Delen via

Controleverbeteringen voor AD FS in Windows Server 2016

Momenteel zijn er in AD FS voor Windows Server 2012 R2 talloze controlegebeurtenissen gegenereerd voor één aanvraag en de relevante informatie over een aanmeldings- of tokenuitgifteactiviteit is afwezig (in sommige versies van AD FS) of verspreid over meerdere controlegebeurtenissen. Van nature worden de AD FS-controlegebeurtenissen uitgeschakeld vanwege hun gedetailleerde aard.

Met de release van AD FS in Windows Server 2016 is het toezicht gestroomlijnder geworden en minder omslachtig.

Controleniveaus in AD FS voor Windows Server 2016

AD FS in Windows Server 2016 heeft standaard auditing ingeschakeld. Met basiscontrole zien beheerders vijf of minder gebeurtenissen voor één aanvraag. Dit markeert een aanzienlijke afname van het aantal gebeurtenissen dat beheerders moeten bekijken om één aanvraag te zien. Het controleniveau kan worden verhoogd of verlaagd met behulp van de PowerShell-cmdlet: Set-AdfsProperties -AuditLevel. In de onderstaande tabel worden de beschikbare controleniveaus uitgelegd.

Controleniveau PowerShell-syntaxis Beschrijving
Geen Set-AdfsProperties - AuditNiveau Geen Controle is uitgeschakeld en er worden geen gebeurtenissen geregistreerd.
Basic (Standaard) Set-AdfsProperties - AuditNiveau Basis Er worden niet meer dan 5 gebeurtenissen geregistreerd voor één aanvraag
Breedsprakig Set-AdfsProperties - AuditLevel Uitgebreid Alle gebeurtenissen worden geregistreerd. Hiermee wordt een aanzienlijke hoeveelheid informatie per aanvraag vastgelegd.

Als u het huidige controleniveau wilt weergeven, kunt u de PowerShell-cmdlet Get-AdfsProperties gebruiken.

Schermopname die laat zien hoe u de cmdlet Get-AdfsProperties gebruikt.

Het controleniveau kan worden verhoogd of verlaagd met behulp van de PowerShell-cmdlet: Set-AdfsProperties -AuditLevel.

controleverbeteringen

Typen controlegebeurtenissen

AD FS-controlegebeurtenissen kunnen van verschillende typen zijn, op basis van de verschillende typen aanvragen die door AD FS worden verwerkt. Aan elk type controlegebeurtenis zijn specifieke gegevens gekoppeld. Het type controlegebeurtenissen kan worden onderscheiden tussen aanmeldingsaanvragen (bijvoorbeeld tokenaanvragen) versus systeemaanvragen (server-serveraanroepen, inclusief het ophalen van configuratiegegevens).

In de onderstaande tabel worden de basistypen van controlegebeurtenissen beschreven.

Type controlegebeurtenis Gebeurtenis-id Beschrijving
Geslaagde validatie van nieuwe inloggegevens 1202 Een aanvraag waarbij nieuwe inloggegevens met succes zijn gevalideerd door de Federation Service. Dit omvat WS-Trust, WS-Federation, SAML-P (eerste stap om SSO te genereren) en OAuth autorisatie-eindpunten.
Een recente referentievalidatiefout 1203 Een aanvraag waarbij de validatie van nieuwe referenties is mislukt op de Federation-service. Dit omvat WS-Trust, WS-Fed, SAML-P (eerste stap voor het genereren van eenmalige aanmelding) en OAuth-autorisatie-eindpunten.
Applicatietoken succesvol 1200 Een aanvraag waarbij met succes een beveiligingstoken is uitgegeven door de Federation Service. Voor WS-Federation SAML-P wordt dit geregistreerd wanneer de aanvraag wordt verwerkt met het SSO-artefact. (zoals de cookie voor eenmalige aanmelding).
Fout bij toepassingstoken 1201 Een verzoek waarbij de uitgifte van beveiligingstokens is mislukt op de Federation Service. Dit wordt geregistreerd voor WS-Federation SAML-P wanneer de aanvraag is verwerkt met het SSO-artefact. (zoals de cookie voor eenmalige aanmelding).
Geslaagde wachtwoordwijzigingsaanvraag 1204 Een transactie waarbij de aanvraag voor wachtwoordwijziging is verwerkt door de Federation-service.
Fout bij aanvraag voor wachtwoordwijziging 1205 Een transactie waarbij de aanvraag voor wachtwoordwijziging niet kan worden verwerkt door de Federation-service.
Afmelden geslaagd 1206 Beschrijft een geslaagde afmeldingsaanvraag.
Afmeldingsfout 1207 Beschrijft een mislukte afmeldingsaanvraag.