Freigeben über


Probleme mit Active Directory-Verbunddiensten mithilfe von Ereignisprotokollierung beheben

Active Directory-Verbunddienste (AD FS) stellt zwei primäre Protokolle bereit, die Sie zur Problembehandlung verwenden können. Sie lauten wie folgt:

  • Das Administratorprotokoll.
  • Ablaufverfolgungsprotokoll

Anzeigen des Administratorprotokolls

Das Administratorprotokoll enthält allgemeine Informationen zu Problemen, die auftreten und standardmäßig aktiviert sind. So können Sie das Administratorprotokoll anzeigen:

  1. Öffnen Sie Ereignisanzeige.

  2. Erweitern Sie das Anwendungs- und Dienstprotokoll.

  3. Erweitern Sie AD FS.

  4. Wählen Sie "Administrator" aus.

    Screenshot: Ereignisanzeige mit hervorgehobener Administratoroption

Tracelog verwenden

Im Ablaufverfolgungsprotokoll werden detaillierte Nachrichten protokolliert, und es ist das nützlichste Protokoll bei der Problembehandlung. Da viele Tracelog-Informationen in kurzer Zeit generiert werden können, was sich auf die Systemleistung auswirken kann, werden die Protokolle standardmäßig deaktiviert.

Um das Tracelog zu aktivieren und anzuzeigen

  1. Öffnen Sie die Ereignisanzeige , und erweitern Sie das Anwendungs- und Dienstprotokoll.

  2. Klicken Sie mit der rechten Maustaste auf das Anwendungs- und Dienstprotokoll, und wählen Sie "Ansicht" aus. Wählen Sie dann "Analyse- und Debugprotokolle anzeigen" aus. In diesem Bereich werden weitere Knoten angezeigt.

    Screenshot: Ereignisanzeige, die zeigt, dass mit der rechten Maustaste auf „Anwendungs- und Dienstprotokoll“ geklickt und „Ansicht“ ausgewählt wurde, wobei die Option „Analyse- und Debugprotokolle einblenden“ hervorgehoben ist.

  3. Erweitern Sie AD FS Tracing.

  4. Klicken Sie mit der rechten Maustaste auf "Debuggen", und wählen Sie "Protokoll aktivieren" aus.

    Screenshot der Ereignisanzeige, die zeigt, dass der Benutzer mit der rechten Maustaste auf

Ereignisüberwachungsinformationen für AD FS unter Windows Server 2016

Standardmäßig verfügt AD FS in Windows Server 2016 über eine grundlegende Überwachungsebene. Bei der grundlegenden Überwachung sehen Administratoren fünf oder weniger Ereignisse für eine einzelne Anforderung. Diese Informationen markieren eine signifikante Abnahme der Anzahl der Ereignisse, die Administratoren nachvollziehen müssen, um eine einzelne Anforderung zu erkennen. Sie können die Überwachungsebene mithilfe des PowerShell-Cmdlets erhöhen oder verringern:

Set-AdfsProperties -AuditLevel

In der folgenden Tabelle werden die verfügbaren Überwachungsstufen erläutert.

Überwachungsstufe PowerShell-Syntax BESCHREIBUNG
Nichts Set-AdfsProperties -AuditLevel Keine Die Überwachung ist deaktiviert, und es werden keine Ereignisse protokolliert.
Einfach (Standard) Set-AdfsProperties -AuditLevel Grundlegend Für eine einzelne Anforderung werden nicht mehr als fünf Ereignisse protokolliert.
Ausführlich Set-AdfsProperties -AuditLevel Ausführlich Alle Ereignisse werden protokolliert. Diese Ebene protokolliert eine erhebliche Menge an Informationen pro Anforderung.

Um die aktuelle Überwachungsstufe anzuzeigen, können Sie das PowerShell-Cmdlet verwenden: Get-AdfsProperties.

Screenshot: PowerShell-Fenster mit den Ergebnissen des Cmdlets „Get-AdfsProperties“ und hervorgehobener Eigenschaft „AuditLevel“

Sie können die Überwachungsstufe mithilfe des PowerShell-Cmdlets erhöhen oder senken: Set-AdfsProperties -AuditLevel

Screenshot: PowerShell-Fenster mit dem Cmdlet „Set-AdfsProperties -AuditLevel Verbose“, das in der Eingabeaufforderung eingegeben wurde

Typen von Ereignissen

AD FS-Ereignisse können unterschiedlich sein, basierend auf den verschiedenen Arten von Anforderungen, die von AD FS verarbeitet werden. Jedem Ereignistyp sind bestimmte Daten zugeordnet. Der Ereignistyp kann zwischen Anmeldeanforderungen und Systemanforderungen unterschieden werden. Ihre Anmeldeanforderungen können Tokenanforderungen sein, und Ihre Systemanforderungen können Serverserveraufrufe sein, einschließlich des Abrufens von Konfigurationsinformationen.

