AD FS-Problembehandlung: Ereignisse und Protokollierung

AD FS stellt zwei primäre Protokolle bereit, die bei der Problembehandlung verwendet werden können. Sie lauten wie folgt:

  • Administratorprotokoll
  • Ablaufverfolgungsprotokoll

Jedes dieser Protokolle wird im Folgenden erläutert.

Administratorprotokoll

Das Administratorprotokoll bietet allgemeine Informationen zu auftretenden Problemen und ist standardmäßig aktiviert.

So zeigen Sie das Administratorprotokoll an

  1. Öffnen Sie die Ereignisanzeige.
  2. Erweitern Sie Anwendungs- und Dienstprotokoll.
  3. Erweitern Sie AD FS.
  4. Klicken Sie auf Admin.

Screenshot: Ereignisanzeige mit hervorgehobener Administratoroption

Ablaufverfolgungsprotokoll

Im Ablaufverfolgungsprotokoll werden detaillierte Meldungen protokolliert. Dies ist bei der Problembehandlung besonders nützlich. Da in kurzer Zeit zahlreiche Ablaufverfolgungsprotokoll-Informationen generiert werden können und sich dies auf die Systemleistung auswirken kann, sind die Ablaufverfolgungsprotokolle standardmäßig deaktiviert.

So wird das Ablaufverfolgungsprotokoll aktiviert und angezeigt

  1. Öffnen Sie die Ereignisanzeige, und erweitern Sie Anwendungs- und Dienstprotokoll.
  2. Klicken Sie mit der rechten Maustaste auf Anwendungs- und Dienstprotokoll, klicken Sie auf Ansicht, und wählen Sie Analytische und Debugprotokolle einblenden aus (links werden weitere Knoten angezeigt).

Screenshot: Ereignisanzeige. Der Benutzer hat mit der rechten Maustaste auf „Anwendungs- und Dienstprotokoll“ geklickt und „Ansicht“ ausgewählt, wobei die Option „Analytische und Debugprotokolle einblenden“ hervorgehoben ist.

  1. Erweitern Sie AD FS-Ablaufverfolgung.
  2. Klicken Sie mit der rechten Maustaste auf Debuggen, und wählen Sie Protokoll aktivieren aus.

Screenshot: Ereignisanzeige. Der Benutzer hat mit der rechten Maustaste auf „Debuggen“ geklickt, wobei die Option „Protokoll aktivieren“ hervorgehoben ist.

Informationen der Ereignisüberwachung für AD FS unter Windows Server 2016

Standardmäßig ist für AD FS in Windows Server 2016 eine grundlegende Überwachungsebene aktiviert. Mit der grundlegenden Überwachung werden den Administratoren für eine einzige Anforderung höchstens fünf Ereignisse angezeigt. So wird die Anzahl der Ereignisse, die Administratoren sich zur Anzeige einer einzigen Anforderung ansehen müssen, erheblich verringert. Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden:

Set-AdfsProperties -AuditLevel

In der folgenden Tabelle werden die verfügbaren Überwachungsebenen erläutert.

Überwachungsebene PowerShell-Syntax BESCHREIBUNG
Keine Set-AdfsProperties -AuditLevel None Die Überwachung ist deaktiviert, und es werden keine Ereignisse protokolliert.
Einfach (Standard) Set-AdfsProperties -AuditLevel Basic Für eine einzige Anforderung werden höchstens fünf Ereignisse protokolliert.
Ausführlich Set-AdfsProperties -AuditLevel Verbose Alle Ereignisse werden protokolliert. Dadurch wird eine erhebliche Menge an Informationen pro Anforderung protokolliert.

Sie können das folgende PowerShell-Cmdlet verwenden, um die aktuelle Überwachungsebene anzuzeigen: Get-AdfsProperties.

Screenshot: PowerShell-Fenster mit den Ergebnissen des Cmdlets „Get-AdfsProperties“ mit hervorgehobener Eigenschaft „AuditLevel“

Die Überwachungsebene kann mithilfe des folgenden PowerShell-Cmdlets erhöht oder verringert werden: Set-AdfsProperties -AuditLevel.

