Pemecahan Masalah Layanan Federasi Direktori Aktif - Peristiwa dan Pengelogan

  • Artikel
  • 5 menit untuk membaca

Layanan Federasi Direktori Aktif menyediakan dua log utama yang dapat digunakan dalam pemecahan masalah. Mereka:

  • Log Admin
  • Log Jejak

Masing-masing log ini akan dijelaskan di bawah ini.

Admin Log

Log Admin menyediakan informasi tingkat tinggi tentang masalah yang terjadi dan diaktifkan secara default.

Untuk melihat log admin

  1. Buka Pemantau Peristiwa
  2. Perluas Log Aplikasi dan Layanan.
  3. Perluas Layanan Federasi Direktori Aktif.
  4. Klik Admin.

Screenshot of the Event Viewer with the Admin option called out.

Log Jejak

Log Pelacakan adalah tempat pesan terperinci dicatat, dan akan menjadi log yang paling berguna saat memecahkan masalah. Karena banyak informasi log jejak dapat dihasilkan dalam waktu singkat, yang dapat memengaruhi performa sistem, log jejak dinonaktifkan secara default.

Untuk mengaktifkan dan melihat log jejak

  1. Buka Pemantau Peristiwa
  2. Klik kanan pada Log Aplikasi dan Layanan dan pilih tampilan dan klik Tampilkan Log Analitik dan Debug. Ini akan menampilkan simpul tambahan di sebelah kiri. Screenshot of the Event Viewer showing that the user right-clicked Applications and Services Log and selected View with the Show Analytic and Debug Logs option called out.
  3. Perluas Pelacakan Layanan Federasi Direktori Aktif
  4. Klik kanan debug dan pilih Aktifkan Log. Screenshot of the Event Viewer showing that the user right-clicked Debug with the Enable Log option called out.

Informasi audit peristiwa untuk Layanan Federasi Direktori Aktif di Windows Server 2016

Secara default, Layanan Federasi Direktori Aktif di Windows Server 2016 memiliki tingkat audit dasar yang diaktifkan. Dengan audit dasar, administrator akan melihat 5 peristiwa atau kurang untuk satu permintaan. Ini menandai penurunan signifikan dalam jumlah peristiwa yang harus dilihat administrator, untuk melihat satu permintaan. Tingkat audit dapat dinaikkan atau diturunkan menggunakan cmdlt PowerShell:

Set-AdfsProperties -AuditLevel

Tabel di bawah ini menjelaskan tingkat audit yang tersedia.

Tingkat Audit Sintaks PowerShell Deskripsi
Tidak ada Set-AdfsProperties -LogLevel None Audit dinonaktifkan dan tidak ada peristiwa yang akan dicatat.
Dasar (Default) Set-AdfsProperties -LogLevel Basic Tidak lebih dari 5 peristiwa akan dicatat untuk satu permintaan
Verbose Set-AdfsProperties -LogLevel Verbose Semua peristiwa akan dicatat. Ini akan mencatat sejumlah besar informasi per permintaan.

Untuk melihat tingkat audit saat ini, Anda bisa menggunakan cmdlt PowerShell: Get-AdfsProperties.

Screenshot of the PowerShell window showing the results of the Get-AdfsProperties cmdlet with the Audit Level property called out.

Tingkat audit dapat dinaikkan atau diturunkan menggunakan cmdlt PowerShell: Set-AdfsProperties -AuditLevel.

Screenshot of the PowerShell window showing the Set-AdfsProperties -AuditLevel Verbose cmdlet typed in the command prompt.

Jenis Peristiwa

Peristiwa Layanan Federasi Direktori Aktif dapat dari berbagai jenis, berdasarkan berbagai jenis permintaan yang diproses oleh Layanan Federasi Direktori Aktif. Setiap jenis peristiwa memiliki data tertentu yang terkait dengannya. Jenis peristiwa dapat dibingkai antara permintaan masuk (yaitu permintaan token) versus permintaan sistem (panggilan server-server termasuk mengambil informasi konfigurasi).

