Zertifikate und Optimierung für Active Directory-Verbunddienste

Fehlerbehebung und Zertifikate sind ein wichtiger Punkt bei den Active Directory-Verbunddiensten. Wir zeigen, was Sie bei der Nutzung beachten müssen.

Dieser Artikel behandelt

Sharepoint-Management

Im ersten Teil dieser Artikelserie haben wir uns mit der Konfiguration der Active Directory Federation Services...

(ADFS) beziehungsweise Active Directory-Verbunddienste beschäftigt. Die Arbeit mit ADFS ist aber nicht beendet, nachdem das Setup abgeschlossen ist. ADFS ist ein entscheidender Teil ihres Unternehmens, darum ist es wichtig, die Verwaltung und Anpassung zu optimieren. Außerdem muss die Infrastruktur hochverfügbar konfiguriert werden.  Werfen wir einen Blick auf einige der kritischen Schritte, die mit dem Einsatz eines ADFS-Servers im Netzwerk gemacht werden müssen und wie Sie ADFS-Probleme beheben.

Aktualisieren der ADFS-Server Tokensignaturzertifikate

Active Directory Federation Services verwenden ein Tokensignaturzertifikat zum digitalen Signieren der Tokens, welches die ADFS-Infrastruktur erstellt, wenn das System eine Authentifizierung anfordert. Dieses Token wird anschließend zurück an die Quelle der Anfrage geschickt, wenn diese als vertraulich eingestuft ist. Wenn eine ADFS-Vertrauensstellung zwischen zwei Umgebungen erstellt wird, müssen die Tokensignaturzertifikate ausgetauscht werden. Dadurch wird sichergestellt, dass die Remote-Umgebung die Gültigkeit der empfangenen Tokens überprüfen kann.

Standardmäßig verwendet ADFS ein selbst signiertes Zertifikat. Die Empfehlung ist, weiterhin mit selbst signierten Zertifikaten für die Tokensignaturprozesse zu arbeiten. Aber ein Drittanbieter-Zertifikat sollte die Kommunikation, die über Secure Sockets Layer (SSL) abgewickelt wird, schützen. Hier sollten Sie daher möglichst nicht mit selbst signierten Zertifikaten arbeiten.

Das Standardzertifikat wird mit einer Gültigkeitsdauer von einem Jahr ausgestellt. Das bedeutet, dass nach dem ersten Austausch der Tokensignaturzertifikate, ein neues Zertifikat konfiguriert werden muss, bevor das alte abläuft. Außerdem muss das neue Zertifikat wieder mit der Remote-Partner ausgetauscht werden.

Nach der Installation ist ADFS so konfiguriert, dass ein neues Zertifikat ausgestellt wird, wenn das alte abläuft. Dieses Verhalten wird durch das Attribut AutoCertificateRollover der ADFS-Server-Farm gesteuert. Durch Aktivierung kann ADFS automatisch neue Zertifikate generieren. Um die aktuellen ADFS-Eigenschaften zu überprüfen, führen Sie folgenden Befehl aus :

Get-ADFSProperties | Select AutoCertificateRollOver

Wenn der Remote-Partner die dynamische Aktualisierung für die Verbundmetadaten unterstützt, müssen Sie ansonsten keinerlei Einstellungen ändern oder weitere Aktionen ausführen, die Zertifikate betreffen. Doch Office 365 unterstützt diesen Vorgang leider nicht, sodass Sie das Zertifikat manuell aktualisieren müssen. Um die Verbundmetadaten in Office 365 manuell zu aktualisieren, führen Sie die folgenden Befehle von einem Computer mit der ADFS-Server-Rolle aus:

Connect-MSOLService –Credential (Get-Credentials)

Update-MSOLFederatedDomain –DomainName <domainname>

Sie können ähnliche Befehle von einem Server ausführen, auf dem ADFS nicht installiert ist oder das Skript von Microsoft ausführen. Wenn Sie ADFS unter Windows Server 2008 ausführen, müssen Sie das ADFS PowerShell-Snap-in vor der Verwendung von ADFS-Cmdlets laden. Dazu gehen Sie folgendermaßen vor:

Add-PsSnapin Microsoft.ADFS.PowerShell

Ändern des primären Verbundservers

Der primäre Verbundserver ist entscheidend in einer Verbunddienst-Farm, wenn die Windows Internal Database verwendet wird. Der erste Server, den Sie in der Farm installieren, ist automatisch der primäre Verbundserver. Alle nachfolgenden Verbundserver, die der Farm hinzugefügt werden, synchronisieren die Konfigurationsdaten alle fünf Minuten vom primären Server. Die Daten werden anschließend in die lokale Konfigurations-Datenbank des Servers gespeichert.  

Die anderen Server in der Infrastruktur bleiben in Betrieb, wenn der primäre Server im Verbund ausfällt. Diese Server sind aber nicht in der Lage, Änderungen an der Konfiguration von ADFS vorzunehmen, bis der primäre Verbundserver wiederhergestellt ist oder ein anderes Verbundserver als primären Server heraufgestuft wird.