In der folgenden Tabelle werden die grundlegenden Ereignistypen beschrieben.

Ereignistyp Ereignis-ID BESCHREIBUNG
Erfolgreiche Überprüfung neuer Anmeldeinformationen 1202 Eine Anforderung, bei der der Verbunddienst neue Anmeldeinformationen erfolgreich überprüft. Dieses Ereignis umfasst WS-Trust, WS-Federation, SAML-P (erster Schritt zur Generierung von SSO) und OAuth-Autorisierungsendpunkte.
Fehler bei Überprüfung neuer Anmeldeinformationen 1203 Eine Anforderung, bei der während der Überprüfung neuer Anmeldeinformationen beim Verbunddienst ein Fehler aufgetreten ist. Dieses Ereignis umfasst WS-Trust, WS-Fed, SAML-P (erste Etappe zum Generieren von SSO) und OAuth Authorize Endpoints.
Anwendungstoken erfolgreich 1 200 Eine Anforderung, bei der der Verbunddienst ein Sicherheitstoken erfolgreich ausgibt. Für WS-Federation und SAML-P wird dieses Ereignis protokolliert, wenn die Anforderung mit dem SSO-Artefakt verarbeitet wird (z. B. das SSO-Cookie).
Anwendungs-Token-Fehler 1201 Eine Anforderung, bei der kein Sicherheitstoken für den Verbunddienst ausgestellt werden konnte. Für WS-Federation und SAML-P wird dieses Ereignis protokolliert, wenn die Anforderung mit dem SSO-Artefakt (z. B. dem SSO-Cookie) verarbeitet wurde.
Erfolg der Kennwortänderungsanforderung 1204 Eine Transaktion, bei der der Verbunddienst die Kennwortänderungsanforderung erfolgreich verarbeitet.
Fehler bei kennwortänderungsanforderung 1205 Eine Transaktion, bei der der Verbunddienst die Kennwortänderungsanforderung nicht verarbeitet.
Erfolgreiches Abmelden 1206 Beschreibt eine erfolgreiche Abmeldeanforderung.
Abmeldefehler 1207 Beschreibt eine fehlgeschlagene Abmeldeanforderung.

Sicherheitsüberwachung

Die Sicherheitsüberwachung des AD FS-Dienstkontos kann manchmal helfen, Probleme mit Kennwortaktualisierungen, Anforderungs-/Antwortprotokollierung, Anforderungsinhaltsheadern und Geräteregistrierungsergebnissen nachzuverfolgen. Die Überwachung des AD FS-Dienstkontos ist standardmäßig deaktiviert.

Aktivieren der Sicherheitsüberwachung

  1. Wählen Sie Starten aus. Wechseln Sie dann zu "Verwaltungstools für Programme>", und wählen Sie dann "Lokale Sicherheitsrichtlinie" aus.

  2. Wechseln Sie zum Ordner "Sicherheitseinstellungen\Lokale Richtlinien\Verwaltung von Benutzerrechten" , und doppelklicken Sie dann auf "Sicherheitsüberwachung generieren".

  3. Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn sie nicht vorhanden ist, wählen Sie "Benutzer oder Gruppe hinzufügen" aus, und fügen Sie sie der Liste hinzu. Wählen Sie dann OK aus.

  4. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus, um die Überwachung zu aktivieren: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Schließen Sie die lokale Sicherheitsrichtlinie, und öffnen Sie dann das AD FS-Verwaltungs-Snap-In.

  6. Um das AD FS-Verwaltungs-Snap-In zu öffnen, wählen Sie "Start" aus. Wechseln Sie zu den Verwaltungstools für Programme>, und wählen Sie dann AD FS-Verwaltung aus.

  7. Wählen Sie im Bereich Aktionen die Option Verbunddiensteigenschaften bearbeiten aus.

  8. Wählen Sie im Dialogfeld Verbunddiensteigenschaften die Registerkarte Ereignisse aus.

  9. Aktivieren Sie die Kontrollkästchen Erfolgreiche Überprüfungen und Fehlerüberprüfungen.

  10. Wählen Sie OK aus.

    Screenshot der Registerkarte

Hinweis

Die vorherigen Anweisungen werden nur verwendet, wenn AD FS sich auf einem eigenständigen Memberserver befindet. Wenn AD FS auf einem Domänencontroller ausgeführt wird, verwenden Sie anstelle der lokalen Sicherheitsrichtlinie die Standard-Domänencontrollerrichtlinie , die sich in der Gruppenrichtlinienverwaltung/Gesamtstruktur/Domänen/Domänencontroller befindet. Wählen Sie "Bearbeiten" aus, und wechseln Sie zu "Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Verwaltung von Benutzerrechten".

