Eventos
29 abr, 14 - 30 abr, 19
Únase al último evento virtual de Windows Server 29-30 para sesiones técnicas de análisis profundo y preguntas y respuestas en directo con ingenieros de Microsoft.
Regístrese ahoraMejoras de auditorías para AD FS en Windows Server 2016
Actualmente, en AD FS para Windows Server 2012 R2, se generan muchos eventos de auditoría para una única solicitud y falta información pertinente sobre una actividad de inicio de sesión o de emisión de tokens (en algunas versiones de AD FS) o se reparte entre varios eventos de auditoría. De forma predeterminada, se desactivan los eventos de auditoría de AD FS debido a su naturaleza detallada.
Con el lanzamiento de AD FS en Windows Server 2016, la auditoría se ha vuelto más ágil y menos detallada.
De manera predeterminada, AD FS en Windows Server 2016 tiene habilitada la auditoría básica. Con la auditoría básica, los administradores pueden ver cinco eventos o menos para una única solicitud. Esto supone una disminución significativa del número de eventos que los administradores tienen que mirar para ver una sola solicitud. El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel. En la tabla siguiente se explican los niveles de auditoría disponibles.
| Nivel de auditoría | Sintaxis de PowerShell | Descripción |
|---|---|---|
| None | Set-AdfsProperties - AuditLevel None | La auditoría está deshabilitada y no se registrará ningún evento. |
| Básico (predeterminado) | Set-AdfsProperties - AuditLevel Basic | No se registrarán más de cinco eventos para una única solicitud. |
| Verbose | Set-AdfsProperties - AuditLevel Verbose | Se registrarán todos los eventos. Este registrará una cantidad significativa de información por solicitud. |
Para ver el nivel de auditoría actual, puede usar el cmdlet de PowerShell: Get-AdfsProperties.
El nivel de auditoría se puede elevar o reducir mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel.
Los eventos de auditoría de AD FS pueden ser de diferentes tipos, en función de los distintos tipos de solicitudes procesadas por AD FS. Cada tipo de evento de auditoría tiene datos específicos asociados. Se pueden distinguir dos tipos de eventos de auditoría: solicitudes de inicio de sesión (como las solicitudes de token) y solicitudes del sistema (llamadas servidor-servidor, incluida la obtención de información de configuración).
En la tabla siguiente se describen los tipos básicos de eventos de auditoría.
| Tipo de evento de auditoría | Id. de evento | Descripción |
|---|---|---|
| Validación de credenciales nuevas, correcto | 1202 | Solicitud en la que el servicio de federación valida correctamente las credenciales nuevas. Esto incluye WS-Trust, WS-Federation, SAML-P (primera etapa para generar el inicio de sesión único) y OAuth Authorize Endpoints. |
| Validación de credenciales nuevas, error | 1203 | Solicitud en la que se produjo un error en la validación de credenciales nuevas en el servicio de federación. Esto incluye WS-Trust, WS-Fed, SAML-P (primera etapa para generar el inicio de sesión único) y OAuth Authorize Endpoints. |
| Token de aplicación, correcto | 1200 | Solicitud en la que el servicio de federación emite correctamente un token de seguridad. Para WS-Federation, SAML-P se registra cuando la solicitud se procesa con el artefacto de inicio de sesión único. (por ejemplo, la cookie de inicio de sesión único). |
| Token de aplicación, error | 1201 | Solicitud en la que se produjo un error en la emisión de tokens de seguridad en el servicio de federación. Para WS-Federation, SAML-P se registra cuando la solicitud se procesó con el artefacto de inicio de sesión único. (por ejemplo, la cookie de inicio de sesión único). |
| Solicitud de cambio de contraseña, correcto | 1204 | Transacción en la que el servicio de federación procesó correctamente la solicitud de cambio de contraseña. |
| Solicitud de cambio de contraseña, error | 1205 | Transacción en la que el servicio de federación no pudo procesar la solicitud de cambio de contraseña. |
| Cierre de sesión, correcto | 1206 | Describe una solicitud de cierre de sesión correcta. |
| Cierre de sesión, error | 1207 | Describe una solicitud de cierre de sesión con errores. |
Recursos adicionales
Cursos
Módulo
Implementación de auditorías y diagnósticos de Windows Server - Training
Aprenda cómo auditar y diagnosticar en el entorno de Windows Server en relación con el cumplimiento normativo, la actividad de los usuarios y la solución de problemas. Implemente procedimientos recomendados de seguridad mediante auditorías periódicas del entorno de red para recibir advertencias tempranas sobre posibles actividades malintencionadas.
Certificación
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.
Documentación
-
Aprenda a usar el administrador y Tracelog para solucionar varios problemas de los Servicios de federación de Active Directory (AD FS).
-
Solución de problemas de error de AD FS 2.0 (acceso denegado) - Windows Server
Este artículo contiene instrucciones paso a paso para solucionar problemas de reglas de notificaciones.
-
Procedimientos recomendados para proteger AD FS y Proxy de aplicación web
Procedimientos recomendados para planear e implementar de forma segura los Servicios de federación de Active Directory (AD FS) y Proxy de aplicación web.