AD FS-Problembehandlung: Ereignisse und Protokollierung
AD FS stellt zwei primäre Protokolle bereit, die bei der Problembehandlung verwendet werden können. Sie lauten wie folgt:
- Administratorprotokoll
- Ablaufverfolgungsprotokoll
Jedes dieser Protokolle wird im Folgenden erläutert.
Administratorprotokoll
Das Administratorprotokoll bietet allgemeine Informationen zu auftretenden Problemen und ist standardmäßig aktiviert.
So zeigen Sie das Administratorprotokoll an
- Öffnen Sie die Ereignisanzeige.
- Erweitern Sie Anwendungs- und Dienstprotokoll.
- Erweitern Sie AD FS.
- Klicken Sie auf Admin.
Ablaufverfolgungsprotokoll
Im Ablaufverfolgungsprotokoll werden detaillierte Meldungen protokolliert. Dies ist bei der Problembehandlung besonders nützlich. Da in kurzer Zeit zahlreiche Ablaufverfolgungsprotokoll-Informationen generiert werden können und sich dies auf die Systemleistung auswirken kann, sind die Ablaufverfolgungsprotokolle standardmäßig deaktiviert.
So wird das Ablaufverfolgungsprotokoll aktiviert und angezeigt
- Öffnen Sie die Ereignisanzeige, und erweitern Sie Anwendungs- und Dienstprotokoll.
- Klicken Sie mit der rechten Maustaste auf Anwendungs- und Dienstprotokoll, klicken Sie auf Ansicht, und wählen Sie Analytische und Debugprotokolle einblenden aus (links werden weitere Knoten angezeigt).
- Erweitern Sie AD FS-Ablaufverfolgung.
- Klicken Sie mit der rechten Maustaste auf Debuggen, und wählen Sie Protokoll aktivieren aus.
Informationen der Ereignisüberwachung für AD FS unter Windows Server 2016
Standardmäßig ist für AD FS in Windows Server 2016 eine grundlegende Überwachungsebene aktiviert. Mit der grundlegenden Überwachung werden den Administratoren für eine einzige Anforderung höchstens fünf Ereignisse angezeigt. So wird die Anzahl der Ereignisse, die Administratoren sich zur Anzeige einer einzigen Anforderung ansehen müssen, erheblich verringert. Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden:
Set-AdfsProperties -AuditLevel
In der folgenden Tabelle werden die verfügbaren Überwachungsebenen erläutert.
Überwachungsebene | PowerShell-Syntax | BESCHREIBUNG |
---|---|---|
Keine | Set-AdfsProperties -AuditLevel None | Die Überwachung ist deaktiviert, und es werden keine Ereignisse protokolliert. |
Einfach (Standard) | Set-AdfsProperties -AuditLevel Basic | Für eine einzige Anforderung werden höchstens fünf Ereignisse protokolliert. |
Ausführlich | Set-AdfsProperties -AuditLevel Verbose | Alle Ereignisse werden protokolliert. Dadurch wird eine erhebliche Menge an Informationen pro Anforderung protokolliert. |
Sie können das folgende PowerShell-Cmdlet verwenden, um die aktuelle Überwachungsebene anzuzeigen: Get-AdfsProperties.
Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden: Set-AdfsProperties -AuditLevel.
Ereignistypen
AD FS-Ereignisse können unterschiedliche Typen aufweisen, je nach den verschiedenen Arten von Anforderungen, die von AD FS verarbeitet werden. Jedem Ereignistyp sind bestimmte Daten zugeordnet. Bei den Ereignistypen ist zwischen Anmeldeanforderungen (z. B. Tokenanforderungen) und Systemanforderungen (Server-Server-Aufrufe einschließlich Abrufen von Konfigurationsinformationen) zu unterscheiden.
In der folgenden Tabelle werden die grundlegenden Ereignistypen beschrieben.
Ereignistyp | Ereignis-ID | BESCHREIBUNG |
---|---|---|
Erfolgreiche Überprüfung neuer Anmeldeinformationen | 1202 | Eine Anforderung, bei der neue Anmeldeinformationen vom Verbunddienst erfolgreich überprüft wurden. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte. |
Fehler bei Überprüfung neuer Anmeldeinformationen | 1203 | Eine Anforderung, bei der während der Überprüfung neuer Anmeldeinformationen beim Verbunddienst ein Fehler aufgetreten ist. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte. |
Anwendungstoken erfolgreich | 1200 | Eine Anforderung, bei der ein Sicherheitstoken vom Verbunddienst erfolgreich ausgestellt wurde. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wird. (z. B. SSO-Cookie). |
Fehler bei Anwendungstoken | 1201 | Eine Anforderung, bei der kein Sicherheitstoken für den Verbunddienst ausgestellt werden konnte. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wurde. (z. B. SSO-Cookie). |
Erfolgreiche Anforderung zur Kennwortänderung | 1204 | Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst erfolgreich verarbeitet wurde. |
Fehler bei Anforderung zur Kennwortänderung | 1205 | Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst nicht verarbeitet werden konnte. |
Erfolgreiches Abmelden | 1206 | Beschreibt eine erfolgreiche Abmeldeanforderung. |
Fehler beim Abmelden | 1207 | Beschreibt eine fehlgeschlagene Abmeldeanforderung. |
Sicherheitsüberwachung
Die Sicherheitsüberwachung des AD FS-Dienstkontos kann manchmal helfen, Probleme mit Kennwortupdates, Anforderungs-/Antwortprotokollierung, Anforderungsinhaltsheadern und Geräteregistrierungsergebnissen nachzuverfolgen. Die Überwachung des AD FS-Dienstkontos ist standardmäßig deaktiviert.
So aktivieren Sie die Sicherheitsüberwachung
- Klicken Sie auf „Start“, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie.
- Navigieren Sie zum Ordner Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten, und doppelklicken Sie dann auf Generieren von Sicherheitsüberwachungen.
- Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn es nicht vorhanden ist, klicken Sie auf „Benutzer oder Gruppe hinzufügen“, und fügen Sie es der Liste hinzu. Klicken Sie dann auf „OK“.
- Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus, um die Überwachung zu aktivieren: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
- Schließen Sie Lokale Sicherheitsrichtlinie, und öffnen Sie dann das Snap-In AD FS-Verwaltung.
Klicken Sie zum Öffnen des AD FS-Verwaltungs-Snap-Ins auf „Start“, zeigen Sie auf „Programme“ > „Verwaltung“, und klicken Sie anschließend auf „AD FS-Verwaltung“.
- Klicken Sie im Bereich „Aktionen“ auf „Verbunddiensteigenschaften bearbeiten“.
- Klicken Sie im Dialogfeld Verbunddiensteigenschaften auf die Registerkarte Ereignisse.
- Aktivieren Sie die Kontrollkästchen Erfolgreiche Überprüfungen und Fehlerüberprüfungen.
- Klicken Sie auf OK.
Hinweis
Die obigen Anweisungen werden nur verwendet, wenn sich AD FS auf einem eigenständigen Mitgliedsserver befindet. Wenn AD FS auf einem Domänencontroller ausgeführt wird, verwenden Sie anstelle der lokalen Sicherheitsrichtlinie die Standarddomänencontroller-Richtlinie unter Gruppenrichtlinienverwaltung/Gesamtstruktur/Domänen/Domänencontroller. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechteverwaltung.
Meldungen der Windows Communication Foundation und der Windows Identity Foundation
Zusätzlich zur Ablaufverfolgungsprotokollierung kann es vorkommen, dass Sie Meldungen der Windows Communication Foundation (WCF) und der Windows Identity Foundation (WIF) anzeigen müssen, um ein Problem zu beheben. Hierzu können Sie die Datei Microsoft.IdentityServer.ServiceHost.Exe.Config auf dem AD FS-Server ändern.
Diese Datei befindet sich unter <%system root%>\Windows\ADFS und liegt im XML-Format vor. Die relevanten Teile der Datei sind nachstehend aufgeführt:
<!-- To enable WIF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>
<!-- To enable WCF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="System.ServiceModel" switchValue="Off" > … </source>
Nachdem Sie diese Änderungen angewendet haben, speichern Sie die Konfiguration, und starten Sie den AD FS-Dienst neu. Sobald Sie diese Ablaufverfolgungen durch Festlegen der entsprechenden Optionen aktiviert haben, werden sie im AD FS-Ablaufverfolgungsprotokoll der Windows-Ereignisanzeige aufgeführt.
Korrelieren von Ereignissen
Besonders schwierig bei der Problembehandlung sind Zugriffsprobleme, die zahlreiche Fehler oder Debugereignisse generieren.
Um Sie dabei zu unterstützen, korreliert AD FS alle Ereignisse, die sowohl in den Administrator- als auch in den Debugprotokollen der Ereignisanzeige aufgezeichnet werden und einer bestimmten Anforderung entsprechen, über eine eindeutige GUID (Globally Unique Identifier), die als Aktivitäts-ID bezeichnet wird. Diese ID wird generiert, wenn die Tokenausstellungsanforderung zunächst der Webanwendung vorgelegt wird (bei Anwendungen, die das passive Anforderungsprofil verwenden) oder wenn Anforderungen direkt an den Anspruchsanbieter gesendet werden (bei Anwendungen, die WS-Trust verwenden).
Diese Aktivitäts-ID bleibt für die gesamte Dauer der Anforderung dieselbe und wird als Teil der einzelnen Ereignisses protokolliert, die in der Ereignisanzeige für diese Anforderung aufgezeichnet werden. Das bedeutet Folgendes:
- Indem Sie die Ereignisanzeige anhand dieser Aktivitäts-ID filtern oder durchsuchen, können Sie alle zugehörigen Ereignisse nachverfolgen, die der Tokenanforderung entsprechen.
- Dieselbe Aktivitäts-ID wird computerübergreifend protokolliert, sodass Sie eine Benutzeranforderung auf mehreren Computern wie z. B. dem Verbundserverproxy (Federation Server Proxy, FSP) behandeln können.
- Die Aktivitäts-ID wird auch im Browser des Benutzers angezeigt, wenn die AD FS-Anforderung in irgendeiner Weise fehlschlägt, sodass der Benutzer diese ID an den Helpdesk oder den IT-Support übermitteln kann.
Um die Problembehandlung zu unterstützen, protokolliert AD FS auch das Aufrufer-ID-Ereignis, wenn der Tokenausstellungsprozess auf einem AD FS-Server fehlschlägt. Dieses Ereignis enthält den Anspruchstyp und den Wert eines der folgenden Anspruchstypen, vorausgesetzt, dass diese Informationen im Rahmen einer Tokenanforderung an den Verbunddienst übergeben wurden:
https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
http://schemas.xmlsoap.org/claims/UPN
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
http://schemas.xmlsoap.org/claims/EmailAddress
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
https://schemas.microsoft.com/ws/2008/06/identity/claims/name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Das Aufrufer-ID-Ereignis protokolliert auch die Aktivitäts-ID, damit Sie die Ereignisprotokolle anhand dieser Aktivitäts-ID nach einer bestimmten Anforderung filtern oder durchsuchen können.