Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Active Directory Federation Services (AD FS) innehåller två primära loggar som du kan använda för att felsöka. De är:
- Administratörsloggen.
- Spårningsloggen.
Visa administratörsloggen
Administratörsloggen innehåller information på hög nivå om problem som inträffar och är aktiverad som standard. Så här visar du administratörsloggen:
Öppna Loggboken.
Expandera program- och tjänstloggen.
Expandera AD FS.
Välj Administratör.
Använda spårningslogg
Spårningsloggen är där detaljerade meddelanden loggas och det är den mest användbara loggen vid felsökning. Eftersom mycket Tracelog-information kan genereras på kort tid, vilket kan påverka systemets prestanda, inaktiveras loggarna som standard.
Aktivera och visa spårningsloggen
Öppna Loggboken och expandera Program- och tjänstloggen.
Högerklicka på Program- och tjänstloggen och välj Visa. Välj sedan Visa analys- och felsökningsloggar. Det här fönstret visar fler noder.
Expandera AD FS-spårning.
Högerklicka på Felsökning och välj Aktivera logg.
Händelsegranskningsinformation för AD FS på Windows Server 2016
Som standard har AD FS i Windows Server 2016 en grundläggande granskningsnivå aktiverad. Med grundläggande granskning ser administratörer fem eller färre händelser för en enskild begäran. Den här informationen markerar en betydande minskning av antalet händelser som administratörer måste titta på för att se en enda begäran. Du kan höja eller sänka granskningsnivån med hjälp av PowerShell-cmdleten:
Set-AdfsProperties -AuditLevel
I följande tabell beskrivs tillgängliga granskningsnivåer.
| Granskningsnivå | PowerShell-syntax | Description |
|---|---|---|
| None | Set-AdfsProperties -AuditLevel Ingen | Granskning är inaktiverat och inga händelser loggas. |
| Basic (standard) | Set-AdfsProperties -AuditLevel Grundläggande | Högst fem händelser loggas för en enda begäran. |
| Verbose | Set-AdfsProperties -AuditLevel utförlig | Alla händelser loggas. Den här nivån loggar en betydande mängd information per begäran. |
Om du vill visa den aktuella granskningsnivån kan du använda PowerShell-cmdleten: Get-AdfsProperties.
Du kan höja eller sänka granskningsnivån med hjälp av PowerShell-cmdleten: Set-AdfsProperties -AuditLevel.
Typer av händelser
AD FS-händelser kan vara av olika typer, baserat på de olika typerna av begäranden som bearbetas av AD FS. Varje typ av händelse har specifika data som är associerade med den. Typen av händelser kan skiljas mellan inloggningsbegäranden och systembegäranden. Dina inloggningsbegäranden kan vara tokenbegäranden och dina systembegäranden kan vara server-server-anrop, inklusive hämtning av konfigurationsinformation.
I följande tabell beskrivs de grundläggande typerna av händelser.
| Händelsetyp | Händelse-ID | Description |
|---|---|---|
| Validering av nya autentiseringsuppgifter lyckades | 1202 | En begäran där federationstjänsten verifierar nya autentiseringsuppgifter. Den här händelsen inkluderar WS-Trust, WS-Federation, SAML-P (första etappen för att generera enkel inloggning) och OAuth-auktorisera slutpunkter. |
| Nytt valideringsfel för autentiseringsuppgifter | 1203 | En begäran där valideringen av nya autentiseringsuppgifter misslyckades på federationstjänsten. Den här händelsen inkluderar WS-Trust, WS-Fed, SAML-P (första delen för att generera SSO) och OAuth Authorize-slutpunkter. |
| Programtoken lyckades | 1200 | En begäran där federationstjänsten utfärdar en säkerhets-token. För WS-Federation och SAML-P loggas den här händelsen när begäran bearbetas med SSO-artefakten (till exempel SSO-cookien). |
| Programtoken misslyckades | 1201 | En begäran där säkerhetstoken-utfärdandet misslyckades i federationstjänsten. För WS-Federation och SAML-P loggas den här händelsen när begäran bearbetades med SSO-artefakten (till exempel SSO-cookien). |
| Begäran om lösenordsändring lyckades | 1204 | En transaktion där federationstjänsten bearbetar begäran om lösenordsändring. |
| Fel vid begäran om lösenordsändring | 1205 | En transaktion där federationstjänsten inte kan bearbeta begäran om lösenordsändring. |
| Utloggning lyckad | 1206 | Beskriver en lyckad utloggningsbegäran. |
| Utloggningsfel | 1207 | Beskriver en begäran om misslyckad utloggning. |
Säkerhetsgranskning
Säkerhetsgranskning av AD FS-tjänstkontot kan ibland hjälpa dig att spåra problem med lösenordsuppdateringar, loggning av begäran/svar, innehållshuvuden för begäranden och resultat av enhetsregistrering. Granskning av AD FS-tjänstkontot är inaktiverat som standard.
