Aktualisierungstoken wird nicht ausgegeben, wenn das von IdP ausgestellte Token eine Gültigkeit von weniger als einer Stunde hat. Um sicherzustellen, dass ein Aktualisierungstoken ausgegeben wird, erhöhen Sie die Gültigkeit des vom IdP ausgestellten Tokens auf mehr als eine Stunde.

Gibt es eine Möglichkeit, den RP-Tokenverschlüsselungsalgorithmus zu ändern?

Die RP-Tokenverschlüsselung ist auf AES256 festgelegt. Sie können ihn nicht in einen anderen Wert ändern.

Bei einer Farm mit gemischtem Modus erhalte ich eine Fehlermeldung, wenn ich versuche, das neue SSL-Zertifikat mithilfe von Set-AdfsSslCertificate -Thumbprint festzulegen. Wie kann ich das SSL-Zertifikat in einer AD FS-Farm im gemischten Modus aktualisieren?

Ad FS-Farmen mit gemischten Modus sollen temporär sein. Es wird empfohlen, dass Sie während Der Planung entweder vor dem Upgradevorgang ein Rollover des SSL-Zertifikats durchführen oder den Prozess abschließen und die Farmverhaltensebene erhöhen, bevor Sie das SSL-Zertifikat aktualisieren. Wenn diese Empfehlung nicht befolgt wurde, verwenden Sie die folgenden Anweisungen, um das SSL-Zertifikat zu aktualisieren.

Auf Webanwendungsproxyservern können Sie weiterhin verwenden Set-WebApplicationProxySslCertificate. Auf den AD FS-Servern müssen Sie netsh verwenden. Führen Sie die folgenden Schritte aus:

  1. Wählen Sie eine Teilmenge von AD FS 2016-Servern für die Wartung aus.

  2. Importieren Sie auf den im vorherigen Schritt ausgewählten Servern das neue Zertifikat über MMC.

  3. Löschen Sie die vorhandenen Zertifikate:

    a) netsh http delete sslcert hostnameport=fs.contoso.com:443

    b. netsh http delete sslcert hostnameport=localhost:443

    Abschnitt c. netsh http delete sslcert hostnameport=fs.contoso.com:49443

  4. Fügen Sie die neuen Zertifikate hinzu:

    a) netsh http add sslcert hostnameport=fs.contoso.com:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable sslctlstorename=AdfsTrustedDevices

    b. netsh http add sslcert hostnameport=localhost:443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable

    Abschnitt c. netsh http add sslcert hostnameport=fs.contoso.com:49443 certhash=THUMBPRINT appid="{5d89a20c-beab-4389-9447-324788eb944a}" certstorename=My verifyclientcertrevocation=Enable clientcertnegotiation=Enable

  5. Starten Sie den AD FS-Dienst auf dem ausgewählten Server neu.

  6. Entfernen Sie eine Teilmenge von Webanwendungsproxyservern für die Wartung.

  7. Importieren Sie auf den ausgewählten Webanwendungsproxyservern das neue Zertifikat über MMC.

  8. Legen Sie das neue Zertifikat auf dem Webanwendungsproxyserver mithilfe dieses Cmdlets fest:

    • Set-WebApplicationProxySslCertificate -Thumbprint " CERTTHUMBPRINT"
  9. Starten Sie den Dienst auf den ausgewählten Webanwendungsproxyservern neu.

  10. Setzen Sie den ausgewählten Webanwendungsproxy und AD FS-Server wieder in die Produktionsumgebung.

Aktualisieren Sie die übrigen AD FS- und Webanwendungsproxyserver auf die gleiche Weise.

Wird AD FS unterstützt, wenn Webanwendungsproxyserver hinter der Azure Web Application Firewall (WAF) liegen?

AD FS- und Webanwendungsserver unterstützen jede Firewall, die keine SSL-Beendigung auf dem Endpunkt durchführt. Außerdem verfügen AD FS/Webanwendungsproxyserver über integrierte Mechanismen für:

  • Verhindern sie häufige Webangriffe wie websiteübergreifendes Skripting.
  • Führen Sie AD FS-Proxy aus.
  • Erfüllen Sie alle vom MS-ADFSPIP-Protokoll definierten Anforderungen.

Ich erhalte "Ereignis 441: Ein Token mit einem ungültigen Tokenbindungsschlüssel wurde gefunden." Was soll ich tun, um dieses Ereignis aufzulösen?

