Solución de problemas de AD FS: eventos y registro

  • Artículo
  • Tiempo de lectura: 7 minutos

AD FS proporciona dos registros principales que se pueden usar en la solución de problemas. Son las siguientes:

  • registro de administración
  • registro de seguimiento

Cada uno de estos registros se explicará a continuación.

Registro de administración

El registro de administración proporciona información de alto nivel sobre los problemas que se producen y está habilitado de forma predeterminada.

Para ver el registro de administrador

  1. Abra el visor de eventos.
  2. Expanda Registro de aplicaciones y servicios.
  3. Expanda AD FS.
  4. Haga clic en Admin (Administrador).

Screenshot of the Event Viewer with the Admin option called out.

Registro de seguimiento

El registro de seguimiento es donde se registran los mensajes detallados y será el registro más útil al solucionar problemas. Dado que se puede generar mucha información de registro de seguimiento en un breve período de tiempo, lo que puede afectar al rendimiento del sistema, los registros de seguimiento están deshabilitados de forma predeterminada.

Para habilitar y ver el registro de seguimiento

  1. Abra el visor de eventos.
  2. Haga clic con el botón derecho en Registro de aplicaciones y servicios y seleccione ver y haga clic en Mostrar registros analíticos y de depuración. Esto mostrará nodos adicionales a la izquierda. Screenshot of the Event Viewer showing that the user right-clicked Applications and Services Log and selected View with the Show Analytic and Debug Logs option called out.
  3. Expandir seguimiento de AD FS
  4. Haga clic con el botón derecho en Depurar y seleccione Habilitar registro. Screenshot of the Event Viewer showing that the user right-clicked Debug with the Enable Log option called out.

Información de auditoría de eventos para AD FS en Windows Server 2016

De forma predeterminada, AD FS en Windows Server 2016 tiene habilitado un nivel básico de auditoría. Con la auditoría básica, los administradores verán 5 o menos eventos para una sola solicitud. Esto marca una disminución significativa del número de eventos que los administradores tienen que examinar para ver una sola solicitud. El nivel de auditoría se puede elevar o reducir mediante el cmdlt de PowerShell:

Set-AdfsProperties -AuditLevel

En la tabla siguiente se explican los niveles de auditoría disponibles.

Nivel de auditoría Sintaxis de PowerShell Descripción
None Set-AdfsProperties -LogLevel None La auditoría está deshabilitada y no se registrará ningún evento.
Básico (predeterminado) Set-AdfsProperties -LogLevel Basic No se registrarán más de cinco eventos para una única solicitud.
Verbose Set-AdfsProperties -LogLevel Detallado Se registrarán todos los eventos. Este registrará una cantidad significativa de información por solicitud.

Para ver el nivel de auditoría actual, puede usar el cmdlt de PowerShell: Get-AdfsProperties.

Screenshot of the PowerShell window showing the results of the Get-AdfsProperties cmdlet with the Audit Level property called out.

El nivel de auditoría se puede elevar o reducir mediante el cmdlt de PowerShell: Set-AdfsProperties -AuditLevel.

Screenshot of the PowerShell window showing the Set-AdfsProperties -AuditLevel Verbose cmdlet typed in the command prompt.

Tipos de eventos

Los eventos de AD FS pueden ser de diferentes tipos, en función de los distintos tipos de solicitudes procesadas por AD FS. Cada tipo de evento tiene datos específicos asociados. El tipo de eventos se puede diferenciar entre las solicitudes de inicio de sesión (es decir, las solicitudes de token) frente a las solicitudes del sistema (llamadas de servidor-servidor, incluida la captura de información de configuración).

En la tabla siguiente se describen los tipos básicos de eventos.

Tipo de evento Id. de evento Descripción
Actualización correcta de la validación de credenciales 1202 Solicitud en la que el servicio de federación valida correctamente las credenciales nuevas. Esto incluye WS-Trust, WS-Federation, SAML-P (primera etapa para generar SSO) y OAuth Authorize Endpoints.
Error de validación de credenciales nuevas 1203 Solicitud en la que se produjo un error en la validación de credenciales nuevas en el servicio de federación. Esto incluye WS-Trust, WS-Fed, SAML-P (primera etapa para generar SSO) y OAuth Authorize Endpoints.
Éxito del token de aplicación 1200 Solicitud en la que el servicio de federación emite correctamente un token de seguridad. Para WS-Federation, SAML-P se registra cuando la solicitud se procesa con el artefacto de SSO. (por ejemplo, la cookie de SSO).
Error de token de aplicación 1201 Solicitud en la que se produjo un error en la emisión de tokens de seguridad en el servicio de federación. Para WS-Federation, SAML-P se registra cuando la solicitud se procesó con el artefacto de SSO. (por ejemplo, la cookie de SSO).
Solicitud de cambio de contraseña correcta 1204 Transacción en la que el Servicio de federación procesó correctamente la solicitud de cambio de contraseña.
Error de solicitud de cambio de contraseña 1205 Transacción en la que el Servicio de federación no pudo procesar la solicitud de cambio de contraseña.
Cierre de sesión correcto 1206 Describe una solicitud de cierre de sesión correcta.
Error de cierre de sesión 1207 Describe una solicitud de cierre de sesión con errores.

