Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł ułatwia rozwiązywanie problemów z przeciążeniem usług Active Directory Federation Services (AD FS).
Ustal, czy występują przeciążenia usług AD FS
Kontrola przeciążenia zapewnia mechanizm ograniczania przepustowości, który jest przeznaczony do ochrony wewnętrznych serwerów usług AD FS przed nadmiernym ruchem zewnętrznym. Serwer proxy aplikacji internetowej (WAP) monitoruje średni czas opóźnienia dla żądań powiązanych z federacją. Gdy opóźnienie przekracza skonfigurowane ustawienie kontroli przeciążenia, serwer proxy zaczyna ograniczać liczbę żądań wysyłanych do serwerów federacyjnych. Gdy opóźnienie powróci do normalnego, liczba żądań zostanie zwiększona. Serwer proxy używa algorytmu okna przesuwnego, podobnego do kontroli przeciążenia protokołu Transmission Control Protocol (TCP), aby ograniczyć pulę żądań.
Za każdym razem, gdy żądanie jest odrzucane z powodu warunku przeciążenia, serwer proxy zapisuje identyfikator zdarzenia 230 do dziennika zdarzeń administratora usług AD FS. Obecność tych zdarzeń oznacza, że farma usług AD FS jest obecnie lub ostatnio działa w trybie przeciążenia i odrzuca żądania.
Weryfikowanie konfiguracji modułu równoważenia obciążenia
Jeśli używasz sprzętowego modułu równoważenia obciążenia sieciowego między serwerami WAP i AD FS, upewnij się, że śledzenie stickiness i/lub plików cookie jest wyłączone i że algorytm równoważenia obciążenia jest ustawiony na działanie okrężne lub najmniej zajęty serwer. Te opcje umożliwiają farmie dostosowanie się do zmieniających się wzorców ruchu i są najlepszym rozwiązaniem firmy Microsoft.
Weryfikowanie ustawień sterowania przeciążeniem
W każdym węźle serwera proxy sprawdź, czy ustawienia kontroli przeciążenia są zgodne z zalecanymi wartościami:
- Otwórz
%windir%\ADFS\Config\microsoft.identityServer.proxyservice.exe.configw aplikacji, takiej jak Notatnik. - Zlokalizuj węzeł
Microsoft.IdentityServer.Proxy. - Sprawdź, czy
latencyThresholdInMSecjest ustawiona na wartość8000, aminCongestionWindowSizejest ustawiona na wartość64. - Uruchom ponownie usługę
adfssrv, jeśli konfiguracja została zmodyfikowana.
Przegląd błędów i opóźnień w usługach zależnych
Usługi AD FS zależą od wielu usług zewnętrznych do przetwarzania żądań tokenów. Te zależności mogą się różnić w zależności od opcji wdrażania, ale zwykle obejmują one usługę Active Directory przedsiębiorstwa. Może również występować co najmniej jedna z następujących zależności:
- Zdalny serwer SQL
- Magazyny atrybutów niestandardowych
- Active Directory Lightweight Domain Services (AD LDS)
- Serwery protokołu LDAP (Lightweight Directory Access Protocol) innej firmy
- Niestandardowi dostawcy uwierzytelniania wieloskładnikowego (MFA)
- Zdalne moduły zabezpieczeń sprzętu
Opóźnienia w dowolnej z tych usług mogą mieć wpływ na przepustowość usług AD FS, co z kolei może spowodować wyzwolenie mechanizmu kontroli przeciążenia. Usługi AD FS obsługują zestaw wielowartościowych liczników wydajności, które mogą służyć do przeglądania opóźnień i błędów między AD FS a tymi usługami zewnętrznymi.
Te liczniki obejmują:
- Liczniki magazynu atrybutów AD FS dla niestandardowych magazynów atrybutów
- Liczniki dotyczące połączeń domeny AD FS dla czasów odpowiedzi zapytań do Active Directory
- Liczniki dla zewnętrznego dostawcy uwierzytelniania AD FS dotyczące opóźnień zewnętrznego modułu MFA (uwierzytelniania wieloskładnikowego)
- Połączenia lokalnego dostawcy oświadczeń AD FS w przypadku opóźnień spowodowanych korzystaniem z katalogów LDAP innych firm
- Liczniki komunikacji między węzłami usługi AD FS dla opóźnień w wyszukiwaniu artefaktów między węzłami
Przejrzyj liczniki, które mają zastosowanie do konfiguracji farmy usług AD FS pod kątem błędów i nieoczekiwanych dużych opóźnień. Jeśli znaleziono jeden z tych warunków, rozwiąż problemy.
Aby uzyskać więcej informacji, zobacz przewodnik scenariuszy: Rozwiązywanie problemów z wydajnością w systemie Windows .
Ustal, czy serwer federacyjny jest przeciążony
Serwer federacyjny ma limit ilości ruchu, jaki może obsłużyć, zanim opóźnienie żądania przekroczy rozsądny limit. Jeśli serwery usług AD FS w farmie nie mają wystarczającego sprzętu lub farma otrzymuje nadmierny ruch, to zwiększone opóźnienie może wyzwolić kontrolę przeciążenia w aplikacji WAP.
Możesz użyć liczników wydajności systemu, aby przejrzeć obciążenie każdego serwera usług AD FS w farmie:
- Otwórz monitor wydajności.
- Dodaj licznik
\AD FS\Token Request/Sec. - Przejrzyj wartości średnie żądań tokenu na sekundę i czasu procesora %.
Średnie wartości dla żądań tokenów na sekundę powinny mieścić się w oczekiwanym zakresie dla twojego sprzętu. Wartość % czasu procesora powinna być mniejsza niż 90%. Jeśli te wartości zostaną przekroczone, farma prawdopodobnie odbiera więcej ruchu niż sprzęt może obsłużyć. Może być konieczne zwiększenie pojemności farmy przez dodanie większej liczby serwerów usług AD FS do farmy. Możesz również usunąć niepotrzebny ruch.
Ustal, czy w aplikacji WAP występują problemy z siecią
Problemy z siecią między serwerami WAP i serwerami usług AD FS mogą powodować ponowne transmisje, co z kolei zwiększa opóźnienie i może wyzwolić kontrolę przeciążenia. Przejrzyj liczniki wydajności sieci, takie jak TCP v4\Segments Retransmitted, aby wyszukać problemy z niezawodnością sieci.
Wyłączanie kontrolki przeciążenia
Dopóki główna przyczyna nie zostanie zidentyfikowana, problem z przeciążeniem może zostać złagodzony przez dostosowanie lub wyłączenie kontroli przeciążenia. Licznik opóźnień żądań reprezentuje średni czas obiegu żądania. Średnia tego licznika odpowiada ustawieniu sterowania przeciążeniem latencyThresholdInMSec. Jeśli średnia wartość tego licznika przekracza wartość ustawienia, kontrolka przeciążenia jest aktywowana. Modyfikowanie latencyThresholdInMSec na wyższą wartość może przynieść ulgę w kontroli przeciążenia, dopóki inne problemy nie zostaną złagodzone. Maksymalna wartość dla latencyThresholdInMSec wynosi 10 000. Jeśli opóźnienia widoczne w liczniku opóźnienia żądania są większe niż 10 sekund, jedynym krótkoterminowym ograniczeniem ryzyka jest wyłączenie kontroli przeciążenia.