Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los Servicios de federación de Active Directory (AD FS) proporcionan dos registros principales que puede usar para solucionar problemas. Son las siguientes:
- Registro de administrador.
- El registro de rastreo.
Visualización del registro de administración
El registro de administración proporciona información general sobre los problemas que se producen y está habilitado de forma predeterminada. Para ver el registro de administrador:
Abra el Visor de eventos.
Expanda Registro de aplicaciones y servicios.
Expanda AD FS.
Seleccione Administrador.
Uso de Tracelog
Tracelog es donde se registran los mensajes detallados y es el registro más útil al solucionar problemas. Dado que se puede generar mucha información de Tracelog en una breve cantidad de tiempo, lo que puede afectar al rendimiento del sistema, los registros se deshabilitan de forma predeterminada.
Para habilitar y ver tracelog
Abra el Visor de eventos y expanda Registro de aplicaciones y servicios.
Haga clic con el botón derecho en Registro de aplicaciones y servicios y seleccione Ver. A continuación, seleccione Mostrar registros analíticos y de depuración. En este panel se muestran más nodos.
Expanda Seguimiento de AD FS.
Haga clic con el botón derecho en Depurar y seleccione Habilitar registro.
Información de auditoría de eventos para AD FS en Windows Server 2016
De forma predeterminada, AD FS en Windows Server 2016 tiene habilitado un nivel básico de auditoría. Con la auditoría básica, los administradores ven cinco o menos eventos para una sola solicitud. Esta información marca una disminución significativa del número de eventos que los administradores tienen que examinar para ver una sola solicitud. Puede aumentar o reducir el nivel de auditoría mediante el cmdlet de PowerShell:
Set-AdfsProperties -AuditLevel
En la tabla siguiente se explican los niveles de auditoría disponibles.
| Nivel de auditoría | Sintaxis de PowerShell | Descripción |
|---|---|---|
| Ninguno | Set-AdfsProperties -AuditLevel Ninguno | La auditoría está deshabilitada y no se registra ningún evento. |
| Básico (predeterminado) | Set-AdfsProperties -AuditLevel Básico | No se registran más de cinco eventos para una sola solicitud. |
| Verboso | Set-AdfsProperties -AuditLevel - Verbose | Todos los eventos se registran. En este nivel se registra una cantidad significativa de información por solicitud. |
Para ver el nivel de auditoría actual, puede usar el cmdlet de PowerShell: Get-AdfsProperties.
Puede aumentar o reducir el nivel de auditoría mediante el cmdlet de PowerShell: Set-AdfsProperties -AuditLevel.
Tipos de eventos
Los eventos de AD FS pueden ser de diferentes tipos, en función de los distintos tipos de solicitudes procesadas por AD FS. Cada tipo de evento tiene datos específicos asociados. El tipo de eventos se puede diferenciar entre las solicitudes de inicio de sesión y las solicitudes del sistema. Las solicitudes de inicio de sesión pueden ser solicitudes de token y las solicitudes del sistema pueden ser llamadas de servidor-servidor, incluida la captura de información de configuración.
En la tabla siguiente se describen los tipos básicos de eventos.
| Tipo de evento | Id. del evento | Descripción |
|---|---|---|
| Validación exitosa de credenciales nuevas | 1202 | Una solicitud en la que el servicio de federación valida correctamente las credenciales nuevas. Este evento incluye WS-Trust, WS-Federation, SAML-P (primera etapa para generar SSO) y puntos de conexión de autorización de OAuth. |
| Error de validación de credenciales nuevas | 1203 | Solicitud en la que se produjo un error en la validación de credenciales nuevas en el servicio de federación. Este evento incluye WS-Trust, WS-Fed, SAML-P (primera etapa para generar SSO) y puntos de conexión de autorización de OAuth. |
| Éxito del token de aplicación | 1.200 | Solicitud en la que el servicio de federación emite correctamente un token de seguridad. Para WS-Federation y SAML-P, este evento se registra cuando la solicitud se procesa con el artefacto de SSO (como la cookie de SSO). |
| Error del token de aplicación | 1201 | Solicitud en la que se produjo un error en la emisión de tokens de seguridad en el servicio de federación. Para WS-Federation y SAML-P, este evento se registra cuando la solicitud se procesó con el artefacto de SSO (como la cookie de SSO). |
| Solicitud de cambio de contraseña exitosa | 1204 | Transacción en la que el servicio de federación procesa correctamente la solicitud de cambio de contraseña. |
| Error de solicitud de cambio de contraseña | 1205 | Transacción en la que el servicio de federación no puede procesar la solicitud de cambio de contraseña. |
| Cierre de sesión, correcto | 1206 | Describe una solicitud exitosa de cierre de sesión. |
| Error de cierre de sesión | 1207 | Describe una solicitud de cierre de sesión con errores. |
Auditoría de seguridad
La auditoría de seguridad de la cuenta de servicio de AD FS a veces puede ayudar a realizar un seguimiento de los problemas con las actualizaciones de contraseñas, el registro de solicitudes o respuestas, los encabezados de contenido de la solicitud y los resultados del registro de dispositivos. La auditoría de la cuenta de servicio de AD FS está deshabilitada de forma predeterminada.
