疑難排解 AD FS
Active Directory 同盟服務 (AD FS) 有許多移動片段,觸及許多不同的事物,並具有許多不同的相依性。 當然,這種複雜性可能會引發各種問題。 本文旨在讓您開始針對這些問題進行疑難排解。 其中介紹您應該關注的常見區域、如何啟用功能以取得其他資訊,以及追蹤問題的各種工具。
注意
如需詳細資訊,請參閱 AD FS 說明,其在單一位置提供有效的工具,讓使用者和系統管理員能夠更快速地解決驗證問題。
要先檢查什麼
在深入探討疑難排解之前,您應該先檢查一些事項。 其中包括:
- DNS 組態 - 您是否可解析同盟服務的名稱? 此連線應該解析為負載平衡器的 IP 位址,或伺服器陣列中其中一部 AD FS 伺服器的 IP 位址。 如需詳細資訊,請參閱 AD FS 疑難排解 - DNS。
- AD FS 端點 - 您可以瀏覽至 AD FS 端點嗎? 瀏覽至此端點可以判斷您的 AD FS 網頁伺服器是否正在回應要求。 如果您可取得此檔案,則您知道 AD FS 正在服務超過 443 的要求。 如需詳細資訊,請參閱 AD FS 疑難排解 - AD FS 中繼資料端點。
- Idp 起始的登入 - 您可以透過 idP 起始的登入頁面登入和驗證嗎? 您必須確定此頁面已啟用,因為其預設為停用。 使用
Set-AdfsProperties -EnableIdPInitiatedSignOn $true來啟用此頁面。 如果您可以登入並驗證,則您知道 AD FS 正在此區域中運作。 如需詳細資訊,請參閱 AD FS 疑難排解 - idP 起始的登入。
一般疑難排解區域
| 名稱 | 描述 |
|---|---|
| 事件與記錄 | 使用 Windows 事件記錄檔,透過系統管理員和追蹤記錄檢視高階和低階資訊。 其也可用來檢視安全性稽核。 |
| SQL 連線 | 有關測試 AD FS 伺服器與後端 SQL 資料庫之間連線的資訊。 |
| 宣告發行 | 有關判斷 AD FS 是否正確發出宣告的資訊。 |
| 迴圈偵測 | 有關判斷及防止使用者在識別提供者 (idP)與信賴憑證者(RP) 之間來回彈跳的資訊。 |
| 憑證 | 可能發生的一般憑證問題。 |
| Fiddler | 有關如何安裝和使用 Fiddler 的資訊。 |
| WS 同盟與 Fiddler | WS 同盟互動的詳細 Fiddler 追蹤。 |
| 宣告規則語法 | 有關疑難排解宣告規則及其語法的資訊。 |
| 整合式 Windows 驗證 | 有關疑難排解整合式驗證的資訊。 |
| Microsoft Entra ID | 有關針對 AD FS 與 Microsoft Entra ID 互動進行疑難排解的相關資訊。 |
| AD FS 診斷分析器 | AD FS 說明診斷分析器會使用診斷 PowerShell 模組來執行基本 AD FS 檢查。 |