Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Службы федерации Active Directory (AD FS) предоставляют два основных журнала, которые можно использовать для устранения неполадок. В их число входят:
- Журнал администратора.
- Журнал трассировки.
Просмотр журнала администратора
Журнал администрирования предоставляет высокоуровневую информацию о проблемах, возникающих и включенных по умолчанию. Чтобы просмотреть журнал администратора, выполните следующие действия.
Откройте средство просмотра событий.
Разверните Журнал приложений и служб.
Разверните AD FS.
Выберите "Администратор".
Использование tracelog
В журнале трассировки регистрируются подробные сообщения, и это наиболее полезный журнал при устранении неполадок. Поскольку большой объем информации трассировки может создаваться за короткий промежуток времени, что может повлиять на производительность системы, журналы по умолчанию отключены.
Чтобы включить и просмотреть журнал трассировки
Откройте средство просмотра событий и разверните журнал приложений и служб.
Щелкните правой кнопкой мыши журнал приложений и служб и выберите "Вид". Затем выберите "Показать журналы аналитики и отладки". На этой панели показаны дополнительные узлы.
Разверните трассировку AD FS.
Щелкните правой кнопкой мыши Отладка и выберите Включить журнал.
Сведения об аудите событий для AD FS в Windows Server 2016
По умолчанию AD FS в Windows Server 2016 имеет базовый уровень аудита. При базовом аудите администраторы видят пять или меньше событий для одного запроса. Эта информация указывает на значительное снижение числа событий, которые администраторы должны просмотреть, чтобы увидеть один запрос. Вы можете повысить или снизить уровень аудита с помощью командлета PowerShell:
Set-AdfsProperties -AuditLevel
В следующей таблице описываются доступные уровни аудита.
Уровень аудита | Синтаксис PowerShell | Описание |
---|---|---|
Отсутствует | Set-AdfsProperties -AuditLevel Нет | Аудит отключен, и события не регистрируются. |
Базовый (по умолчанию) | Set-AdfsProperties -AuditLevel базовый | Для одного запроса регистрируются не более пяти событий. |
Многословный | подробные Set-AdfsProperties -AuditLevel | Все события регистрируются. На этом уровне регистрируется значительное количество сведений для каждого запроса. |
Чтобы просмотреть текущий уровень аудита, можно использовать командлет PowerShell: Get-AdfsProperties
.
Вы можете повысить или снизить уровень аудита с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel
Типы событий
События AD FS могут быть различными типами, основанными на различных типах запросов, обрабатываемых AD FS. Каждый тип события имеет определенные данные, связанные с ним. Тип событий можно различать между запросами входа и системными запросами. Ваши запросы на вход могут быть запросами токенов, а системные запросы могут быть межсерверными вызовами, включая извлечение информации о конфигурации.
В следующей таблице описаны основные типы событий.
Тип события | Идентификатор события | Описание |
---|---|---|
Успех проверки свежих учетных данных | 1202 | Запрос, в котором служба федерации успешно проверяет новые учетные данные. Это событие включает WS-Trust, WS-Federation, SAML-P (первый этап для создания SSO) и конечные точки авторизации OAuth. |
Ошибка проверки новых учетных данных | 1203 | Запрос, в котором не удалось выполнить проверку новых учетных данных в службе федерации. Это событие включает WS-Trust, WS-Fed, SAML-P (первый этап для генерации SSO) и OAuth конечных точек авторизации. |
Успех токена приложения | 1200 | Запрос, в котором служба федерации успешно выдает токен безопасности. Для WS-Federation и SAML-P это событие регистрируется при обработке запроса с помощью артефакта единого входа (например, куки-файла для единого входа). |
Сбой токена приложения | 1201 | Запрос, при котором выдача маркера безопасности не удалась в службе федерации. Для WS-Federation и SAML-P это событие регистрируется при обработке запроса с помощью артефакта единого входа (например, файла cookie единого входа). |
Успешное выполнение запроса на изменение пароля | 1204 | Транзакция, в которой служба федерации успешно обрабатывает запрос на изменение пароля. |
Ошибка запроса на изменение пароля | 1205 | Транзакция, в которой служба федерации не может обработать запрос на изменение пароля. |
Выход выполнен успешно | 1206 | Описывает успешный запрос на выход. |
Ошибка выхода | 1207 | Описывает неудачный запрос на выход. |
Аудит безопасности
Аудит безопасности учетной записи службы AD FS иногда помогает отслеживать проблемы с обновлениями паролей, ведением журнала запросов и ответов, заголовками содержимого запроса и результатами регистрации устройств. Аудит учетной записи службы AD FS отключен по умолчанию.
