Problembehandlung für AD FS
Der Active Directory-Verbunddienst (AD FS) hat viele flexible Komponenten, berührt viele verschiedene Dinge und hat viele verschiedene Abhängigkeiten. Naturgemäß kann diese Komplexität zu diversen Problemen führen. Dieses Dokument soll Ihnen den Einstieg in die Behebung dieser Probleme erleichtern. Es stellt Ihnen die allgemeinen Bereiche vor, auf die Sie sich konzentrieren sollten, und zeigt Ihnen, wie Sie Funktionen für zusätzliche Informationen aktivieren und verschiedene Tools zum Aufspüren von Problemen nutzen können.
Hinweis
Weitere Informationen finden Sie in der AD FS-Hilfe, die effektive Tools an einem Ort bereitstellt, mit denen Benutzer und Administratoren Authentifizierungsprobleme schneller beheben können.
Was sie zuerst überprüfen sollten
Bevor Sie sich ausführlich mit der Problembehandlung befassen, sollten Sie zunächst einige Dinge überprüfen. Sie lauten wie folgt:
- DNS-Konfiguration: Können Sie den Namen des Verbunddiensts auflösen? Diese Verbindung sollte entweder in die IP-Adresse des Lastenausgleichs oder in die IP-Adresse eines der AD FS-Server in Ihrer Farm aufgelöst werden. Weitere Informationen finden Sie unter Problembehandlung für AD FS – DNS.
- AD FS-Endpunkte: Können Sie zu den AD FS-Endpunkten navigieren? Wenn Sie zu diesem Endpunkt navigieren, können Sie ermitteln, ob Ihr AD FS-Webserver auf Anforderungen reagiert. Wenn Sie zu dieser Datei gelangen können, verarbeitet AD FS Anforderungen über 443 problemlos. Weitere Informationen finden Sie unter Problembehandlung für AD FS – AD FS-Metadaten-Endpunkte.
- idP-initiierte Anmeldung: Können Sie sich über die idP-initiierte Anmeldeseite anmelden und authentifizieren? Sie müssen sicherstellen, dass diese Seite aktiviert wurde, da sie standardmäßig deaktiviert ist. Verwenden Sie
Set-AdfsProperties -EnableIdPInitiatedSignOn $true, um die Seite zu aktivieren. Wenn Sie sich anmelden und authentifizieren können, funktioniert AD FS in diesem Bereich. Weitere Informationen finden Sie unter Problembehandlung für AD FS – idP-initiierte Anmeldung.
Allgemeine Problembehandlungsbereiche
| Name | BESCHREIBUNG |
|---|---|
| Ereignisse und Protokollierung | Verwenden Sie die Windows-Ereignisprotokolle, um allgemeine und genauere Informationen über die Admin- und Ablaufverfolgungsprotokolle anzuzeigen. Sie können damit auch die Sicherheitsüberwachung anzeigen. |
| SQL-Konnektivität | Informationen zum Testen der Konnektivität zwischen Ihren AD FS-Servern und den SQL-Datenbanken im Back-End |
| Anspruchsausstellung | Informationen zum Ermitteln, ob AD FS Ansprüche ordnungsgemäß ausstellt |
| Schleifenerkennung | Informationen zur Ermittlung und Verhinderung, dass Benutzer zwischen dem Identitätsanbieter (idP) und einer Relying Party (RP) hin- und hergeschoben werden |
| Zertifikate | Typische Zertifikatprobleme, die auftreten können |
| Fiddler | Informationen zum Installieren und Verwenden von Fiddler |
| WS-Verbund mit Fiddler | Detaillierte Fiddler-Ablaufverfolgung einer Webdiensteverbundsinteraktion |
| Syntax für Anspruchsregeln | Informationen zur Problembehandlung von Anspruchsregeln und deren Syntax |
| Integrierte Windows-Authentifizierung | Informationen zur Problembehandlung bei der integrierten Authentifizierung |
| Microsoft Entra ID | Informationen zur Problembehandlung der AD FS-Interaktion mit Microsoft Entra ID |
| AD FS Diagnostics Analyzer | Der AD FS-Hilfe: Diagnostics Analyzer führt mithilfe des PowerShell-Diagnosemoduls grundlegende AD FS-Prüfungen durch. |