Richtige Pflege Ihres neuen ADFS-Servers

Im ersten Teil dieses Artikels haben wir uns mit dem Einrichten von Active Directory-Verbunddiensten befasst.

Ihre Arbeit mit ADFS hört jedoch nicht auf, nachdem das Setup abgeschlossen ist. ADFS ist ein wichtiger Bestandteil Ihres Unternehmens. Daher ist es wichtig, es zu verwalten und hoch verfügbar zu halten. Schauen wir uns einige der kritischen Vorgänge an, die mit einem ADFS-Server verbunden sind – und wie Sie ADFS-Probleme beheben können, wenn sie auftreten.

Aktualisieren von ADFS-Server-Token-Signaturzertifikaten

Active Directory-Verbunddienste Verwendet ein Token-Signatur-Zertifikat, um das Token, das es erstellt, wenn das System eine Authentifizierungsanforderung stellt, digital zu signieren. Dieses Token wird dann an die Quelle der Anforderung zurückgesendet, die als bezeichnet wird vertrauende Partei. Wenn eine ADFS-Vertrauensstellung zwischen zwei Umgebungen erstellt wird, wird das Token-Signaturzertifikat ausgetauscht und sichergestellt, dass die Remote-Partnerumgebung die Gültigkeit der empfangenen Token überprüfen kann.
Standardmäßig verwendet ADFS ein selbstsigniertes Zertifikat. Die allgemeine Empfehlung besteht darin, weiterhin selbstsignierte Zertifikate für den Token-Signaturprozess zu verwenden. Ein Zertifikat eines Drittanbieters sollte jedoch die Kommunikation schützen, die über das Internet erfolgt Secure Sockets Layer.
Das Standardzertifikat hat eine Gültigkeitsdauer von einem Jahr. Dies bedeutet, dass nach dem ersten Austausch des Tokensignaturzertifikats ein neues Zertifikat konfiguriert werden muss, bevor es abläuft. Darüber hinaus muss das neue Zertifikat erneut mit der Remote-Partnerorganisation ausgetauscht werden.
ADFS ist standardmäßig so konfiguriert, dass automatisch ein neues Zertifikat generiert wird, wenn es kurz vor dem Ablauf steht. Dieses Verhalten wird durch die gesteuert AutoCertificateRollover Attribut der ADFS-Serverfarm. Führen Sie den folgenden Befehl aus, um die aktuellen ADFS-Eigenschafteneinstellungen zu überprüfen (Abbildung 1):
Get-ADFSProperties | Wählen Sie AutoCertificateRollOver

Befehl ADFS-EigenschaftenAbbildung 1: Befehl ADFS-Eigenschaften

Wenn die Remote-Organisation die dynamische Aktualisierung der Verbundmetadaten unterstützt, müssen Sie nichts tun. Aber Büro 365 unterstützt dies nicht, daher müssen Sie das Zertifikat manuell aktualisieren.
Führen Sie die folgenden Befehle auf einem Computer mit installierter ADFS-Serverrolle aus, um die Verbundmetadaten in Office 365 manuell zu aktualisieren:
Connect-MSOLService –Credential (Get-Credentials)
Update-MSOLFederatedDomain –DomainName

Sie können ähnliche Befehle von einem Nicht-ADFS-Server ausführen oder mit einem Skript ausführen Dosen-Skript von Microsoft. Wenn Sie ADFS noch unter Windows Server 2008 ausführen, müssen Sie das ADFS PowerShell-Snap-In laden, bevor Sie ADFS-Cmdlets verwenden können. Führen Sie den folgenden Befehl in der PowerShell-Instanz aus:
Add-PsSnapin Microsoft.ADFS.PowerShell

