排查 AD FS 的问题
Active Directory 联合身份验证服务 (AD FS) 由多个移动部分组成,涉及许多不同的功能,并且具有许多不同的依赖项。 当然,这种复杂性会引起各种问题。 本文旨在助你开始对这些问题进行故障排除。 它将介绍应关注的常见领域、如何启用功能以获取其他信息,以及可用于跟踪问题的各种工具。
注意
有关详细信息,请参阅 AD FS 帮助,它在一个位置提供了有效的工具来帮助用户和管理员更轻松、更快速地解决身份验证问题。
事先检查的内容
在深入了解故障排除之前,应先检查一些事项。 它们是:
- DNS 配置 - 能否解析联合身份验证服务的名称? 这连接应解析为负载均衡器的 IP 地址或场中某个 AD FS 服务器的 IP 地址。 有关详细信息,请参阅 AD FS 故障排除 - DNS。
- AD FS 终结点 - 是否可以浏览到 AD FS 终结点? 通过浏览到此终结点,可以确定 AD FS Web 服务器是否正在响应请求。 如果你可以访问此文件,则表明 AD FS 正在通过 443 为请求提供服务。 有关详细信息,请参阅 AD FS 故障排除 - AD FS 元数据终结点。
- Idp 发起的登录 - 能否通过“Idp 发起的登录”页登录并进行身份验证? 你需要确保此页面已启用,因为它在默认情况下处于禁用状态。 使用
Set-AdfsProperties -EnableIdPInitiatedSignOn $true启用该页面。 如果你可以登录并进行身份验证,则表明 AD FS 正在此领域内工作。 有关详细信息,请参阅 AD FS 故障排除 - idP 发起的登录。
常见故障排除领域
| 名称 | 说明 |
|---|---|
| 事件和日志记录 | 使用 Windows 事件日志通过管理员和跟踪日志查看高级别和低级别信息。 它还可用于查看安全审核。 |
| SQL 连接 | 有关测试 AD FS 服务器与后端 SQL 数据库之间的连接的信息。 |
| 声明颁发 | 有关确定 AD FS 是否正确颁发声明的信息。 |
| 循环检测 | 有关确定和防止用户在标识提供者 (IDP) 和信赖方 (RP) 之间来回弹跳的信息。 |
| 证书 | 可能出现的典型证书问题。 |
| Fiddler | 有关如何安装和使用 Fiddler 的信息。 |
| 使用 Fiddler 进行 WS 联合身份验证 | WS 联合身份验证交互的详细 Fiddler 跟踪。 |
| 声明规则语法 | 有关对声明规则及其语法进行故障排除的信息。 |
| 集成 Windows 身份验证 | 有关对集成身份验证进行故障排除的信息。 |
| Microsoft Entra ID | 有关对 AD FS 与 Microsoft Entra ID 的交互进行故障排除的信息。 |
| AD FS 诊断分析器 | AD FS 帮助诊断分析器使用诊断 PowerShell 模块来执行基本的 AD FS 检查。 |