Screenshot: PowerShell-Fenster mit dem Cmdlet „Set-AdfsProperties -AuditLevel Verbose“, das in der Eingabeaufforderung eingegeben wurde

Ereignistypen

AD FS-Ereignisse können unterschiedliche Typen aufweisen, je nach den verschiedenen Arten von Anforderungen, die von AD FS verarbeitet werden. Jedem Ereignistyp sind bestimmte Daten zugeordnet. Bei den Ereignistypen ist zwischen Anmeldeanforderungen (z. B. Tokenanforderungen) und Systemanforderungen (Server-Server-Aufrufe einschließlich Abrufen von Konfigurationsinformationen) zu unterscheiden.

In der folgenden Tabelle werden die grundlegenden Ereignistypen beschrieben.

Ereignistyp Ereignis-ID BESCHREIBUNG
Erfolgreiche Überprüfung neuer Anmeldeinformationen 1202 Eine Anforderung, bei der neue Anmeldeinformationen vom Verbunddienst erfolgreich überprüft wurden. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte.
Fehler bei Überprüfung neuer Anmeldeinformationen 1203 Eine Anforderung, bei der während der Überprüfung neuer Anmeldeinformationen beim Verbunddienst ein Fehler aufgetreten ist. Dazu gehören WS-Trust, WS-Verbund, SAML-P (erster Abschnitt zum Generieren von einmaligem Anmelden) und OAuth-Autorisierungsendpunkte.
Anwendungstoken erfolgreich 1200 Eine Anforderung, bei der ein Sicherheitstoken vom Verbunddienst erfolgreich ausgestellt wurde. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wird. (z. B. SSO-Cookie).
Fehler bei Anwendungstoken 1201 Eine Anforderung, bei der kein Sicherheitstoken für den Verbunddienst ausgestellt werden konnte. Für WS-Verbund und SAML-P wird dies protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wurde. (z. B. SSO-Cookie).
Erfolgreiche Anforderung zur Kennwortänderung 1204 Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst erfolgreich verarbeitet wurde.
Fehler bei Anforderung zur Kennwortänderung 1205 Eine Transaktion, bei der die Kennwortänderungsanforderung vom Verbunddienst nicht verarbeitet werden konnte.
Erfolgreiches Abmelden 1206 Beschreibt eine erfolgreiche Abmeldeanforderung.
Fehler beim Abmelden 1207 Beschreibt eine fehlgeschlagene Abmeldeanforderung.

Sicherheitsüberwachung

Die Sicherheitsüberwachung des AD FS-Dienstkontos kann manchmal helfen, Probleme mit Kennwortupdates, Anforderungs-/Antwortprotokollierung, Anforderungsinhaltsheadern und Geräteregistrierungsergebnissen nachzuverfolgen. Die Überwachung des AD FS-Dienstkontos ist standardmäßig deaktiviert.

So aktivieren Sie die Sicherheitsüberwachung

  1. Klicken Sie auf „Start“, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie.
  2. Navigieren Sie zum Ordner Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten, und doppelklicken Sie dann auf Generieren von Sicherheitsüberwachungen.
  3. Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn es nicht vorhanden ist, klicken Sie auf „Benutzer oder Gruppe hinzufügen“, und fügen Sie es der Liste hinzu. Klicken Sie dann auf „OK“.
  4. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus, um die Überwachung zu aktivieren: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
  5. Schließen Sie Lokale Sicherheitsrichtlinie, und öffnen Sie dann das Snap-In AD FS-Verwaltung.

Klicken Sie zum Öffnen des AD FS-Verwaltungs-Snap-Ins auf „Start“, zeigen Sie auf „Programme“ > „Verwaltung“, und klicken Sie anschließend auf „AD FS-Verwaltung“.

  1. Klicken Sie im Bereich „Aktionen“ auf „Verbunddiensteigenschaften bearbeiten“.
  2. Klicken Sie im Dialogfeld Verbunddiensteigenschaften auf die Registerkarte Ereignisse.
  3. Aktivieren Sie die Kontrollkästchen Erfolgreiche Überprüfungen und Fehlerüberprüfungen.
  4. Klicken Sie auf OK.

Screenshot: Registerkarte „Ereignisse“ des Dialogfelds „Verbunddiensteigenschaften“ mit Auswahl der Optionen „Erfolgsüberwachung“ und „Fehlerüberwachung“

Hinweis

Die obigen Anweisungen werden nur verwendet, wenn sich AD FS auf einem eigenständigen Mitgliedsserver befindet. Wenn AD FS auf einem Domänencontroller ausgeführt wird, verwenden Sie anstelle der lokalen Sicherheitsrichtlinie die Standarddomänencontroller-Richtlinie unter Gruppenrichtlinienverwaltung/Gesamtstruktur/Domänen/Domänencontroller. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechteverwaltung.