Aktivera säkerhetsgranskning
Välj Start. Gå sedan till Program>Administrativa verktyg och välj sedan Lokal säkerhetsprincip.
Gå till mappen Security Settings\Local Policies\User Rights Management och dubbelklicka sedan på Generera säkerhetsgranskningar.
På fliken Lokal säkerhetsinställning kontrollerar du att AD FS-tjänstkontot visas. Om den inte finns väljer du Lägg till användare eller grupp och lägger till den i listan. Välj sedan OK.
Öppna en kommandotolk med utökade privilegier och kör följande kommando för att aktivera granskning:
auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enableStäng Lokal säkerhetspolicy och öppna sedan snap-in-modulen AD FS-hantering.
Om du vill öppna snapin-modulen FÖR AD FS-hantering väljer du Starta. Gå till Program>Administrativa verktyg och välj sedan AD FS-hantering.
I fönstret Åtgärder väljer du Redigera federationstjänstegenskaper.
I dialogrutan Egenskaper för federationstjänst väljer du fliken Händelser .
Markera kryssrutorna Lyckade granskningar och Misslyckade granskningar .
Välj OK.
Note
De tidigare instruktionerna används endast när AD FS finns på en fristående medlemsserver. Om AD FS körs på en domänkontrollant, i stället för den lokala säkerhetsprincipen, använder du standardprincipen för domänkontrollanter som finns i Grupprinciphantering/Skog/Domäner/Domänkontrollanter. Välj redigera och gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Hantering av användarrättigheter.
Windows Communication Foundation- och Windows Identity Foundation-meddelanden
Förutom spårningsloggning kan du ibland behöva visa Meddelanden från Windows Communication Foundation (WCF) och Windows Identity Foundation (WIF) för att felsöka ett problem. Du kan visa dessa meddelanden genom att ändra filen Microsoft.IdentityServer.ServiceHost.Exe.Config på AD FS-servern.
Den här filen finns i <%system rot-%>\Windows\ADFS och är i XML-format. Relevanta delar av filen visas i följande exempel:
<!-- To enable WIF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>
<!-- To enable WCF tracing, change the following switchValue to the desired trace level - Verbose, Information, Warning, Error, Critical -->
<source name="System.ServiceModel" switchValue="Off" > … </source>
När du har tillämpat ändringarna sparar du konfigurationen och startar om AD FS-tjänsten. När du har aktiverat dessa spårningar genom att ange lämpliga växlar visas de i AD FS-spårningsloggen i Windows Loggboken.
Korrelera händelser
En av de svåraste sakerna att felsöka är åtkomstproblem som genererar flera fel eller felsökningshändelser.
För att underlätta detta samlar AD FS in alla händelser som registreras i Händelseloggen, både i administrations- och felsökningsloggen. Var och en av dessa loggar motsvarar en viss begäran med hjälp av en unik globalt unik identifierare (GUID) som kallas aktivitets-ID. AD FS genererar det här ID:t när det visar tokenutfärdarbegäran till webbprogrammet för program med hjälp av den passiva begärandeprofilen. AD FS genererar också ett ID när det skickar begäranden direkt till anspråksprovidern för program som använder WS-Trust.
Det här aktivitets-ID:t är detsamma under hela begäran och loggas som en del av varje händelse som registrerats i Loggboken för den begäran. Det innebär:
- Genom att filtrera eller söka i Loggboken med hjälp av det här aktivitets-ID:t kan du hålla reda på alla relaterade händelser som motsvarar tokenbegäran.
- Samma aktivitets-ID loggas på olika datorer, vilket gör att du kan felsöka en användarbegäran på flera datorer, till exempel federationsserverproxyn (FSP).
- Aktivitets-ID:t visas också i användarens webbläsare om AD FS-begäran misslyckas på något sätt, vilket gör att användaren kan kommunicera detta ID till supportavdelningen eller IT-supporten.
För att underlätta felsökningsprocessen loggar AD FS även anropar-ID-händelsen när tokenutfärdingsprocessen misslyckas på en AD FS-server. Den här händelsen innehåller anspråkstypen och värdet för någon av följande anspråkstyper, förutsatt att den här informationen skickades till federationstjänsten som en del av en tokenbegäran:
https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhhttps://schemas.microsoft.com/ws/2008/06/identity/claims/upnhttp://schemas.xmlsoap.org/claims/UPNhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddresshhttps://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddresshttp://schemas.xmlsoap.org/claims/EmailAddresshttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/namehttps://schemas.microsoft.com/ws/2008/06/identity/claims/namehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
Anropar-ID-händelsen loggar också aktivitets-ID:t så att du kan använda det aktivitets-ID:t för att filtrera eller söka efter en viss begäran i händelseloggarna.