Um einen sekundären Verbundserver zum primären heraufzustufen, führen Sie folgende Befehle auf dem sekundären Server aus:

Add-PsSnapin Microsoft.Adfs.PowerShell

Set-AdfsSyncProperties -Role PrimaryComputer

Wenn Sie einen neuen Primärserver eingerichtet haben, müssen Sie die anderen sekundären Verbundserver mit dem neuen primären Verbundserver verbinden. Verwenden Sie dazu diesen Befehl, um auf den verbleibenden Farm-Mitgliedsservern die Synchronisierung zu starten und den neuen Server zu hinterlegen:

Add-PsSnapin Microsoft.Adfs.Powershell

Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName {FQDN of the Primary Federation Server}

Fehlerbehebung bei einem ADFS-Server

Die Fehlerbehebung in ADFS ist nicht gerade einfach, vor allem, da es eine Menge von beteiligten Diensten und Servern gibt. Zuerst müssen Sie sicherstellen, dass Sie mehr Informationen aus Ihrer ADFS-Server-Farm auslesen können. Ohne fundierte Informationen ist eine optimale Fehlerbehebung kaum möglich. Das Anwendungsereignisprotokoll bietet nur begrenzte Informationen, da es keine Debug-Informationen bietet. Sie müssen also erst ein Debug-Log für ADFS erstellen und auslesen.

Öffnen Sie dazu die Ereignisanzeige, klicken Sie auf das Menü Ansicht und wählen Analytische und Debugprotokolle einblenden. Danach müssen Sie die Ansicht aktualisieren, damit ADFS 2.0 Tracing-Log zu sehen ist. Hier lassen sich Fehler schneller finden, als in der Standardansicht.

Mit einemRechtsklick auf das Debug-Protokoll können Sie das Protokoll aktivieren. Starten Sie den Windows-Dienst ADFS 2.0, zum Beispiel über die Eingabeaufforderung, die den Dienst als adfssrv in darstellt. Sie können den Dienst in der Diensteverwaltung starten oder in der Eingabeaufforderung über die folgenden beiden Befehle:

net stop adfssrv

net start adfssrv

Sobald Sie die Debug-Protokollierung aktiviert haben, können Sie den Fehler reproduzieren und sehen, ob das Debug-Ereignisprotokoll beim Fehlersuchen helfen kann. Sie können den aufgetreten Fehler zum Beispiel reproduzieren und dann erneut das Protokoll überprüfen. Wenn Sie ADFS bereits in der Produktion verwenden, kann die Ereignisanzeige unübersichtlich werden. Wenn Sie einen bestimmte Fehler beheben, könnten es unübersichtlich werden und es könnte schwierig sein, dieses zu beheben.

Beim Filtern des ADFS-Ereignisprotokolls können Sie auch alle Ereignisse einer bestimmten Transaktion filtern. Sie müssen dazu nur einen Filter basierend auf der ActivityID mit den folgenden Schritten erstellen:

  1. Öffnen Sie die Ereignisanzeige.
  2. Erweitern Sie  Anwendungs ​​-und Dienstprotokolle und dann den Admin-Bereich beim ADFS-Protokoll.
  3. Wählen Sie aus dem Menü Aktion den Punkt Aktuelles Protokoll filtern.
  4. Klicken Sie auf die Registerkarte XML, und wählen Sie Manuell bearbeiten
  5. Klicken Sie auf Ja, wenn Sie aufgefordert werden, die manuelle Bearbeitung der Abfrage zu bestätigen.
  6. Eine Beispielabfrage kann wie folgt aussehen:

<QueryList>
                <Query Id="0" Path="AD FS 2.0 Eventing/Admin">
                 <Select Path=" AD FS 2.0/Admin "> * [System [ Correlation [@ ActivityID = ' { 77269359 - 0b7d - 45cb - 9760 - e3a4009883d9 }' ]]] </ Select >
                 < / Query >
</ Querylist >

ADFS
Mit einer benutzerdefinierten Abfrage können Sie Fehlermeldungen in ADFS besser auslesen.

Deaktivieren Sie benutzerdefinierte Fehler auf einem ADFS-Server

Standardmäßig (und aus Sicherheitsgründen) zeigt ADFS nicht genau, wann ein Fehler auftritt.  Allerdings sind mehr Details über einen Fehler hilfreich bei der Fehlersuche. Eine normale Fehlermeldung ist nicht hilfreich, und auf den ersten Blick generisch. Sie können auf dem Webserver aber Anpassungen vornehmen, damit die Meldungen ausführlicher sind.

Fügen Sie den folgenden Schlüssel zu der Datei web.config hinzu, um benutzerdefinierte Fehler anzuzeigen. Diese ist normalerweise in C:\InetPub\Adfs\ls zu finden. Suchen Sie die Zeile <system.web> und fügen Sie den Eintrag <customErrors mode="Off" /> hinzu. Vergessen Sie nicht, den Schlüssel danach zu entfernen, da ansonsten auch an andere Anwender die Informationen weitergeben können.

Folgen Sie SearchDataCenter.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sharepoint-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close