Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Active Directory-Verbunddienste (AD FS) stellt zwei primäre Protokolle bereit, die Sie zur Problembehandlung verwenden können. Sie lauten wie folgt:
- Das Administratorprotokoll.
- Ablaufverfolgungsprotokoll
Anzeigen des Administratorprotokolls
Das Administratorprotokoll enthält allgemeine Informationen zu Problemen, die auftreten und standardmäßig aktiviert sind. So können Sie das Administratorprotokoll anzeigen:
Öffnen Sie Ereignisanzeige.
Erweitern Sie das Anwendungs- und Dienstprotokoll.
Erweitern Sie AD FS.
Wählen Sie "Administrator" aus.
Tracelog verwenden
Im Ablaufverfolgungsprotokoll werden detaillierte Nachrichten protokolliert, und es ist das nützlichste Protokoll bei der Problembehandlung. Da viele Tracelog-Informationen in kurzer Zeit generiert werden können, was sich auf die Systemleistung auswirken kann, werden die Protokolle standardmäßig deaktiviert.
Um das Tracelog zu aktivieren und anzuzeigen
Öffnen Sie die Ereignisanzeige , und erweitern Sie das Anwendungs- und Dienstprotokoll.
Klicken Sie mit der rechten Maustaste auf das Anwendungs- und Dienstprotokoll, und wählen Sie "Ansicht" aus. Wählen Sie dann "Analyse- und Debugprotokolle anzeigen" aus. In diesem Bereich werden weitere Knoten angezeigt.
Erweitern Sie AD FS Tracing.
Klicken Sie mit der rechten Maustaste auf "Debuggen", und wählen Sie "Protokoll aktivieren" aus.
Ereignisüberwachungsinformationen für AD FS unter Windows Server 2016
Standardmäßig verfügt AD FS in Windows Server 2016 über eine grundlegende Überwachungsebene. Bei der grundlegenden Überwachung sehen Administratoren fünf oder weniger Ereignisse für eine einzelne Anforderung. Diese Informationen markieren eine signifikante Abnahme der Anzahl der Ereignisse, die Administratoren nachvollziehen müssen, um eine einzelne Anforderung zu erkennen. Sie können die Überwachungsebene mithilfe des PowerShell-Cmdlets erhöhen oder verringern:
Set-AdfsProperties -AuditLevel
In der folgenden Tabelle werden die verfügbaren Überwachungsstufen erläutert.
| Überwachungsstufe | PowerShell-Syntax | BESCHREIBUNG |
|---|---|---|
| Nichts | Set-AdfsProperties -AuditLevel Keine | Die Überwachung ist deaktiviert, und es werden keine Ereignisse protokolliert. |
| Einfach (Standard) | Set-AdfsProperties -AuditLevel Grundlegend | Für eine einzelne Anforderung werden nicht mehr als fünf Ereignisse protokolliert. |
| Ausführlich | Set-AdfsProperties -AuditLevel Ausführlich | Alle Ereignisse werden protokolliert. Diese Ebene protokolliert eine erhebliche Menge an Informationen pro Anforderung. |
Um die aktuelle Überwachungsstufe anzuzeigen, können Sie das PowerShell-Cmdlet verwenden: Get-AdfsProperties.
Sie können die Überwachungsstufe mithilfe des PowerShell-Cmdlets erhöhen oder senken: Set-AdfsProperties -AuditLevel
Typen von Ereignissen
AD FS-Ereignisse können unterschiedlich sein, basierend auf den verschiedenen Arten von Anforderungen, die von AD FS verarbeitet werden. Jedem Ereignistyp sind bestimmte Daten zugeordnet. Der Ereignistyp kann zwischen Anmeldeanforderungen und Systemanforderungen unterschieden werden. Ihre Anmeldeanforderungen können Tokenanforderungen sein, und Ihre Systemanforderungen können Serverserveraufrufe sein, einschließlich des Abrufens von Konfigurationsinformationen.