Windows Communication Foundation- und Windows Identity Foundation-Nachrichten

Zusätzlich zur Ablaufverfolgungsprotokollierung kann es vorkommen, dass Sie Meldungen von Windows Communication Foundation (WCF) und Windows Identity Foundation (WIF) anzeigen müssen, um ein Problem zu beheben. Sie können diese Nachrichten anzeigen, indem Sie die Datei "Microsoft.IdentityServer.ServiceHost.Exe.Config" auf dem AD FS-Server ändern.

Diese Datei befindet sich in <%system Stamm-%>\Windows\ADFS und befindet sich im XML-Format. Die relevanten Teile der Datei werden im folgenden Beispiel gezeigt:

<!-- To enable WIF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>

<!-- To enable WCF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="System.ServiceModel" switchValue="Off" > … </source>

Nachdem Sie diese Änderungen angewendet haben, speichern Sie die Konfiguration, und starten Sie den AD FS-Dienst neu. Nachdem Sie diese Ablaufverfolgungen aktiviert haben, indem Sie die entsprechenden Schalter festlegen, werden sie im AD FS-Ablaufverfolgungsprotokoll in der Windows-Ereignisanzeige angezeigt.

Korrelation von Ereignissen

Besonders schwierig bei der Problembehandlung sind Zugriffsprobleme, die zahlreiche Fehler oder Debugereignisse generieren.

Um dies zu erleichtern, korreliert AD FS alle Ereignisse, die in der Ereignisanzeige aufgezeichnet werden, sowohl im Administrator als auch in den Debugprotokollen. Jedes dieser Protokolle entspricht einer bestimmten Anforderung mithilfe einer eindeutigen GUID (Globally Unique Identifier), die als Aktivitäts-ID bezeichnet wird. AD FS generiert diese ID, wenn es die Tokenausstellungsanforderung für Webanwendungen mit dem passiven Anforderungsprofil darstellt. AD FS generiert auch eine ID, wenn sie Anforderungen direkt an den Anspruchsanbieter für Anwendungen sendet, die WS-Trust verwenden.

Screenshot: Registerkarte „Details“ des Dialogfelds „Eigenschaften“ für das Ereignis mit hervorgehobenem ActivityID-Wert

Diese Aktivitäts-ID bleibt für die gesamte Dauer der Anforderung gleich, und sie wird als Teil jedes Ereignisses protokolliert, das in der Ereignisanzeige für diese Anforderung aufgezeichnet wird. Dies bedeutet:

  • Das Filtern oder Durchsuchen der Ereignisanzeige mithilfe dieser Aktivitäts-ID kann dazu beitragen, alle zugehörigen Ereignisse nachzuverfolgen, die der Tokenanforderung entsprechen.
  • Die gleiche Aktivitäts-ID wird auf verschiedenen Computern protokolliert, sodass Sie eine Benutzeranforderung auf mehreren Computern wie dem Verbundserverproxy (FSP) behandeln können.
  • Die Aktivitäts-ID wird auch im Browser des Benutzers angezeigt, wenn die AD FS-Anforderung auf irgendeine Weise fehlschlägt, sodass der Benutzer diese ID an Helpdesk oder IT-Support übermitteln kann.

Screenshot: Registerkarte „Details“ des Dialogfelds „Eigenschaften“ für das Ereignis mit hervorgehobenem Wert der Clientanforderungs-ID

Um den Problembehandlungsprozess zu unterstützen, protokolliert AD FS auch das Aufrufer-ID-Ereignis, wenn der Tokenausstellungsprozess auf einem AD FS-Server fehlschlägt. Dieses Ereignis enthält den Anspruchstyp und den Wert eines der folgenden Anspruchstypen, vorausgesetzt, dass diese Informationen als Teil einer Tokenanforderung an den Verbunddienst übergeben wurden:

  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
  • http://schemas.xmlsoap.org/claims/UPN
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/claims/EmailAddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/name
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier

Das Aufrufer-ID-Ereignis protokolliert auch die Aktivitäts-ID, damit Sie diese Aktivitäts-ID verwenden können, um die Ereignisprotokolle nach einer bestimmten Anforderung zu filtern oder zu durchsuchen.

Nächste Schritte