Résolution des problèmes AD FS - Événements et journalisation

AD FS fournit deux journaux principaux qui peuvent être utilisés dans la résolution des problèmes. Il s'agit des éléments suivants :

  • journal Administration
  • Journal de suivi

Chacun de ces journaux d’activité sera expliqué ci-dessous.

journal Administration

Le journal Administration fournit des informations générales sur les problèmes qui se produisent et qui sont activés par défaut.

Pour afficher le journal d’administration

  1. Ouvrez l'Observateur d'événements.
  2. Développez Journal des applications et des services.
  3. Développez AD FS.
  4. Cliquez sur le titre Admin.

Capture d’écran du observateur d'événements avec l’option Administration mise en évidence.

Journal de suivi

Le journal de trace est l’endroit où les messages détaillés sont consignés et sera le journal le plus utile lors de la résolution des problèmes. Étant donné que de nombreuses informations de journal de suivi peuvent être générées en peu de temps, ce qui peut avoir un impact sur les performances du système, les journaux de suivi sont désactivés par défaut.

Pour activer et afficher le journal de suivi

  1. Ouvrez observateur d'événements et développez Journal des applications et des services.
  2. Cliquez avec le bouton droit sur Journal des applications et des services, cliquez sur Afficher et sélectionnez Afficher les journaux analytiques et de débogage (cela affiche des nœuds supplémentaires sur la gauche).

Capture d’écran du observateur d'événements montrant que l’utilisateur a cliqué avec le bouton droit sur Journal des applications et des services et sélectionné Afficher avec l’option Afficher les journaux analytiques et déboguer.

  1. Développez Suivi AD FS.
  2. Cliquez avec le bouton droit sur Déboguer et sélectionnez Activer le journal.

Capture d’écran du observateur d'événements montrant que l’utilisateur a cliqué avec le bouton droit sur Déboguer avec l’option Activer le journal activée.

Informations d’audit d’événements pour AD FS sur Windows Server 2016

Par défaut, AD FS dans Windows Server 2016 a un niveau d’audit de base activé. Avec l’audit de base, les administrateurs verront 5 événements ou moins pour une seule requête. Cela marque une diminution significative du nombre d’événements que les administrateurs doivent examiner pour voir une seule requête. Le niveau d’audit peut être augmenté ou abaissé à l’aide de l’applet de commande PowerShell :

Set-AdfsProperties -AuditLevel

Le tableau ci-dessous décrit les niveaux d’audit disponibles.

Niveau d'audit Syntaxe PowerShell Description
None Set-AdfsProperties -AuditLevel None L’audit est désactivé et aucun événement n’est consigné.
De base (par défaut) Set-AdfsProperties -AuditLevel Basic Pas plus de 5 événements seront consignés pour une seule requête.
Commentaires Set-AdfsProperties -AuditLevel Verbose Tous les événements sont consignés. Cela permet de consigner une quantité importante d’informations par requête.

Pour afficher le niveau d’audit actuel, vous pouvez utiliser l’applet de commande PowerShell : Get-AdfsProperties.

Capture d’écran de la fenêtre PowerShell montrant les résultats de l’applet de commande Get-AdfsProperties avec la propriété Niveau d’audit appelée.

Le niveau d’audit peut être augmenté ou abaissé à l’aide de l’applet de commande PowerShell : Set-AdfsProperties -AuditLevel.

Capture d’écran de la fenêtre PowerShell montrant l’applet de commande Set-AdfsProperties -AuditLevel Verbose tapée dans l’invite de commandes.

Types d’événements

Les événements AD FS peuvent être de différents types, en fonction des différents types de demandes traitées par AD FS. Chaque type d’événement est associé à des données spécifiques. Le type d’événements peut être différencié entre les demandes de connexion (telles que les demandes de jeton) et les requêtes système (appels serveur-serveur, y compris l’extraction des informations de configuration).

Le tableau ci-dessous décrit les types d’événements de base.

Type d'événement ID de l’événement Description
Réussite de la validation des informations d’identification 1202 Requête dans laquelle les nouvelles informations d’identification sont validées avec succès par le service de fédération. Cela inclut WS-Trust, WS-Federation, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth.
Erreur de validation des informations d’identification nouvelles 1203 Demande dans laquelle la validation des informations d’identification a échoué sur le service de fédération. Cela inclut WS-Trust, WS-Fed, SAML-P (première étape pour générer l’authentification unique) et les points de terminaison d’autorisation OAuth.
Réussite du jeton d’application 1200 Requête dans laquelle un jeton de sécurité est émis avec succès par le service de fédération. Pour WS-Federation, SAML-P, cette opération est enregistrée lorsque la demande est traitée avec l’artefact SSO. (par exemple, le cookie d’authentification unique).
Échec du jeton d’application 1201 Requête dans laquelle l’émission de jeton de sécurité a échoué sur le service de fédération. Pour WS-Federation, SAML-P, celui-ci est enregistré lorsque la demande a été traitée avec l’artefact SSO. (par exemple, le cookie d’authentification unique).
Réussite de la demande de modification de mot de passe 1204 Transaction dans laquelle la demande de modification de mot de passe a été traitée avec succès par le service de fédération.
Erreur de demande de modification de mot de passe 1205 Transaction dans laquelle la demande de modification de mot de passe n’a pas pu être traitée par le service de fédération.
Réussite de la déconnexion 1206 Décrit une demande de déconnexion réussie.
Échec de déconnexion 1207 Décrit une demande de déconnexion ayant échoué.

Audit de sécurité

L’audit de sécurité du compte de service AD FS peut parfois aider à rechercher les problèmes liés aux mises à jour de mot de passe, à la journalisation des demandes/réponses, aux en-têtes de contenu des demandes et aux résultats d’inscription des appareils. L’audit du compte de service AD FS est désactivé par défaut.

Pour activer l’audit de sécurité

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis sélectionnez Stratégie de sécurité locale.
  2. Accédez au dossier Paramètres de sécurité\Stratégies locales\Gestion des droits utilisateur, puis double-cliquez sur Générer des audits de sécurité.
  3. Sous l’onglet Paramètre de sécurité locale , vérifiez que le compte de service AD FS est répertorié. S’il n’est pas présent, sélectionnez Ajouter un utilisateur ou un groupe et ajoutez-le à la liste, puis cliquez sur OK.
  4. Ouvrez une invite de commandes avec des privilèges élevés et exécutez la commande suivante pour activer l’audit auditpol.exe /set /subcategory:"Application Generated » /failure:enable /success:enable
  5. Fermez la zone Stratégie de sécurité locale, puis ouvrez le composant logiciel enfichable Gestion AD FS.

Pour ouvrir le composant logiciel enfichable Gestion AD FS, cliquez sur Démarrer, pointez sur Programmes, sur Outils d’administration, puis cliquez sur Gestion AD FS.

  1. Dans le volet Actions, cliquez sur Modifier les propriétés du service de fédération
  2. Dans la boîte de dialogue Propriétés du service de fédération, cliquez sur l’onglet Événements.
  3. Cochez les cases Audits des succès et Audits des échecs.
  4. Cliquez sur OK.

Capture d’écran de l’onglet Événements de la boîte de dialogue Propriétés du service de fédération montrant les options Audits réussis et Audits d’échec sont sélectionnées.

Notes

Les instructions ci-dessus sont utilisées uniquement quand AD FS se trouve sur un serveur membre autonome. Si AD FS s’exécute sur un contrôleur de domaine, au lieu de la stratégie de sécurité locale, utilisez la stratégie de contrôleur de domaine par défaut située dans stratégie de groupe Gestion/Forêt/Domaines/Contrôleurs de domaine. Cliquez sur Modifier et accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Gestion des droits de l’utilisateur.

Messages Windows Communication Foundation et Windows Identity Foundation

En plus de la journalisation des traces, vous devrez parfois afficher les messages Windows Communication Foundation (WCF) et Windows Identity Foundation (WIF) pour résoudre un problème. Pour ce faire, modifiez le fichier Microsoft.IdentityServer.ServiceHost.Exe.Config sur le serveur AD FS.

Ce fichier se trouve dans <%system root%>\Windows\ADFS et est au format XML. Les parties pertinentes du fichier sont indiquées ci-dessous :

<!-- To enable WIF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>

<!-- To enable WCF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="System.ServiceModel" switchValue="Off" > … </source>

Après avoir appliqué ces modifications, enregistrez la configuration et redémarrez le service AD FS. Une fois que vous avez activé ces traces en définissant les commutateurs appropriés, elles s’affichent dans le journal de suivi AD FS dans le observateur d'événements Windows.

Corrélation des événements

L’une des choses les plus difficiles à résoudre est les problèmes d’accès qui génèrent de nombreuses erreurs ou événements de débogage.

Pour ce faire, AD FS met en corrélation tous les événements enregistrés dans le observateur d'événements, à la fois dans les journaux d’administration et de débogage, qui correspondent à une demande particulière à l’aide d’un identificateur global unique unique (GUID) unique appelé ID d’activité. Cet ID est généré lorsque la demande d’émission de jeton est initialement présentée à l’application web (pour les applications utilisant le profil de demandeur passif) ou lorsque les demandes sont envoyées directement au fournisseur de revendications (pour les applications utilisant WS-Trust).

Capture d’écran de l’onglet Détails de la boîte de dialogue Propriétés de l’événement avec la valeur Active ID mise en évidence.

Cet ID d’activité reste le même pendant toute la durée de la demande et est journalisé dans le cadre de chaque événement enregistré dans le observateur d'événements pour cette demande. En d’autres termes :

  • Le filtrage ou la recherche dans les observateur d'événements à l’aide de cet ID d’activité peut vous aider à suivre tous les événements associés qui correspondent à la demande de jeton.
  • Le même ID d’activité est enregistré sur différentes machines, ce qui vous permet de résoudre les problèmes d’une requête utilisateur sur plusieurs ordinateurs, comme le proxy FSP (Federation Server).
  • L’ID d’activité s’affiche également dans le navigateur de l’utilisateur si la demande AD FS échoue de quelque manière que ce soit, ce qui permet à l’utilisateur de communiquer cet ID au support technique ou au support informatique.

Capture d’écran de l’onglet Détails de la boîte de dialogue Propriétés de l’événement avec la valeur d’ID de demande cliente mise en évidence.

Pour faciliter le processus de résolution des problèmes, AD FS consigne également l’événement d’ID de l’appelant chaque fois que le processus d’émission de jetons échoue sur un serveur AD FS. Cet événement contient le type et la valeur de revendication de l’un des types de revendications suivants, en supposant que ces informations ont été transmises au service de fédération dans le cadre d’une demande de jeton :

  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
  • http://schemas.xmlsoap.org/claims/UPN
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/claims/EmailAddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/name
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier

L’événement ID de l’appelant consigne également l’ID d’activité pour vous permettre d’utiliser cet ID d’activité pour filtrer ou rechercher dans les journaux d’événements une demande particulière.

Étapes suivantes