In der folgenden Tabelle werden die grundlegenden Ereignistypen beschrieben.
| Ereignistyp | Ereignis-ID | BESCHREIBUNG |
|---|---|---|
| Erfolgreiche Überprüfung neuer Anmeldeinformationen | 1202 | Eine Anforderung, bei der der Verbunddienst neue Anmeldeinformationen erfolgreich überprüft. Dieses Ereignis umfasst WS-Trust, WS-Federation, SAML-P (erster Schritt zur Generierung von SSO) und OAuth-Autorisierungsendpunkte. |
| Fehler bei Überprüfung neuer Anmeldeinformationen | 1203 | Eine Anforderung, bei der während der Überprüfung neuer Anmeldeinformationen beim Verbunddienst ein Fehler aufgetreten ist. Dieses Ereignis umfasst WS-Trust, WS-Fed, SAML-P (erste Etappe zum Generieren von SSO) und OAuth Authorize Endpoints. |
| Anwendungstoken erfolgreich | 1 200 | Eine Anforderung, bei der der Verbunddienst ein Sicherheitstoken erfolgreich ausgibt. Für WS-Federation und SAML-P wird dieses Ereignis protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wird (z. B. das SSO-Cookie). |
| Anwendungs-Token-Fehler | 1201 | Eine Anforderung, bei der kein Sicherheitstoken für den Verbunddienst ausgestellt werden konnte. Für WS-Federation und SAML-P wird dieses Ereignis protokolliert, wenn die Anforderung mit dem SSO-Artefakt (z. B. dem SSO-Cookie) verarbeitet wurde. |
| Erfolg der Kennwortänderungsanforderung | 1204 | Eine Transaktion, bei der der Verbunddienst die Kennwortänderungsanforderung erfolgreich verarbeitet. |
| Fehler bei kennwortänderungsanforderung | 1205 | Eine Transaktion, bei der der Verbunddienst die Kennwortänderungsanforderung nicht verarbeitet. |
| Erfolgreiches Abmelden | 1206 | Beschreibt eine erfolgreiche Abmeldeanforderung. |
| Abmeldefehler | 1207 | Beschreibt eine fehlgeschlagene Abmeldeanforderung. |
Sicherheitsüberwachung
Die Sicherheitsüberwachung des AD FS-Dienstkontos kann manchmal helfen, Probleme mit Kennwortaktualisierungen, Anforderungs-/Antwortprotokollierung, Anforderungsinhaltsheadern und Geräteregistrierungsergebnissen nachzuverfolgen. Die Überwachung des AD FS-Dienstkontos ist standardmäßig deaktiviert.
Aktivieren der Sicherheitsüberwachung
Wählen Sie Starten aus. Wechseln Sie dann zu "Verwaltungstools für Programme>", und wählen Sie dann "Lokale Sicherheitsrichtlinie" aus.
Wechseln Sie zum Ordner "Sicherheitseinstellungen\Lokale Richtlinien\Verwaltung von Benutzerrechten" , und doppelklicken Sie dann auf "Sicherheitsüberwachung generieren".
Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn sie nicht vorhanden ist, wählen Sie "Benutzer oder Gruppe hinzufügen" aus, und fügen Sie sie der Liste hinzu. Wählen Sie dann OK aus.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus, um die Überwachung zu aktivieren:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enableSchließen Sie die lokale Sicherheitsrichtlinie, und öffnen Sie dann das AD FS-Verwaltungs-Snap-In.
Um das AD FS-Verwaltungs-Snap-In zu öffnen, wählen Sie "Start" aus. Wechseln Sie zu den Verwaltungstools für Programme>, und wählen Sie dann AD FS-Verwaltung aus.
Wählen Sie im Bereich Aktionen die Option Verbunddiensteigenschaften bearbeiten aus.
Wählen Sie im Dialogfeld Verbunddiensteigenschaften die Registerkarte Ereignisse aus.
Aktivieren Sie die Kontrollkästchen Erfolgreiche Überprüfungen und Fehlerüberprüfungen.
Wählen Sie OK aus.
Hinweis
Die vorherigen Anweisungen werden nur verwendet, wenn AD FS sich auf einem eigenständigen Memberserver befindet. Wenn AD FS auf einem Domänencontroller ausgeführt wird, verwenden Sie anstelle der lokalen Sicherheitsrichtlinie die Standard-Domänencontrollerrichtlinie , die sich in der Gruppenrichtlinienverwaltung/Gesamtstruktur/Domänen/Domänencontroller befindet. Wählen Sie "Bearbeiten" aus, und wechseln Sie zu "Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Verwaltung von Benutzerrechten".
