Solucionar problemas de AD FS
Servicios de federación de Active Directory (AD FS) (AD FS) tiene muchas piezas móviles, toca muchas cosas diferentes y tiene muchas dependencias diferentes. Naturalmente, esta complejidad puede dar lugar a varios problemas. Este artículo está diseñado para ayudarlo a comenzar a solucionar estos problemas. Le presenta las áreas comunes en las que debe concentrarse, cómo habilitar funciones para obtener información adicional y varias herramientas para rastrear problemas.
Nota
Para obtener más información, consulte la ayuda de AD FS, que proporciona herramientas eficaces en un solo lugar que facilitan a los usuarios y administradores la resolución de problemas de autenticación a un ritmo más rápido.
Lo primero que hay que comprobar
Antes de profundizar en la solución de problemas, hay algunas cosas que debe comprobar primero. Son las siguientes:
- Configuración de DNS: ¿puede resolver el nombre del servicio de federación? Esta conexión debe resolverse en la dirección IP del equilibrador de carga o en la dirección IP de uno de los servidores de AD FS de su granja. Para obtener más información, consulte Solucionar problemas de AD FS: DNS.
- Puntos de conexión de AD FS: ¿puede explorar los puntos de conexión de AD FS? Navegar a este punto de conexión puede determinar si su servidor web de AD FS responde o no a las solicitudes. Si puede acceder a este archivo, sabrá que AD FS está atendiendo solicitudes correctamente a través del puerto 443. Para obtener más información, consulte Solución de problemas de AD FS: puntos de conexión de metadatos de AD FS.
- Inicio de sesión iniciado por IdP: ¿puede iniciar sesión y autenticarse a través de la página de inicio de sesión iniciada por IdP? Debe asegurarse de que esta página esté habilitada, ya que está deshabilitada de forma predeterminada. Use
Set-AdfsProperties -EnableIdPInitiatedSignOn $truepara habilitar la página. Si puede iniciar sesión y autenticarse, sabrá que AD FS funciona en esta área. Para obtener más información, consulte Solucionar problemas de AD FS: inicio de sesión iniciado por idP.
Áreas comunes de solución de problemas
| Nombre | Descripción |
|---|---|
| Eventos y registros | Use los registros de eventos de Windows para ver información de alto nivel y bajo mediante los registros de seguimiento y administración. También se pueden usar para ver auditorías de seguridad. |
| Conectividad SQL | Información sobre cómo probar la conectividad entre los servidores de AD FS y las bases de datos SQL de back-end. |
| Emisión de notificaciones | Información sobre cómo determinar si AD FS emite notificaciones correctamente. |
| Detección de bucles | Información sobre cómo determinar e impedir que los usuarios se devuelvan entre el proveedor de identidades (idP) y un usuario de confianza (RP). |
| Certificados | Problemas típicos que pueden surgir con los certificados. |
| Fiddler | Información sobre cómo instalar y usar Fiddler. |
| WS-Federation con Fiddler | Seguimiento detallado de Fiddler de una interacción de WS-Federation. |
| Sintaxis de reglas de notificación | Información sobre la solución de problemas de reglas de notificación y de su sintaxis. |
| Autenticación integrada de Windows | Información sobre la solución de problemas de la autenticación integrada. |
| Microsoft Entra ID | Información sobre la solución de problemas de interacción de AD FS con Microsoft Entra ID. |
| Analizador de diagnósticos de AD FS | El analizador de diagnósticos de la Ayuda de AD FS realiza comprobaciones básicas de AD FS mediante el módulo de diagnóstico de PowerShell. |