Auditoría de seguridad

La auditoría de seguridad de la cuenta de servicio de AD FS a veces puede ayudar a realizar un seguimiento de problemas con las actualizaciones de contraseñas, el registro de solicitudes y respuestas, los encabezados de solicitud y los resultados del registro de dispositivos. La auditoría de la cuenta de servicio de AD FS está deshabilitada de forma predeterminada.

Para habilitar la auditoría de seguridad

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad local.
  2. Navegue a la carpeta Configuración de seguridad\Directivas locales\Administración de permisos del usuario y haga doble clic en Generar auditorías de seguridad.
  3. En la pestaña Configuración de seguridad local , compruebe que aparezca la cuenta de servicio de AD FS. Si no aparece, haga clic en Agregar usuario o grupo y agréguelo a la lista; después, haga clic en Aceptar.
  4. Abra un símbolo del sistema con privilegios elevados y ejecute el siguiente comando para habilitar la auditoría auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
  5. Cierre Directiva de seguridad local y luego abra el complemento Administración de AD FS.

Para abrir el complemento Administración de AD FS, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Administración de AD FS.

  1. En el panel Acciones, haga clic en Editar propiedades del servicio de federación.
  2. En el cuadro de diálogo Propiedades del servicio de federación, haga clic en la pestaña Eventos.
  3. Active las casillas Auditorías de aciertos y Auditorías de errores.
  4. Haga clic en Aceptar.

Screenshot of the Events tab of the Federation Service Properties dialog box showing the Success audits and Failure audits options are selected.

Nota

Las instrucciones anteriores solo se usan cuando AD FS está en un servidor miembro independiente. Si AD FS se ejecuta en un controlador de dominio, en lugar de la directiva de seguridad local, use la directiva de controlador de dominio predeterminada ubicada en directiva de grupo administración, bosque, dominios o controladores de dominio. Haga clic en Editar y vaya a Configuración del equipo\Directivas\Windows Configuración\Seguridad Configuración\Directivas locales\User Rights Management

mensajes de Windows Communication Foundation y Windows Identity Foundation

Además del registro de seguimiento, a veces es posible que tenga que ver Windows Communication Foundation (WCF) y Windows mensajes de Identity Foundation (WIF) para solucionar un problema. Para ello, modifique el archivo Microsoft.IdentityServer.ServiceHost.Exe.Config en el servidor de AD FS.

Este archivo se encuentra en <%system root%>\Windows\ADFS y está en formato XML. A continuación se muestran las partes pertinentes del archivo:

<!-- To enable WIF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>

<!-- To enable WCF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="System.ServiceModel" switchValue="Off" > … </source>

Después de aplicar estos cambios, guarde la configuración y reinicie el servicio AD FS. Después de habilitar estos seguimientos estableciendo los modificadores adecuados, aparecerán en el registro de seguimiento de AD FS en el Windows Visor de eventos.

Correlacionar eventos

Una de las cosas más difíciles de solucionar es problemas de acceso que generan una gran cantidad de eventos de error o depuración.

Para ayudar con esto, AD FS correlaciona todos los eventos que se registran con el Visor de eventos, tanto en el administrador como en los registros de depuración, que corresponden a una solicitud determinada mediante un identificador único global (GUID) denominado id. de actividad. Este identificador se genera cuando la solicitud de emisión de tokens se presenta inicialmente a la aplicación web (para las aplicaciones que usan el perfil del solicitante pasivo) o las solicitudes enviadas directamente al proveedor de notificaciones (para las aplicaciones que usan WS-Trust).

Screenshot of the Details tab of the event Properties dialog box with the Active I D value called out.

Este identificador de actividad sigue siendo el mismo durante toda la solicitud y se registra como parte de cada evento registrado en el Visor de eventos para esa solicitud. Esto significa lo siguiente:

  • que el filtrado o la búsqueda de la Visor de eventos mediante este identificador de actividad pueden ayudar a realizar un seguimiento de todos los eventos relacionados que corresponden a la solicitud de token.
  • el mismo identificador de actividad se registra en diferentes máquinas, lo que le permite solucionar problemas de una solicitud de usuario en varias máquinas, como el proxy del servidor de federación (FSP).
  • El identificador de actividad también aparecerá en el explorador del usuario si se produce un error en la solicitud de AD FS, lo que permite al usuario comunicar este identificador al departamento de soporte técnico o al soporte técnico de TI.

Screenshot of the Details tab of the event Properties dialog box with the client request I D value called out.

Para ayudar en el proceso de solución de problemas, AD FS también registra el evento de identificador de llamada cada vez que se produce un error en el proceso de emisión de tokens en un servidor de AD FS. Este evento contiene el tipo de notificación y el valor de uno de los siguientes tipos de notificación, suponiendo que esta información se pasó al servicio de federación como parte de una solicitud de token:

  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
  • http://schemas.xmlsoap.org/claims/UPN
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/claims/EmailAddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/name
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier

El evento de identificador de llamada también registra el identificador de actividad para permitirle usar ese identificador de actividad para filtrar o buscar los registros de eventos de una solicitud determinada.

Pasos siguientes