Windows Communication Foundation- und Windows Identity Foundation-Nachrichten
Zusätzlich zur Ablaufverfolgungsprotokollierung kann es vorkommen, dass Sie Meldungen von Windows Communication Foundation (WCF) und Windows Identity Foundation (WIF) anzeigen müssen, um ein Problem zu beheben. Sie können diese Nachrichten anzeigen, indem Sie die Datei "Microsoft.IdentityServer.ServiceHost.Exe.Config" auf dem AD FS-Server ändern.
Diese Datei befindet sich in <%system Stamm-%>\Windows\ADFS und befindet sich im XML-Format. Die relevanten Teile der Datei werden im folgenden Beispiel gezeigt:
<!-- To enable WIF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>
<!-- To enable WCF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="System.ServiceModel" switchValue="Off" > … </source>
Nachdem Sie diese Änderungen angewendet haben, speichern Sie die Konfiguration, und starten Sie den AD FS-Dienst neu. Nachdem Sie diese Ablaufverfolgungen aktiviert haben, indem Sie die entsprechenden Schalter festlegen, werden sie im AD FS-Ablaufverfolgungsprotokoll in der Windows-Ereignisanzeige angezeigt.
Korrelation von Ereignissen
Besonders schwierig bei der Problembehandlung sind Zugriffsprobleme, die zahlreiche Fehler oder Debugereignisse generieren.
Um dies zu erleichtern, korreliert AD FS alle Ereignisse, die in der Ereignisanzeige aufgezeichnet werden, sowohl im Administrator als auch in den Debugprotokollen. Jedes dieser Protokolle entspricht einer bestimmten Anforderung mithilfe einer eindeutigen GUID (Globally Unique Identifier), die als Aktivitäts-ID bezeichnet wird. AD FS generiert diese ID, wenn es die Tokenausstellungsanforderung für Webanwendungen mit dem passiven Anforderungsprofil darstellt. AD FS generiert auch eine ID, wenn sie Anforderungen direkt an den Anspruchsanbieter für Anwendungen sendet, die WS-Trust verwenden.
Diese Aktivitäts-ID bleibt für die gesamte Dauer der Anforderung gleich, und sie wird als Teil jedes Ereignisses protokolliert, das in der Ereignisanzeige für diese Anforderung aufgezeichnet wird. Dies bedeutet:
- Das Filtern oder Durchsuchen der Ereignisanzeige mithilfe dieser Aktivitäts-ID kann dazu beitragen, alle zugehörigen Ereignisse nachzuverfolgen, die der Tokenanforderung entsprechen.
- Die gleiche Aktivitäts-ID wird auf verschiedenen Computern protokolliert, sodass Sie eine Benutzeranforderung auf mehreren Computern wie dem Verbundserverproxy (FSP) behandeln können.
- Die Aktivitäts-ID wird auch im Browser des Benutzers angezeigt, wenn die AD FS-Anforderung auf irgendeine Weise fehlschlägt, sodass der Benutzer diese ID an Helpdesk oder IT-Support übermitteln kann.
Um den Problembehandlungsprozess zu unterstützen, protokolliert AD FS auch das Aufrufer-ID-Ereignis, wenn der Tokenausstellungsprozess auf einem AD FS-Server fehlschlägt. Dieses Ereignis enthält den Anspruchstyp und den Wert eines der folgenden Anspruchstypen, vorausgesetzt, dass diese Informationen als Teil einer Tokenanforderung an den Verbunddienst übergeben wurden:
https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhhttps://schemas.microsoft.com/ws/2008/06/identity/claims/upnhttp://schemas.xmlsoap.org/claims/UPNhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddresshhttps://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddresshttp://schemas.xmlsoap.org/claims/EmailAddresshttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/namehttps://schemas.microsoft.com/ws/2008/06/identity/claims/namehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Das Aufrufer-ID-Ereignis protokolliert auch die Aktivitäts-ID, damit Sie diese Aktivitäts-ID verwenden können, um die Ereignisprotokolle nach einer bestimmten Anforderung zu filtern oder zu durchsuchen.