Поделиться через


Устранение неполадок служб федерации Active Directory при помощи событий и журналирования

Службы федерации Active Directory (AD FS) предоставляют два основных журнала, которые можно использовать для устранения неполадок. В их число входят:

  • Журнал администратора.
  • Журнал трассировки.

Просмотр журнала администратора

Журнал администрирования предоставляет высокоуровневую информацию о проблемах, возникающих и включенных по умолчанию. Чтобы просмотреть журнал администратора, выполните следующие действия.

  1. Откройте средство просмотра событий.

  2. Разверните Журнал приложений и служб.

  3. Разверните AD FS.

  4. Выберите "Администратор".

    Снимок экрана: Просмотр событий с вызванной функцией 'Администратор'.

Использование tracelog

В журнале трассировки регистрируются подробные сообщения, и это наиболее полезный журнал при устранении неполадок. Поскольку большой объем информации трассировки может создаваться за короткий промежуток времени, что может повлиять на производительность системы, журналы по умолчанию отключены.

Чтобы включить и просмотреть журнал трассировки

  1. Откройте средство просмотра событий и разверните журнал приложений и служб.

  2. Щелкните правой кнопкой мыши журнал приложений и служб и выберите "Вид". Затем выберите "Показать журналы аналитики и отладки". На этой панели показаны дополнительные узлы.

    Снимок экрана: Просмотр событий показывает, что пользователь щелкнул правой кнопкой мыши Журнал приложений и служб и выбрал режим отображения с выделенным параметром

  3. Разверните трассировку AD FS.

  4. Щелкните правой кнопкой мыши Отладка и выберите Включить журнал.

    Снимок экрана средства просмотра событий, показывающий, что пользователь щелкнул правой кнопкой мыши по пункту

Сведения об аудите событий для AD FS в Windows Server 2016

По умолчанию AD FS в Windows Server 2016 имеет базовый уровень аудита. При базовом аудите администраторы видят пять или меньше событий для одного запроса. Эта информация указывает на значительное снижение числа событий, которые администраторы должны просмотреть, чтобы увидеть один запрос. Вы можете повысить или снизить уровень аудита с помощью командлета PowerShell:

Set-AdfsProperties -AuditLevel

В следующей таблице описываются доступные уровни аудита.

Уровень аудита Синтаксис PowerShell Описание
Отсутствует Set-AdfsProperties -AuditLevel Нет Аудит отключен, и события не регистрируются.
Базовый (по умолчанию) Set-AdfsProperties -AuditLevel базовый Для одного запроса регистрируются не более пяти событий.
Многословный подробные Set-AdfsProperties -AuditLevel Все события регистрируются. На этом уровне регистрируется значительное количество сведений для каждого запроса.

Чтобы просмотреть текущий уровень аудита, можно использовать командлет PowerShell: Get-AdfsProperties.

Снимок экрана, показывающий окно PowerShell с результатами командлета Get-AdfsProperties и выделенным свойством

Вы можете повысить или снизить уровень аудита с помощью командлета PowerShell: Set-AdfsProperties -AuditLevel

Снимок экрана: окно PowerShell, в котором показан командлет Set-AdfsProperties -AuditLevel Verbose, введенный в командной строке.

Типы событий

События AD FS могут быть различными типами, основанными на различных типах запросов, обрабатываемых AD FS. Каждый тип события имеет определенные данные, связанные с ним. Тип событий можно различать между запросами входа и системными запросами. Ваши запросы на вход могут быть запросами токенов, а системные запросы могут быть межсерверными вызовами, включая извлечение информации о конфигурации.

В следующей таблице описаны основные типы событий.

Тип события Идентификатор события Описание
Успех проверки свежих учетных данных 1202 Запрос, в котором служба федерации успешно проверяет новые учетные данные. Это событие включает WS-Trust, WS-Federation, SAML-P (первый этап для создания SSO) и конечные точки авторизации OAuth.
Ошибка проверки новых учетных данных 1203 Запрос, в котором не удалось выполнить проверку новых учетных данных в службе федерации. Это событие включает WS-Trust, WS-Fed, SAML-P (первый этап для генерации SSO) и OAuth конечных точек авторизации.
Успех токена приложения 1200 Запрос, в котором служба федерации успешно выдает токен безопасности. Для WS-Federation и SAML-P это событие регистрируется при обработке запроса с помощью артефакта единого входа (например, куки-файла для единого входа).
Сбой токена приложения 1201 Запрос, при котором выдача маркера безопасности не удалась в службе федерации. Для WS-Federation и SAML-P это событие регистрируется при обработке запроса с помощью артефакта единого входа (например, файла cookie единого входа).
Успешное выполнение запроса на изменение пароля 1204 Транзакция, в которой служба федерации успешно обрабатывает запрос на изменение пароля.
Ошибка запроса на изменение пароля 1205 Транзакция, в которой служба федерации не может обработать запрос на изменение пароля.
Выход выполнен успешно 1206 Описывает успешный запрос на выход.
Ошибка выхода 1207 Описывает неудачный запрос на выход.