In AD FS 2016 wird die Tokenbindung automatisch aktiviert und verursacht mehrere bekannte Probleme mit Proxy- und Verbundszenarien. Diese Probleme verursachen dieses Ereignis. Führen Sie zum Beheben dieses Ereignisses den folgenden PowerShell-Befehl aus, um die Unterstützung der Tokenbindung zu entfernen:

Set-AdfsProperties -IgnoreTokenBinding $true

Ich habe meine Farm von AD FS in Windows Server 2016 auf AD FS in Windows Server 2019 aktualisiert. Die Farmverhaltensebene für die AD FS-Farm wurde auf Windows Server 2019 ausgelöst, die Webanwendungsproxykonfiguration wird jedoch weiterhin als Windows Server 2016 angezeigt.

Nach einem Upgrade auf Windows Server 2019 wird die Konfigurationsversion des Webanwendungsproxys weiterhin als Windows Server 2016 angezeigt. Der Webanwendungsproxy verfügt nicht über neue versionsspezifische Features für Windows Server 2019. Wenn die Farmverhaltensebene auf AD FS ausgelöst wurde, wird der Webanwendungsproxy weiterhin als Windows Server 2016 angezeigt. Dieses Verhalten ist beabsichtigt.

Kann ich die Größe von ADFSArtifactStore schätzen, bevor ich ESL aktiviere?

Wenn ESL aktiviert ist, verfolgt AD FS die Kontoaktivität und bekannte Speicherorte für Benutzer in der ADFSArtifactStore-Datenbank nach. Diese Datenbank wird relativ zur Anzahl der Benutzer und bekannten Speicherorte skaliert. Wenn Sie planen, ESL zu aktivieren, können Sie schätzen, dass die ADFSArtifactStore-Datenbank mit einer Rate von bis zu 1 GB pro 100.000 Benutzer wachsen wird.

Wenn die AD FS-Farm die interne Windows-Datenbank verwendet, lautet der Standardspeicherort für die Datenbankdateien C:\Windows\WID\Data. Um das Ausfüllen dieses Laufwerks zu verhindern, müssen Sie mindestens über 5 GB freien Speicher verfügen, bevor Sie ESL aktivieren. Planen Sie zusätzlich zum Datenträgerspeicher, dass der gesamte Prozessspeicher vergrößert wird, nachdem Sie ESL um bis zu 1 GB RAM für Benutzerpopulationen von 500.000 oder weniger aktiviert haben.

Ich erhalte ereignis-ID 570 auf AD FS 2019. Wie entschärfe ich dieses Ereignis?

Hier sehen Sie den Text des Ereignisses:

Active Directory trust enumeration was unable to enumerate one of more domains due to the following error. Enumeration will continue but the Active Directory identifier list may not be correct. Validate that all expected Active Directory identifiers are present by running Get-ADFSDirectoryProperties.

Dieses Ereignis tritt auf, wenn Gesamtstrukturen nicht vertrauenswürdig sind, wenn AD FS versucht, alle Gesamtstrukturen in einer Kette vertrauenswürdiger Gesamtstrukturen auflisten und über alle Gesamtstrukturen hinweg eine Verbindung herzustellen. Angenommen, AD FS-Gesamtstruktur A und Gesamtstruktur B sind vertrauenswürdig, und "Gesamtstruktur B" und "Gesamtstruktur C" sind vertrauenswürdig. AD FS führt alle drei Gesamtstrukturen auf und versucht, eine Vertrauensstellung zwischen Gesamtstruktur A und Gesamtstruktur C zu finden. Wenn Benutzer aus der fehlerhaften Gesamtstruktur von AD FS authentifiziert werden sollen, richten Sie eine Vertrauensstellung zwischen der AD FS-Gesamtstruktur und der fehlerhaften Gesamtstruktur ein. Wenn Benutzer aus der fehlerhaften Gesamtstruktur nicht von AD FS authentifiziert werden sollten, ignorieren Sie dieses Ereignis.

Ich erhalte die Ereignis-ID 364. Was sollte ich tun, um dieses Problem zu beheben?

Hier sehen Sie den Text des Ereignisses:

Microsoft.IdentityServer.AuthenticationFailedException: MSIS5015: Authentication of the presented token failed. Token Binding claim in token must match the binding provided by the channel.

In AD FS 2016 wird die Tokenbindung automatisch aktiviert und verursacht mehrere bekannte Probleme mit Proxy- und Verbundszenarien. Diese Probleme verursachen dieses Ereignis. Führen Sie zum Beheben des Ereignisses den folgenden PowerShell-Befehl aus, um die Unterstützung der Tokenbindung zu entfernen:

Set-AdfsProperties -IgnoreTokenBinding $true

Ich erhalte die Ereignis-ID 543. Wie entschärfe ich dieses Ereignis?

