Monitorowanie usług AD FS za pomocą programu Azure AD Connect HealthMonitor AD FS using Azure AD Connect Health

Poniższa dokumentacja dotyczy monitorowania infrastruktury usług AD FS przy użyciu programu Azure AD Connect Health.The following documentation is specific to monitoring your AD FS infrastructure with Azure AD Connect Health. Aby uzyskać informacje na temat monitorowania Azure AD Connect (Sync) z Azure AD Connect Health, zobacz używanie Azure AD Connect Health do synchronizacji. Ponadto aby uzyskać informacje na temat monitorowania Active Directory Domain Services przy użyciu Azure AD Connect Health, zobacz używanie Azure AD Connect Health z AD DS.For information on monitoring Azure AD Connect (Sync) with Azure AD Connect Health, see Using Azure AD Connect Health for Sync. Additionally, for information on monitoring Active Directory Domain Services with Azure AD Connect Health, see Using Azure AD Connect Health with AD DS.

Alerty dla usług AD FSAlerts for AD FS

Sekcja Alerty programu Azure AD Connect Health udostępnia listę aktywnych alertów.The Azure AD Connect Health Alerts section provides you the list of active alerts. Każdy alert zawiera istotne informacje, kroki do rozwiązania problemu i linki do powiązanej dokumentacji.Each alert includes relevant information, resolution steps, and links to related documentation.

Kliknij dwukrotnie aktywny lub rozwiązany alert, aby otworzyć nowy blok z dodatkowymi informacjami, krokami, jakie można podjąć, aby rozwiązać alert, oraz linkami do dodatkowej dokumentacji.You can double-click an active or resolved alert, to open a new blade with additional information, steps you can take to resolve the alert, and links to relevant documentation. Można również wyświetlić dane historyczne na temat alertów, które zostały rozwiązane w przeszłości.You can also view historical data on alerts that were resolved in the past.

Zrzut ekranu, na którym zostanie wyświetlona strona Azure AD Connect Health "alerty" z wybranym alertem, a okno "Szczegóły alertu".

Analiza użycia usług AD FSUsage Analytics for AD FS

Analiza użycia programu Azure AD Connect Health analizuje ruch na serwerach federacyjnych związany z uwierzytelnianiem.Azure AD Connect Health Usage Analytics analyzes the authentication traffic of your federation servers. Kliknij dwukrotnie pole analizy użycia, aby otworzyć blok analizy użycia, który zawiera metryki i grupowania.You can double-click the usage analytics box, to open the usage analytics blade, which shows you several metrics and groupings.

Uwaga

Aby móc korzystać z analizy użycia dla usług AD FS, należy się upewnić, że inspekcja usług AD FS jest włączona.To use Usage Analytics with AD FS, you must ensure that AD FS auditing is enabled. Aby uzyskać więcej informacji, zobacz Włączanie inspekcji dla usług AD FS.For more information, see Enable Auditing for AD FS.

Zrzut ekranu przedstawiający stronę Azure AD Connect Health analizy użycia.

Aby wybrać dodatkowe metryki, określić zakres czasu lub zmienić grupowanie, kliknij prawym przyciskiem myszy wykres analizy użycia i wybierz pozycję Edytuj wykres.To select additional metrics, specify a time range, or to change the grouping, right-click on the usage analytics chart and select Edit Chart. Następnie możesz określić zakres czasu, wybrać inne metryki oraz zmienić grupowanie.Then you can specify the time range, select a different metric, and change the grouping. Za pomocą odpowiednich parametrów funkcji „grupuj według” opisanych w poniższej sekcji możesz zobaczyć rozkład ruchu uwierzytelniania w oparciu o różne „metryki” i pogrupować wszystkie metryki.You can view the distribution of the authentication traffic based on different "metrics" and group each metric using relevant "group by" parameters described in the following section:

Metryka: Łączna liczba żądań — łączna liczba żądań przetworzonych przez serwery usług AD FS.Metric : Total Requests - Total number of requests processed by AD FS servers.

Grupuj wedługGroup By Co oznacza grupowanie i dlaczego jest przydatne?What the grouping means and why it's useful?
WszystkieAll Pokazuje łączną liczbę żądań przetworzonych przez wszystkie serwery usług AD FS.Shows the count of total number of requests processed by all AD FS servers.
AplikacjaApplication Grupuj wszystkie żądania na podstawie docelowej jednostki zależnej.Groups the total requests based on the targeted relying party. To grupowanie przydaje się, aby sprawdzić, która aplikacja ma największy procentowy udział w całkowitym ruchu sieciowym.This grouping is useful to understand which application is receiving how much percentage of the total traffic.
SerwerServer Grupuje wszystkie żądania na podstawie serwera, który przetwarzał żądanie.Groups the total requests based on the server that processed the request. Dzięki takiemu grupowaniu można sprawdzić rozkład obciążenia dla całego ruchu sieciowego.This grouping is useful to understand the load distribution of the total traffic.
Urządzenia dołączone w miejscu pracyWorkplace Join Grupuje wszystkie te żądania, które pochodzą z urządzeń dołączonych w miejscu pracy (znane).Groups the total requests based on whether they are coming from devices that are workplace joined (known). Dzięki takiemu grupowaniu można sprawdzić, czy do Twoich zasobów uzyskują dostęp urządzenia nieznane dla infrastruktury do obsługi tożsamości.This grouping is useful to understand if your resources are accessed using devices that are unknown to the identity infrastructure.
Metoda uwierzytelnianiaAuthentication Method Grupuje wszystkie żądania na podstawie metody uwierzytelniania użytej podczas uwierzytelniania.Groups the total requests based on the authentication method used for authentication. Dzięki takiemu grupowaniu można się dowiedzieć, jaka metoda uwierzytelniania jest najczęściej używana podczas uwierzytelniania.This grouping is useful to understand the common authentication method that gets used for authentication. Możliwe są następujące metody uwierzytelnianiaFollowing are the possible authentication methods
  1. Zintegrowane uwierzytelnianie systemu Windows (system Windows)Windows Integrated Authentication (Windows)
  2. Uwierzytelnianie oparte na formularzach (Formularze)Forms Based Authentication (Forms)
  3. Logowanie jednokrotne (SSO, Single Sign On)SSO (Single Sign On)
  4. Uwierzytelnianie w oparciu o certyfikat standardu X509 (Certyfikat)X509 Certificate Authentication (Certificate)

  5. Jeśli serwery federacyjne otrzymają żądanie przez plik cookie SSO, żądanie jest traktowane jako SSO (logowanie jednokrotne).If the federation servers receive the request with an SSO Cookie, that request is counted as SSO (Single Sign On). W takim przypadku, jeśli plik cookie jest ważny, użytkownik nie jest proszony o dostarczenie poświadczeń i od razu uzyskuje dostęp do aplikacji.In such cases, if the cookie is valid, the user is not asked to provide credentials and gets seamless access to the application. To zachowanie ma miejsce często, gdy ma się wiele jednostek zależnych chronionych przez serwery federacyjne.This behavior is common if you have multiple relying parties protected by the federation servers.
Lokalizacja sieciowaNetwork Location Grupuje wszystkie żądania na podstawie lokalizacji sieciowej użytkownika.Groups the total requests based on the network location of the user. Może to być zarówno sieć intranet, jak i ekstranet.It can be either intranet or extranet. Dzięki takiemu grupowaniu można sprawdzić, jaki procent ruchu sieciowego pochodzi z intranetu, a jaki z ekstranetu.This grouping is useful to know what percentage of the traffic is coming from the intranet versus extranet.

Metryka: Łączna liczba żądań zakończonych niepowodzeniem — łączna liczba żądań zakończonych niepowodzeniem przetworzonych przez usługę federacyjną.Metric: Total Failed Request - The total number failed requests processed by the federation service. (Ta metryka jest dostępna tylko w usługach AD FS dla systemu Windows Server 2012 R2)(This metric is only available on AD FS for Windows Server 2012 R2)

Grupuj wedługGroup By Co oznacza grupowanie i dlaczego jest przydatne?What the grouping means and why it's useful?
Typ błęduError Type Wyświetla liczbę błędów na podstawie wcześniej zdefiniowanych typów błędów.Shows the number of errors based on predefined error types. Takie grupowanie umożliwia zapoznanie się z najczęściej popełnianymi typami błędów.This grouping is useful to understand the common types of errors.
  • Nieprawidłowa nazwa użytkownika lub hasło: Błędy spowodowane nieprawidłową nazwą użytkownika lub nieprawidłowym hasłem.Incorrect Username or Password: Errors due to incorrect username or password.
  • „Zablokowany ekstranet”: Niepowodzenia spowodowane żądaniami otrzymanymi od użytkownika, któremu został zablokowany dostęp do sieci ekstranet."Extranet Lockout": Failures due to the requests received from a user that was locked out from extranet
  • „Hasło nieaktualne”: Niepowodzenia spowodowane logowaniem się użytkowników przy użyciu nieaktualnych haseł."Expired Password": Failures due to users logging in with an expired password.
  • „Konto wyłączone”: Niepowodzenia spowodowane logowaniem się użytkowników przy użyciu wyłączonych kont."Disabled Account": Failures due to users logging with a disabled account.
  • „Uwierzytelnianie urządzenia”: Niepowodzenia spowodowane nieudanymi uwierzytelnieniami użytkowników przy użyciu uwierzytelniania urządzenia."Device Authentication": Failures due to users failing to authenticate using Device Authentication.
  • „Uwierzytelnianie certyfikatu użytkownika”: Niepowodzenia wynikające z nieudanych uwierzytelnień użytkowników z powodu nieprawidłowego certyfikatu."User Certificate Authentication": Failures due to users failing to authenticate because of an invalid certificate.
  • „MFA”: Niepowodzenia wynikające z nieudanych uwierzytelnień użytkowników przy użyciu usługi Multi Factor Authentication."MFA": Failures due to user failing to authenticate using Multi-Factor Authentication.
  • „Inne poświadczenia”: „Autoryzacja wystawiania”: Niepowodzenia spowodowane błędami autoryzacji."Other Credential": "Issuance Authorization": Failures due to authorization failures.
  • „Delegowanie wystawiania”: Niepowodzenia spowodowane błędami delegowania wystawiania."Issuance Delegation": Failures due to issuance delegation errors.
  • „Akceptacja tokenu”: Niepowodzenia spowodowane odrzuceniem przez usługi AD FS tokenu od innego dostawcy tożsamości."Token Acceptance": Failures due to ADFS rejecting the token from a third-party Identity Provider.
  • „Protokół”: Niepowodzenie z powodu błędów protokołu."Protocol": Failure due to protocol errors.
  • „Nieznane”: Wszystkie inne rodzaje niepowodzeń."Unknown": Catch all. Wszystkie inne niepowodzenia, które nie mieszczą się w zdefiniowanych kategoriach.Any other failures that do not fit into the defined categories.
SerwerServer Grupuje błędy według serwera.Groups the errors based on the server. Dzięki takiemu grupowaniu można sprawdzić, jak wygląda rozkład błędów między serwerami.This grouping is useful to understand the error distribution across servers. Nierównomierny rozkład może oznaczać uszkodzenie serwera.Uneven distribution could be an indicator of a server in a faulty state.
Lokalizacja sieciowaNetwork Location Grupuje błędy na podstawie lokalizacji sieciowej żądań (intranet lub ekstranet).Groups the errors based on the network location of the requests (intranet vs extranet). Dzięki takiemu grupowaniu można sprawdzić typy żądań, które kończą się niepowodzeniem.This grouping is useful to understand the type of requests that are failing.
AplikacjaApplication Grupuje niepowodzenia na podstawie aplikacji docelowej (jednostki zależnej).Groups the failures based on the targeted application (relying party). Dzięki takiemu grupowaniu można sprawdzić, która aplikacja docelowa ma do czynienia z największą liczbą błędów.This grouping is useful to understand which targeted application is seeing most number of errors.

Metryka: Liczba użytkowników — średnia liczba unikatowych użytkowników aktywnie uwierzytelnianych za pomocą usług AD FS.Metric : User Count - Average number of unique users actively authenticating using AD FS

Grupuj wedługGroup By Co oznacza grupowanie i dlaczego jest przydatne?What the grouping means and why it's useful?
WszystkieAll Ta metryka zapewnia liczenie średniej liczby użytkowników korzystających z usługi federacyjnej w wybranym przedziale czasu.This metric provides a count of average number of users using the federation service in the selected time slice. Użytkownicy nie są zgrupowani.The users are not grouped.
Średnia zależy od wybranego przedziału czasu.The average depends on the time slice selected.
AplikacjaApplication Grupuje średnią liczbę użytkowników na podstawie aplikacji docelowej (jednostki zależnej).Groups the average number of users based on the targeted application (relying party). Dzięki takiemu grupowaniu można sprawdzić, ilu użytkowników korzysta z danej aplikacji.This grouping is useful to understand how many users are using which application.

Monitorowanie wydajności dla usług AD FSPerformance Monitoring for AD FS

Funkcja monitorowania wydajności w programie Azure AD Connect Health udostępnia informacje o metrykach.Azure AD Connect Health Performance Monitoring provides monitoring information on metrics. Wybranie pola Monitorowanie powoduje otwarcie nowego bloku ze szczegółowymi informacjami o metrykach.Selecting the Monitoring box, opens a new blade with detailed information on the metrics.

Zrzut ekranu przedstawiający stronę Monitorowanie wydajności Azure AD Connect Health.

Po wybraniu opcji Filtrowanie u góry bloku można przeprowadzać filtrowanie według serwera, aby uzyskać informacje o poszczególnych metrykach serwera.By selecting the Filter option at the top of the blade, you can filter by server to see an individual server’s metrics. Aby zmienić metrykę, kliknij prawym przyciskiem myszy wykres monitorowania pod blokiem monitorowania i wybierz pozycję Edytuj wykres (lub wybierz przycisk Edytuj wykres).To change metric, right-click on the monitoring chart under the monitoring blade and select Edit Chart (or select the Edit Chart button). W nowo otwartym bloku możesz wybrać dodatkowe metryki z listy rozwijanej i określić zakres czasu w celu wyświetlenia danych wydajności.From the new blade that opens up, you can select additional metrics from the drop-down and specify a time range for viewing the performance data.

50 użytkowników z największą liczbą nieudanych logowań z powodu błędnej nazwy użytkownika lub błędnego hasłaTop 50 Users with failed Username/Password logins

Typowe przyczyny niepowodzenia żądania uwierzytelnienia na serwerze usług AD FS to żądanie z nieprawidłowymi poświadczeniami, czyli z nieprawidłową nazwą użytkownika lub nieprawidłowym hasłem.One of the common reasons for a failed authentication request on an AD FS server is a request with invalid credentials, that is, a wrong username or password. Zwykle jest to spowodowane przez użycie złożonych haseł, zapomnienie haseł lub literówki.Usually happens to users due to complex passwords, forgotten passwords, or typos.