Аудит безопасности

Аудит безопасности учетной записи службы AD FS иногда помогает отслеживать проблемы с обновлениями паролей, ведением журнала запросов и ответов, заголовками содержимого запроса и результатами регистрации устройств. Аудит учетной записи службы AD FS отключен по умолчанию.

Включение аудита безопасности

  1. Нажмите кнопку "Пуск". Затем перейдите ксредствам администрирования> и выберите локальную политику безопасности.

  2. Перейдите в папку "Параметры безопасности\Локальные политики\Управление правами пользователя ", а затем дважды щелкните "Создать аудит безопасности".

  3. На вкладке "Локальный параметр безопасности" убедитесь, что указана учетная запись службы AD FS. Если он отсутствует, выберите добавить пользователя или группу и добавьте его в список. Затем нажмите кнопку "ОК".

  4. Откройте командную строку с повышенными привилегиями и выполните следующую команду, чтобы включить аудит: auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

  5. Закройте Локальную политику безопасности, а затем откройте дополнение управления AD FS.

  6. Чтобы открыть оснастку управления AD FS, нажмите кнопку "Пуск". Перейдите в раздел "Администрирование программ>" и выберите ad FS Management.

  7. В области "Действия" выберите "Изменить свойства службы федерации".

  8. В диалоговом окне "Свойства службы федерации" выберите вкладку "События ".

  9. Установите флажки аудита успешности и аудита сбоев .

  10. Нажмите кнопку "ОК".

    Скриншот вкладки

Замечание

Предыдущие инструкции используются только в том случае, если AD FS находится на автономном сервере-члене. Если AD FS работает на контроллере домена, используйте политику контроллера домена по умолчанию , а не локальную политику безопасности, расположенную в Управление групповыми политиками/Лес/Домены/Контроллеры домена. Выберите изменение и перейдите в раздел "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Управление правами пользователей".

Сообщения Windows Communication Foundation и Windows Identity Foundation

Помимо ведения журнала трассировки, иногда может потребоваться просмотреть сообщения Windows Communication Foundation (WCF) и Windows Identity Foundation (WIF), чтобы устранить проблему. Эти сообщения можно просмотреть, изменив файл Microsoft.IdentityServer.ServiceHost.Exe.Config на сервере AD FS.

Этот файл расположен в < корневом%system каталоге%>\Windows\ADFS и находится в формате XML. Соответствующие части файла показаны в следующем примере:

<!-- To enable WIF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>

<!-- To enable WCF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="System.ServiceModel" switchValue="Off" > … </source>

После применения этих изменений сохраните конфигурацию и перезапустите службу AD FS. После включения этих трассировок, задав соответствующие параметры, они будут отображаться в журнале трассировки AD FS в средстве просмотра событий Windows.

Корреляция событий

Одним из самых сложных способов устранения неполадок является проблема с доступом, которая создает многочисленные ошибки или события отладки.

Чтобы помочь с этим, AD FS сопоставляет все события, записанные в Просмотр событий, как в журналах администрирования, так и в журналах отладки. Каждый из этих журналов соответствует конкретному запросу с помощью уникального глобально уникального идентификатора (GUID), называемого идентификатором действия. AD FS создает этот идентификатор, когда он направляет запрос на выдачу маркера веб-приложению для приложений, использующих профиль пассивного запросчика. AD FS также генерирует идентификатор, когда отправляет запросы непосредственно поставщику утверждений для приложений, использующих WS-Trust.

Снимок экрана вкладки

Этот идентификатор действия остается неизменным в течение всего периода запроса, и он регистрируется как часть каждого события, записанного в средстве просмотра событий для этого запроса. Это означает:

  • Фильтрация или поиск в журнале событий с помощью этого идентификатора активности может помочь отслеживать все связанные события, соответствующие запросу маркера.
  • Один и тот же идентификатор активности регистрируется на разных компьютерах, что позволяет устранять неполадки в запросе пользователя на нескольких устройствах, таких как прокси-сервер федерации (FSP).
  • Идентификатор действия также отображается в браузере пользователя, если запрос AD FS не удается, что позволяет пользователю передать этот идентификатор в службу поддержки или ИТ-службу.

Снимок экрана: вкладка

Чтобы помочь в процессе устранения неполадок, AD FS также регистрирует событие ID вызывающего объекта всякий раз, когда процесс выпуска токенов завершается сбоем на сервере AD FS. Это событие содержит тип утверждения и значение одного из следующих типов утверждений, предполагая, что эта информация была передана службе федерации в рамках запроса токена:

  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
  • http://schemas.xmlsoap.org/claims/UPN
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/claims/EmailAddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/name
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier

Событие идентификатора вызывающего абонента также регистрирует идентификатор активности, чтобы вы могли использовать этот идентификатор для фильтрации или поиска в журналах событий определенного запроса.

Дальнейшие шаги