Tabel di bawah ini menjelaskan jenis peristiwa dasar.

Jenis Acara ID Peristiwa Deskripsi
Validasi Kredensial Baru Berhasil 1202 Permintaan di mana kredensial baru berhasil divalidasi oleh Layanan Federasi. Ini termasuk WS-Trust, WS-Federation, SAML-P (leg pertama untuk menghasilkan SSO) dan OAuth Authorize Endpoints.
Kesalahan Validasi Kredensial Baru 1203 Permintaan di mana validasi kredensial baru gagal pada Layanan Federasi. Ini termasuk WS-Trust, WS-Fed, SAML-P (leg pertama untuk menghasilkan SSO) dan OAuth Authorize Endpoints.
Keberhasilan Token Aplikasi 1200 Permintaan di mana token keamanan berhasil dikeluarkan oleh Layanan Federasi. Untuk WS-Federation, SAML-P ini dicatat ketika permintaan diproses dengan artefak SSO. (seperti cookie SSO).
Kegagalan Token Aplikasi 1201 Permintaan di mana penerbitan token keamanan gagal pada Layanan Federasi. Untuk WS-Federation, SAML-P ini dicatat ketika permintaan diproses dengan artefak SSO. (seperti cookie SSO).
Permintaan Perubahan Kata Sandi Berhasil 1204 Transaksi di mana permintaan perubahan kata sandi berhasil diproses oleh Layanan Federasi.
Kesalahan Permintaan Perubahan Kata Sandi 1205 Transaksi di mana permintaan perubahan kata sandi gagal diproses oleh Layanan Federasi.
Keberhasilan Keluar 1206 Menjelaskan permintaan keluar yang berhasil.
Kegagalan Keluar 1207 Menjelaskan permintaan keluar yang gagal.

Audit Keamanan

Audit keamanan akun layanan Layanan Federasi Direktori Aktif terkadang dapat membantu melacak masalah dengan pembaruan kata sandi, pengelogan permintaan/respons, header kontect permintaan, dan hasil pendaftaran perangkat. Audit akun layanan Ad FS dinonaktifkan secara default.

Untuk mengaktifkan audit keamanan

  1. Klik Mulai, arahkan ke Program, arahkan ke Alat Administratif, lalu klik Kebijakan Keamanan Lokal.
  2. Navigasi ke folder Security Pengaturan\Local Policies\User Rights Management, lalu klik dua kali Buat audit keamanan.
  3. Pada tab Pengaturan Keamanan Lokal, verifikasi bahwa akun AD FS tercantum. Jika tidak ada, klik Tambahkan Pengguna atau Grup dan tambahkan ke daftar, lalu klik OK.
  4. Buka prompt perintah dengan hak istimewa yang ditinggikan dan jalankan perintah berikut untuk mengaktifkan audit auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable
  5. Tutup Kebijakan Keamanan Lokal, lalu buka snap-in Manajemen Layanan Federasi Direktori Aktif.

Untuk membuka snap-in Manajemen Layanan Federasi Direktori Aktif, klik Mulai, arahkan ke Program, arahkan ke Alat Administratif, lalu klik Manajemen Layanan Federasi Direktori Aktif.

  1. Di panel Tindakan, klik Edit Properti Layanan Federasi
  2. Dalam kotak dialog Properti Layanan Federasi, klik tab Peristiwa.
  3. Pilih kotak centang Audit keberhasilan dan Audit kegagalan .
  4. Klik OK.

Screenshot of the Events tab of the Federation Service Properties dialog box showing the Success audits and Failure audits options are selected.