Включение аудита безопасности
Нажмите кнопку "Пуск". Затем перейдите ксредствам администрирования> и выберите локальную политику безопасности.
Перейдите в папку "Параметры безопасности\Локальные политики\Управление правами пользователя ", а затем дважды щелкните "Создать аудит безопасности".
На вкладке "Локальный параметр безопасности" убедитесь, что указана учетная запись службы AD FS. Если он отсутствует, выберите добавить пользователя или группу и добавьте его в список. Затем нажмите кнопку "ОК".
Откройте командную строку с повышенными привилегиями и выполните следующую команду, чтобы включить аудит:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
Закройте Локальную политику безопасности, а затем откройте дополнение управления AD FS.
Чтобы открыть оснастку управления AD FS, нажмите кнопку "Пуск". Перейдите в раздел "Администрирование программ>" и выберите ad FS Management.
В области "Действия" выберите "Изменить свойства службы федерации".
В диалоговом окне "Свойства службы федерации" выберите вкладку "События ".
Установите флажки аудита успешности и аудита сбоев .
Нажмите кнопку "ОК".
Замечание
Предыдущие инструкции используются только в том случае, если AD FS находится на автономном сервере-члене. Если AD FS работает на контроллере домена, используйте политику контроллера домена по умолчанию
Сообщения Windows Communication Foundation и Windows Identity Foundation
Помимо ведения журнала трассировки, иногда может потребоваться просмотреть сообщения Windows Communication Foundation (WCF) и Windows Identity Foundation (WIF), чтобы устранить проблему. Эти сообщения можно просмотреть, изменив файл Microsoft.IdentityServer.ServiceHost.Exe.Config на сервере AD FS.
Этот файл расположен в < корневом%system каталоге%>\Windows\ADFS и находится в формате XML. Соответствующие части файла показаны в следующем примере:
<!-- To enable WIF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>
<!-- To enable WCF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="System.ServiceModel" switchValue="Off" > … </source>
После применения этих изменений сохраните конфигурацию и перезапустите службу AD FS. После включения этих трассировок, задав соответствующие параметры, они будут отображаться в журнале трассировки AD FS в средстве просмотра событий Windows.
Корреляция событий
Одним из самых сложных способов устранения неполадок является проблема с доступом, которая создает многочисленные ошибки или события отладки.
Чтобы помочь с этим, AD FS сопоставляет все события, записанные в Просмотр событий, как в журналах администрирования, так и в журналах отладки. Каждый из этих журналов соответствует конкретному запросу с помощью уникального глобально уникального идентификатора (GUID), называемого идентификатором действия. AD FS создает этот идентификатор, когда он направляет запрос на выдачу маркера веб-приложению для приложений, использующих профиль пассивного запросчика. AD FS также генерирует идентификатор, когда отправляет запросы непосредственно поставщику утверждений для приложений, использующих WS-Trust.
Этот идентификатор действия остается неизменным в течение всего периода запроса, и он регистрируется как часть каждого события, записанного в средстве просмотра событий для этого запроса. Это означает:
- Фильтрация или поиск в журнале событий с помощью этого идентификатора активности может помочь отслеживать все связанные события, соответствующие запросу маркера.
- Один и тот же идентификатор активности регистрируется на разных компьютерах, что позволяет устранять неполадки в запросе пользователя на нескольких устройствах, таких как прокси-сервер федерации (FSP).
- Идентификатор действия также отображается в браузере пользователя, если запрос AD FS не удается, что позволяет пользователю передать этот идентификатор в службу поддержки или ИТ-службу.
Чтобы помочь в процессе устранения неполадок, AD FS также регистрирует событие ID вызывающего объекта всякий раз, когда процесс выпуска токенов завершается сбоем на сервере AD FS. Это событие содержит тип утверждения и значение одного из следующих типов утверждений, предполагая, что эта информация была передана службе федерации в рамках запроса токена:
https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
http://schemas.xmlsoap.org/claims/UPN
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
http://schemas.xmlsoap.org/claims/EmailAddress
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
https://schemas.microsoft.com/ws/2008/06/identity/claims/name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Событие идентификатора вызывающего абонента также регистрирует идентификатор активности, чтобы вы могли использовать этот идентификатор для фильтрации или поиска в журналах событий определенного запроса.