Ändern des primären Verbundservers

Der primäre Verbundserver ist in einer verwendeten Verbunddienstfarm von entscheidender Bedeutung Interne Windows-Datenbank. Der erste Server, den Sie in der Farm installieren, ist automatisch der primäre Verbundserver. Alle nachfolgenden Verbundserver, die der Farm hinzugefügt wurden, fragen den primären Verbundserver standardmäßig alle fünf Minuten nach Konfigurationsänderungen ab. Wenn Änderungen gefunden werden, werden diese auf eine lokale Instanz der Konfigurationsdatenbank repliziert.
Andere Server bleiben betriebsbereit, wenn der primäre Verbundserver ausfällt. Sie können jedoch keine Änderungen an der ADFS-Konfiguration vornehmen, bis der primäre Verbundserver wiederhergestellt oder ein anderer Verbundserver als primärer Server heraufgestuft wurde.
Führen Sie die folgenden Befehle des sekundären Verbunddienstes aus, den Sie heraufstufen möchten, um einen sekundären Verbundserver zum primären Server zu machen:
Add-PsSnapin Microsoft.Adfs.PowerShell
Set-AdfsSyncProperties -Role PrimaryComputer
Nachdem Sie einen neuen primären Verbundserver eingerichtet haben, müssen Sie die anderen sekundären Verbundserver für die Synchronisierung mit dem neuen primären Verbundserver konfigurieren. Verwenden Sie diesen Befehl, um auf den verbleibenden Farmmitgliedsservern ausgeführt zu werden:
Add-PsSnapin Microsoft.Adfs.Powershell
Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName {FQDN des primären Verbundservers}

Fehlerbehebung bei einem ADFS-Server

Die Fehlerbehebung bei ADFS ist nicht die einfachste Aufgabe eines Administrators, vor allem, weil viele bewegliche Teile beteiligt sind.
Schauen Sie sich zunächst an, wie Sie weitere Informationen aus Ihrer ADFS-Serverfarm abrufen können. Das Anwendungsereignisprotokoll enthält nur begrenzte Informationen. Standardmäßig sind keine Debug-Informationen verfügbar. Stellen Sie daher bei der Fehlerbehebung sicher, dass das Debug-Protokoll für ADFS aktiviert ist.
Öffnen Sie die Ereignisanzeige und klicken Sie auf Aussicht Menü und wählen Analyse- und Debug-Protokolle anzeigen. Dies muss aktiviert sein, um das ADFS 2.0-Ablaufverfolgungsprotokoll anzuzeigen (Abbildung 2).

ADFS 2.0-AblaufverfolgungsprotokollAbbildung 2: ADFS 2.0-Ablaufverfolgungsprotokoll

Klicken Sie mit der rechten Maustaste auf das Debug-Protokoll unter dem ADFS 2.0-Ablaufverfolgungsprotokoll und wählen Sie Protokoll aktivieren. Starten Sie den ADFS 2.0-Windowsdienst (der in der Eingabeaufforderung als adfssrv dargestellt wird) neu, indem Sie in der Dienst-MMC mit der rechten Maustaste darauf klicken oder die folgenden Befehle an einer Eingabeaufforderung ausführen:

net stop adfssrv
Nettostart adfssrv

Wenn Sie die Debug-Protokollierung aktiviert haben, reproduzieren Sie den Fehler und prüfen Sie, ob das Debug-Ereignisprotokoll etwas Nützliches enthält. Möglicherweise haben Sie dabei jedoch ein anderes Problem. Während ADFS in der Produktion verwendet wird, kann die Ereignisanzeige unübersichtlich werden. Wenn Sie einen bestimmten Fehler beheben, können die Ereignisse die Ansicht überladen und die Fehlerbehebung erschweren.
Wenn Sie das ADFS-Ereignisprotokoll filtern, möchten Sie alle Ereignisse erfassen, die sich auf eine bestimmte Transaktion beziehen. Sie müssen einen Filter basierend auf der ActivityID manuell mit den folgenden Schritten definieren:

  1. Öffnen Sie die Ereignisanzeige.
  2. Erweitern Sie in der Konsolenstruktur Anwendungs- und Dienstprotokolle, erweitern ADFS 2.0Klicken Sie dann auf ADFS 2.0 / Admin.
  3. Auf der Aktion Menü, klicken Sie Aktuelles Protokoll filtern.
  4. Drücke den XML Registerkarte, und wählen Sie dann die Abfrage manuell bearbeiten Kontrollkästchen.
  5. Klicken Ja wenn Sie aufgefordert werden, die manuelle Bearbeitung der Abfrage zu bestätigen.
  6. Aktualisieren Sie die Abfrage, um die einzuschließen ActivityID Attribut, das als Bereich des Protokollfilters festgelegt werden soll (ändern ActivityID mit dem genauen Wert von ActivityID von Ihrer Bereitstellung) und klicken Sie dann auf OK. Die Abfrage sieht ungefähr so ​​aus: