Résoudre les problèmes liés à AD FS
Le composant Services de fédération Active Directory (ou « AD FS », pour « Active Directory Federation Services ») a de nombreux éléments mobiles, touche de nombreux aspects différents et présente de nombreuses dépendances différentes. À l’évidence, cette complexité peut donner lieu à des problèmes divers. Cet article est conçu pour vous aider à résoudre ces problèmes. Il vous présente les aspects communs auxquels vous devez apporter une attention particulière, la façon d’activer des fonctionnalités des informations supplémentaires et divers outils pour détecter des problèmes.
Notes
Pour plus d’informations, consultez l’aide sur AD FS et ses outils efficaces, centralisés afin de faciliter la résolution des problèmes d’authentification pour les utilisateurs et les administrateurs.
Éléments à vérifier en premier
Avant de vous plonger dans la résolution des problèmes en profondeur, vous devez d’abord vérifier quelques points. Il s'agit des éléments suivants :
- Configuration DNS : pouvez-vous résoudre le nom du service de fédération ? Cette connexion doit se résoudre à l’adresse IP de l’équilibreur de charge ou à l’adresse IP de l’un des serveurs AD FS de votre batterie de serveurs. Pour plus d’informations, consultez Résolution des problèmes AD FS – DNS.
- Points de terminaison AD FS : pouvez-vous accéder aux points de terminaison AD FS ? En accédant à ce point de terminaison, vous pouvez déterminer si votre serveur web AD FS répond ou non aux requêtes. Si vous pouvez accéder à ce fichier, vous savez qu’AD FS prend en charge les requêtes sur le port 443. Pour plus d’informations, consultez Résolution des problèmes liés à AD FS – Points de terminaison de métadonnées AD FS.
- Connexion initiée par le fournisseur d’identité : pouvez-vous vous connecter et vous authentifier via la page de connexion initiée par le fournisseur d’identité ? Vous devez vous assurer que cette page est activée, car elle est désactivée par défaut. Utilisez
Set-AdfsProperties -EnableIdPInitiatedSignOn $truepour activer la page. Si vous pouvez vous connecter et vous authentifier, vous savez qu’AD FS fonctionne dans cette zone. Pour plus d’informations, consultez Résolution des problèmes liés à AD FS – Connexion initiée par le fournisseur d’identité.
Zones courantes de résolution de problème
| Nom | Description |
|---|---|
| Événements et journalisation | Utilisez les journaux d’événements Windows pour afficher des informations de haut niveau et de bas niveau via les journaux d’activité d’administration et de suivi. Vous pouvez également les utiliser pour afficher l’audit de sécurité. |
| Connectivité SQL | Informations sur le test de la connectivité entre vos serveurs AD FS et les bases de données SQL de back-end. |
| Émission de revendications | Informations permettant de déterminer si AD FS émet correctement des revendications. |
| Détection de boucles | Informations pour détecter et empêcher le renvoi d’utilisateurs entre le fournisseur d’identité (idP) et une partie de confiance (RP). |
| Certificates | Problèmes de certificat classiques qui peuvent se produire. |
| Fiddler | Informations sur l’installation et l’utilisation de Fiddler. |
| WS-Federation avec Fiddler | Trace Fiddler détaillée d’une interaction WS-Federation. |
| Syntaxe de règle de revendication | Informations sur la résolution des problèmes liés aux règles de revendication et leur syntaxe. |
| Authentification Windows intégrée | Informations sur la résolution des problèmes de l’authentification intégrée. |
| Microsoft Entra ID | Informations sur le dépannage de problèmes d'interaction d'AD FS avec Microsoft Entra ID. |
| Analyseur de diagnostics AD FS | L’analyseur de diagnostics d’aide AD FS effectue des vérifications AD FS de base à l’aide du module PowerShell de diagnostic. |