Meldungen der Windows Communication Foundation und der Windows Identity Foundation

Zusätzlich zur Ablaufverfolgungsprotokollierung kann es vorkommen, dass Sie Meldungen der Windows Communication Foundation (WCF) und der Windows Identity Foundation (WIF) anzeigen müssen, um ein Problem zu beheben. Hierzu können Sie die Datei Microsoft.IdentityServer.ServiceHost.Exe.Config auf dem AD FS-Server ändern.

Diese Datei befindet sich unter <%system root%>\Windows\ADFS und liegt im XML-Format vor. Die relevanten Teile der Datei sind nachstehend aufgeführt:

<!-- To enable WIF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>

<!-- To enable WCF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="System.ServiceModel" switchValue="Off" > … </source>

Nachdem Sie diese Änderungen angewendet haben, speichern Sie die Konfiguration, und starten Sie den AD FS-Dienst neu. Sobald Sie diese Ablaufverfolgungen durch Festlegen der entsprechenden Optionen aktiviert haben, werden sie im AD FS-Ablaufverfolgungsprotokoll der Windows-Ereignisanzeige aufgeführt.

Korrelieren von Ereignissen

Besonders schwierig bei der Problembehandlung sind Zugriffsprobleme, die zahlreiche Fehler oder Debugereignisse generieren.

Um Sie dabei zu unterstützen, korreliert AD FS alle Ereignisse, die sowohl in den Administrator- als auch in den Debugprotokollen der Ereignisanzeige aufgezeichnet werden und einer bestimmten Anforderung entsprechen, über eine eindeutige GUID (Globally Unique Identifier), die als Aktivitäts-ID bezeichnet wird. Diese ID wird generiert, wenn die Tokenausstellungsanforderung zunächst der Webanwendung vorgelegt wird (bei Anwendungen, die das passive Anforderungsprofil verwenden) oder wenn Anforderungen direkt an den Anspruchsanbieter gesendet werden (bei Anwendungen, die WS-Trust verwenden).

Screenshot: Registerkarte „Details“ des Dialogfelds „Eigenschaften“ für das Ereignis mit hervorgehobenem Wert der Aktivitäts-I D

Diese Aktivitäts-ID bleibt für die gesamte Dauer der Anforderung dieselbe und wird als Teil der einzelnen Ereignisses protokolliert, die in der Ereignisanzeige für diese Anforderung aufgezeichnet werden. Das bedeutet Folgendes:

  • Indem Sie die Ereignisanzeige anhand dieser Aktivitäts-ID filtern oder durchsuchen, können Sie alle zugehörigen Ereignisse nachverfolgen, die der Tokenanforderung entsprechen.
  • Dieselbe Aktivitäts-ID wird computerübergreifend protokolliert, sodass Sie eine Benutzeranforderung auf mehreren Computern wie z. B. dem Verbundserverproxy (Federation Server Proxy, FSP) behandeln können.
  • Die Aktivitäts-ID wird auch im Browser des Benutzers angezeigt, wenn die AD FS-Anforderung in irgendeiner Weise fehlschlägt, sodass der Benutzer diese ID an den Helpdesk oder den IT-Support übermitteln kann.

Screenshot: Registerkarte „Details“ des Dialogfelds „Eigenschaften“ für das Ereignis mit hervorgehobenem Wert der Clientanforderungs-I D

Um die Problembehandlung zu unterstützen, protokolliert AD FS auch das Aufrufer-ID-Ereignis, wenn der Tokenausstellungsprozess auf einem AD FS-Server fehlschlägt. Dieses Ereignis enthält den Anspruchstyp und den Wert eines der folgenden Anspruchstypen, vorausgesetzt, dass diese Informationen im Rahmen einer Tokenanforderung an den Verbunddienst übergeben wurden:

  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
  • http://schemas.xmlsoap.org/claims/UPN
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/claims/EmailAddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/name
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier

Das Aufrufer-ID-Ereignis protokolliert auch die Aktivitäts-ID, damit Sie die Ereignisprotokolle anhand dieser Aktivitäts-ID nach einer bestimmten Anforderung filtern oder durchsuchen können.

Nächste Schritte