Habilitación de la auditoría de seguridad
Seleccione Iniciar. A continuación, vaya a Programas>Herramientas administrativas y, a continuación, elija Directiva de seguridad local.
Vaya a la carpeta Configuración de seguridad\Directivas locales\User Rights Management y, a continuación, haga doble clic en Generar auditorías de seguridad.
En la pestaña Configuración de seguridad local , compruebe que aparece la cuenta de servicio de AD FS. Si no está presente, seleccione Agregar usuario o grupo y agréguelo a la lista. A continuación, seleccione Aceptar.
Abra una ventana de comandos con privilegios administrativos y ejecute el siguiente comando para habilitar la auditoría:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enableCierre Directiva de seguridad local y abra el complemento de administración de AD FS.
Para abrir el complemento Administración de AD FS, seleccione Inicio. Vaya a Programas>Herramientas administrativas y, a continuación, seleccione Administración de AD FS.
En el panel Acciones , seleccione Editar propiedades del servicio de federación.
En el cuadro de diálogo Propiedades del servicio de federación , seleccione la pestaña Eventos .
Active las casillas Auditorías de aciertos y Auditorías de errores.
Seleccione Aceptar.
Nota:
Las instrucciones anteriores solo se usan cuando AD FS está en un servidor miembro independiente. Si AD FS se ejecuta en un controlador de dominio, en lugar de la directiva de seguridad local, use la directiva de controlador de dominio predeterminada ubicada en Administración de directivas de grupo, bosque, dominios o controladores de dominio. Seleccione Editar y vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\User Rights Management.
Mensajes de Windows Communication Foundation y Windows Identity Foundation
Además del registro de seguimiento, a veces es posible que necesite ver los mensajes de Windows Communication Foundation (WCF) y Windows Identity Foundation (WIF) para solucionar un problema. Puede ver estos mensajes modificando el archivo Microsoft.IdentityServer.ServiceHost.Exe.Config en el servidor de AD FS.
Este archivo se encuentra en <%system raíz%>\Windows\ADFS y tiene formato XML. Las partes pertinentes del archivo se muestran en el ejemplo siguiente:
<!-- To enable WIF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>
<!-- To enable WCF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="System.ServiceModel" switchValue="Off" > … </source>
Después de aplicar estos cambios, guarde la configuración y reinicie el servicio AD FS. Después de activar estos seguimientos configurando los interruptores apropiados, aparecerán en el Registro de trazas de AD FS en el Visor de eventos de Windows.
Correlación de eventos
Una de las cosas más difíciles de solucionar es los problemas de acceso que generan numerosos errores o eventos de depuración.
Para ayudar con esto, AD FS correlaciona todos los eventos que se registran en el Visor de Eventos, tanto en los registros administrativos como en los de depuración. Cada uno de estos registros corresponde a una solicitud determinada mediante un identificador único global (GUID) denominado id. de actividad. AD FS genera este identificador cuando presenta la solicitud de emisión de tokens a la aplicación web para las aplicaciones mediante el perfil de solicitante pasivo. AD FS también genera un identificador cuando envía solicitudes directamente al proveedor de notificaciones para las aplicaciones que usan WS-Trust.
Este identificador de actividad sigue siendo el mismo durante toda la duración de la solicitud y se registra como parte de cada evento registrado en el Visor de eventos para esa solicitud. Esto significa lo siguiente:
- Filtrar o buscar en el Visor de eventos mediante este identificador de actividad puede ayudar a realizar un seguimiento de todos los eventos relacionados que corresponden a la solicitud de token.
- El mismo identificador de actividad se registra en diferentes máquinas, lo que le permite solucionar problemas de una solicitud de usuario en varias máquinas, como el proxy del servidor de federación (FSP).
- El identificador de actividad también aparece en el explorador del usuario si se produce un error en la solicitud de AD FS, lo que permite al usuario comunicar este identificador al departamento de soporte técnico o al soporte técnico de TI.
Para ayudar en el proceso de solución de problemas, AD FS también registra el evento de identificador de llamada cada vez que se produce un error en el proceso de emisión de tokens en un servidor de AD FS. Este evento contiene el tipo y el valor de uno de los siguientes tipos de reclamaciones, asumiendo que esta información se transmitió al Servicio de Federación como parte de una solicitud de token:
https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhhttps://schemas.microsoft.com/ws/2008/06/identity/claims/upnhttp://schemas.xmlsoap.org/claims/UPNhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddresshhttps://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddresshttp://schemas.xmlsoap.org/claims/EmailAddresshttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/namehttps://schemas.microsoft.com/ws/2008/06/identity/claims/namehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
El evento de identificador de llamada también registra el identificador de actividad para permitirle usar ese identificador de actividad para filtrar o buscar los registros de eventos de una solicitud determinada.