Catatan

Instruksi di atas hanya digunakan ketika Layanan Federasi Direktori Aktif berada di server anggota yang berdiri sendiri. Jika Layanan Federasi Direktori Aktif berjalan pada pengendali domain, alih-alih Kebijakan Keamanan Lokal, gunakan Kebijakan Pengendali Domain Default yang terletak di Kebijakan Grup Pengelolaan/Hutan/Domain/Pengendali Domain. Klik edit dan navigasikan ke Computer Configuration\Policies\Windows Pengaturan\Security Pengaturan\Local Policies\User Rights Management

Pesan Windows Communication Foundation dan Windows Identity Foundation

Selain melacak pengelogan, terkadang Anda mungkin perlu melihat pesan Windows Communication Foundation (WCF) dan Windows Identity Foundation (WIF) untuk memecahkan masalah. Ini dapat dilakukan dengan memodifikasi file Microsoft.IdentityServer.ServiceHost.Exe.Config di server Layanan Federasi Direktori Aktif.

File ini terletak di <%system root%>\Windows\ADFS dan dalam format XML. Bagian file yang relevan ditunjukkan di bawah ini:

<!-- To enable WIF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="Microsoft.IdentityModel" switchValue="Off"> … </source>

<!-- To enable WCF tracing, change the switchValue below to desired trace level - Verbose, Information, Warning, Error, Critical -->

<source name="System.ServiceModel" switchValue="Off" > … </source>

Setelah Anda menerapkan perubahan ini, simpan konfigurasi, dan mulai ulang layanan Ad FS. Setelah Anda mengaktifkan jejak ini dengan mengatur sakelar yang sesuai, jejak tersebut akan muncul di log jejak Layanan Federasi Direktori Aktif di Windows Pemantau Peristiwa.

Peristiwa Yang Berkorelasi

Salah satu hal tersulit untuk memecahkan masalah adalah masalah akses yang menghasilkan banyak peristiwa kesalahan atau debug.

Untuk membantu hal ini, Layanan Federasi Direktori Aktif menghubungkan semua peristiwa yang direkam ke Pemantau Peristiwa, baik di admin maupun log debug, yang sesuai dengan permintaan tertentu dengan menggunakan Pengidentifikasi Unik Global (GUID) unik yang disebut ID Aktivitas. ID ini dihasilkan ketika permintaan penerbitan token awalnya disajikan ke aplikasi web (untuk aplikasi yang menggunakan profil pemohon pasif) atau permintaan yang dikirim langsung ke penyedia klaim (untuk aplikasi yang menggunakan WS-Trust).

Screenshot of the Details tab of the event Properties dialog box with the Active I D value called out.

ID aktivitas ini tetap sama selama seluruh durasi permintaan, dan dicatat sebagai bagian dari setiap peristiwa yang dicatat dalam Pemantau Peristiwa untuk permintaan tersebut. Ini berarti:

  • pemfilteran atau pencarian Pemantau Peristiwa menggunakan ID aktivitas ini dapat membantu melacak semua peristiwa terkait yang sesuai dengan permintaan token
  • ID aktivitas yang sama dicatat di berbagai komputer yang memungkinkan Anda memecahkan masalah permintaan pengguna di beberapa komputer seperti proksi Server Federasi (FSP)
  • ID aktivitas juga akan muncul di browser pengguna jika permintaan LAYANAN Federasi Direktori Aktif gagal dengan cara apa pun, sehingga memungkinkan pengguna untuk mengomunikasikan ID ini ke help desk atau Dukungan IT.

Screenshot of the Details tab of the event Properties dialog box with the client request I D value called out.

Untuk membantu dalam proses pemecahan masalah, LAYANAN Federasi Direktori Aktif juga mencatat peristiwa ID penelepon setiap kali proses penerbitan token gagal di server LAYANAN Federasi Direktori Aktif. Kejadian ini berisi jenis klaim dan nilai salah satu jenis klaim berikut, dengan asumsi bahwa informasi ini diteruskan ke Layanan Federasi sebagai bagian dari permintaan token:

  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnameh
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/upn
  • http://schemas.xmlsoap.org/claims/UPN
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressh
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/emailaddress
  • http://schemas.xmlsoap.org/claims/EmailAddress
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/name
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier

Peristiwa ID penelepon juga mencatat ID aktivitas untuk memungkinkan Anda menggunakan ID aktivitas tersebut untuk memfilter atau mencari log peristiwa untuk permintaan tertentu.

Langkah berikutnya