Felsöka AD FS
Active Directory Federation Services (AD FS) har många rörliga delar, berör många olika saker och har många olika beroenden. Den här komplexiteten kan ge upphov till olika problem. Den här artikeln hjälper dig att komma igång med felsökning av dessa problem. Den introducerar dig till de gemensamma områden där du bör fokusera, hur du aktiverar funktioner för mer information och de olika verktygen för att spåra problem.
Vad du ska kontrollera först
Innan du går in på djupgående felsökning bör du kontrollera följande först:
- DNS-konfiguration (Domain Name System): Kan du lösa namnet på federationstjänsten? Den här anslutningen bör matcha antingen lastbalanserarens IP-adress eller IP-adressen för en av AD FS-servrarna i servergruppen. Mer information finns i AD FS-felsökning: DNS-.
- AD FS-slutpunkter: Kan du bläddra bland AD FS-slutpunkterna? Om du bläddrar till den här slutpunkten kan du avgöra om AD FS-webbservern svarar på begäranden eller inte. Om du kan komma åt den här filen vet du att AD FS hanterar begäranden över 443. Mer information finns i AD FS-felsökning: AD FS-metadataslutpunkter.
-
Identity Provider (IdP)-initierad inloggning: Kan du logga in och autentisera via den IdP-initierade inloggningssidan? Kontrollera att den här sidan är aktiverad eftersom den är inaktiverad som standard. Använd
Set-AdfsProperties -EnableIdPInitiatedSignOn $trueför att aktivera sidan. Om du kan logga in och autentisera vet du att AD FS fungerar i det här området. Mer information finns i AD FS-felsökning: IdP-initierad inloggning.
Vanliga felsökningsområden
| Namn | Beskrivning |
|---|---|
| händelser och loggning | Använd Windows-händelseloggar för att visa information på hög nivå och låg nivå via administratörs- och spårningsloggarna. Du kan också använda loggar för att visa säkerhetsgranskning. |
| SQL-anslutning | Information om hur du testar anslutningen mellan dina AD FS-servrar och sql-databaserna i serverdelen. |
| Utfärdande av krav | Information om hur du avgör om AD FS utfärdar anspråk korrekt. |
| Loopdetektering | Information om hur du fastställer och förhindrar att användare bollas fram och tillbaka mellan IdP och en förlitande part. |
| certifikat | Vanliga certifikatproblem som kan uppstå. |
| Fiddler | Information om hur du installerar och använder Fiddler. |
| WS-Federation med Fiddler | Detaljerad Fiddler-spårning av en WS-Federation interaktion. |
| syntax för anspråksregler | Information om hur man felsöker anspråksregler och deras syntax. |
| Integrerad Windows-autentisering | Information om hur du felsöker integrerad autentisering. |
| Microsoft Entra ID | Information om hur du felsöker AD FS-interaktion med Microsoft Entra-ID. |