Hier sehen Sie den Text des Ereignisses:

System.ServiceModel.FaultException: The formatter threw an error while trying to deserialize the message: There was an error while trying to deserialize parameter schemas.microsoft.com/ws/2009/12/identityserver/protocols/policystore:maxBehaviorLevel". The InnerException message was "Invalid enum value 'Win2019' cannot be deserialized into type 'Microsoft.IdentityServer.FarmBehavior'. Ensure that the necessary enum values are present and are marked with EnumMemberAttribute attribute if the type has DataContractAttribute attribute.

Dieses Ereignis wird erwartet, wenn beide Anweisungen wahr sind:

  • Sie haben eine Farm mit gemischtem Modus.
  • AD FS 2019 stellt informationen zur maximalen Verhaltensstufe der Farm für den primären Verbundserver bereit und wird von Der Verbundserverversion 2016 nicht erkannt.

AD FS 2019 versucht weiterhin, den MaxBehaviorLevel-Wert Win2019 in der Farm freizugeben, bis er nach zwei Monaten veraltet ist und automatisch aus der Farm entfernt wird. Um dieses Ereignis zu vermeiden, migrieren Sie die primäre Verbundrolle mit der neuesten Version auf den Verbundserver. Befolgen Sie die Anweisungen unter "So aktualisieren Sie Ihre AD FS-Farm auf Windows Server 2019 Farm Behavior Level".

Wie behebt ich den AD FS-Administratorereignisprotokollfehler: "Ungültige Oauth-Anforderung empfangen. Der Client <NAME> ist verboten, auf die Ressource mit Bereichsugs zu zugreifen"?

Gehen Sie folgendermaßen vor, um das Problem zu beheben:

  1. Starten Sie die AD FS-Verwaltungskonsole.
  2. Wechseln Sie zuDienstbereichsbeschreibungen>.
  3. Wählen Sie in "Bereichsbeschreibungen" "Weitere Optionen" und dann "Bereichsbeschreibung hinzufügen" aus.
  4. Geben Sie unter "Name" ugs ein, und wählen Sie dann"OKübernehmen"> aus.
  5. Starten Sie PowerShell als Administrator.
  6. Führen Sie den Befehl Get-AdfsApplicationPermissionaus. Suchen Sie nach dem ScopeNames :{openid, aza} Wert, der den ClientRoleIdentifier Wert aufweist. Notieren Sie sich den Wert für ObjectIdentifier.
  7. Führen Sie den Befehl Set-AdfsApplicationPermission -TargetIdentifier <ObjectIdentifier from step 5> -AddScope 'ugs'aus.
  8. Starten Sie den AD FS-Dienst neu.
  9. Starten Sie den Client auf dem Client neu. Sie sollten aufgefordert werden, Windows Hello for Business zu konfigurieren.
  10. Wenn das Konfigurationsfenster nicht angezeigt wird, müssen Sie Ablaufverfolgungsprotokolle sammeln und weitere Problembehandlungen durchführen.

Kann ich einen Ressourcenwert als Teil des Bereichswerts wie eine typische Anforderung für Azure AD übergeben?

Ja, aber nur in Windows Server 2019 oder höher. Sie können den Bereichsparameter als durch Leerzeichen getrennte Liste organisieren, in der jeder Eintrag als Ressource oder Bereich strukturiert ist, z <create a valid sample request>. B. .

Unterstützt AD FS die PKCE-Erweiterung?

Ja, aber nur in Windows Server 2019 oder höher. AD FS unterstützt Proof Key for Code Exchange (PKCE) für den OAuth Authorization Code Grant-Fluss.

Wie erhalte ich die Sid-Erweiterung (Security Identifier) in Zertifikaten, die über AD FS registriert sind, um die im Key Distribution Center (KDC) erzwungenen starken Zuordnungskriterien zu erfüllen?

AD FS registriert sich für Anmeldezertifikate im Namen authentifizierter Konten unter bestimmten Windows Hello For Business-Szenarien, wie unter Verwendung von AD FS unter Konfigurieren des einmaligen Anmeldens für Azure Virtual Desktop dokumentiert. Standardmäßig enthalten diese Zertifikate keine SID-Erweiterung und werden von KDC verweigert. Weitere Informationen zu den KDC-Anforderungen finden Sie unter KB5014754: Änderungen der zertifikatbasierten Authentifizierung auf Windows-Domänencontrollern. Updates sind für AD FS unter Windows Server 2019, Windows Server 2022 und Windows Server 2025 verfügbar, um sicherzustellen, dass ausgestellte Zertifikate die SID-Erweiterung enthalten, um starke Zuordnungsanforderungen zu erfüllen. Um dieses Verhalten zu aktivieren, installieren Sie die neuesten Windows-Updates auf allen AD FS-Servern der Farm, und führen Sie das folgende Cmdlet auf dem primären AD FS-Server aus:

  • Set-AdfsCertificateAuthority -EnrollmentAgent -AddSIDCertificateExtension $true