Active Directory 联合身份验证服务(AD FS)有许多移动部分,涉及许多不同的内容,并且具有许多不同的依赖项。 这种复杂性可能导致各种问题。 本文可帮助你开始排查这些问题。 其中介绍了应关注的常见领域、如何启用功能以获取更多信息以及跟踪问题的各种工具。
事先检查的内容
在深入了解故障排除之前,请先检查以下事项:
- 域名系统(DNS)配置:是否可以解析联合身份验证服务的名称? 此连接应解析为负载均衡器的 IP 地址或您服务器场群中某个 AD FS 服务器的 IP 地址。 有关详细信息,请参阅 AD FS 故障排除:DNS。
- AD FS 终结点:是否可以浏览到 AD FS 终结点? 浏览到此终结点可以确定 AD FS Web 服务器是否响应请求。 如果可以访问此文件,则你知道 AD FS 正在为超过 443 的请求提供服务。 有关详细信息,请参阅 AD FS 故障排除:AD FS 元数据终结点。
- 标识提供者(IdP)发起的登录:是否可以通过 IdP 发起的登录页登录和进行身份验证? 确保启用此页面,因为它默认处于禁用状态。 使用
Set-AdfsProperties -EnableIdPInitiatedSignOn $true以启用页面。 如果可以登录并进行身份验证,则表明 AD FS 正在此区域中工作。 有关详细信息,请参阅 AD FS 故障排除:IdP 发起的登录。
常见故障排除区域
| 名字 | DESCRIPTION |
|---|---|
| 事件和日志记录 | 使用 Windows 事件日志通过管理员和跟踪日志查看高级和低级别信息。 还可以使用日志查看安全审核。 |
| SQL 连接 | 有关如何测试 AD FS 服务器与后端 SQL 数据库之间的连接的信息。 |
| 索赔发放 | 有关如何确定 AD FS 是否正确发出声明的信息。 |
| 循环检测 | 有关如何确定和防止用户在 IdP 和信赖方之间被重复重定向的信息。 |
| 证书 | 可能出现的典型证书问题。 |
| 琴师 | 有关如何安装和使用 Fiddler 的信息。 |
| 使用 Fiddler 进行 WS 联合身份验证 | WS 联合身份验证交互的详细 Fiddler 跟踪。 |
| 声明规则语法 | 有关如何对声明规则及其语法进行故障排除的信息。 |
| 集成 Windows 身份验证 | 有关如何对集成身份验证进行故障排除的信息。 |
| Microsoft Entra ID | 有关如何排查 AD FS 与 Microsoft Entra ID 的交互问题的信息。 |