Jednak istnieją inne przyczyny nieoczekiwanej liczby żądań obsługiwanych przez serwery usług AD FS, takie jak: wygaśnięcie poświadczeń użytkownika przechowywanych w pamięci podręcznej aplikacji lub próba zalogowania się do konta przez złośliwego użytkownika przy użyciu serii dobrze znanych haseł.But there are other reasons that can result in an unexpected number of requests being handled by your AD FS servers, such as: An application that caches user credentials and the credentials expire or a malicious user attempting to sign into an account with a series of well-known passwords. Te dwa przykłady są potencjalnymi przyczynami wzrostu liczby żądań.These two examples are valid reasons that could lead to a surge in requests.

Program Azure AD Connect Health dla usług AD FS dostarcza raport dotyczący 50 użytkowników z największą liczbą nieudanych prób logowania z powodu wpisania nieprawidłowej nazwy użytkownika lub nieprawidłowego hasła.Azure AD Connect Health for ADFS provides a report about top 50 Users with failed login attempts due to invalid username or password. Ten raport jest uzyskiwany przez przetwarzanie zdarzeń inspekcji generowanych przez wszystkie serwery usług AD FS w farmach.This report is achieved by processing the audit events generated by all the AD FS servers in the farms.

Zrzut ekranu przedstawiający sekcję "Raporty" z liczbą nieudanych prób wprowadzenia hasła z ostatnich 30 dni.

Ten raport daje łatwy dostęp do następujących informacji:Within this report you have easy access to the following pieces of information:

  • Łączna liczba nieudanych żądań z błędną nazwą użytkownika lub błędnym hasłem w ciągu ostatnich 30 dni.Total # of failed requests with wrong username/password in the last 30 days
  • Średnia dzienna liczba użytkowników, którzy popełnili błędy podczas logowania się w wyniku podania nieprawidłowej nazwy użytkownika lub nieprawidłowego hasła.Average # of users that failed with a bad username/password login per day.

Kliknięcie tej części przenosi do głównego bloku raportu z dodatkowymi informacjami.Clicking this part takes you to the main report blade that provides additional details. Ten blok zawiera wykres z informacjami o trendach, który ułatwia ustalenie linii bazowej dotyczącej żądań z nieprawidłową nazwą użytkownika lub hasłem.This blade includes a graph with trending information to help establish a baseline about requests with wrong username or password. Zawiera również listę 50 użytkowników o największej liczbie nieudanych prób w ciągu ostatniego tygodnia.Additionally, it provides the list of top 50 users with the number of failed attempts during the past week. Informacje o tych użytkownikach mogą pomóc w identyfikacji problemów związanych z nagłym wzrostem liczby przypadków podania nieprawidłowego hasła.Notice top 50 users from the past week could help identify bad password spikes.

Wykres udostępnia następujące informacje:The graph provides the following information:

  • Łączna liczba nieudanych logowań w ciągu jednego dnia z powodu podania nieprawidłowej nazwy użytkownika lub nieprawidłowego hasła.The total # of failed logins due to a bad username/password on a per-day basis.
  • Łączna liczba unikatowych użytkowników w ciągu jednego dnia, którym nie udało się zalogować.The total # of unique users that failed logins on a per-day basis.
  • Adres IP klienta dla ostatniego żądaniaClient IP address of for last request

Portal programu Azure AD Connect Health

Raport zawiera następujące informacje:The report provides the following information:

Element raportuReport Item OpisDescription
Identyfikator użytkownikaUser ID Wyświetla użyty identyfikator użytkownika.Shows the user ID that was used. Jest to wartość wpisana przez użytkownika, co w niektórych przypadkach powoduje użycie nieprawidłowego identyfikatora użytkownika.This value is what the user typed, which in some cases is the wrong user ID being used.
Nieudane próbyFailed Attempts Pokazuje łączną liczbę nieudanych prób dla konkretnego identyfikatora użytkownika.Shows the total # of failed attempts for that specific user ID. Tabela jest sortowana według największej liczby nieudanych prób w kolejności malejącej.The table is sorted with the most number of failed attempts in descending order.
Ostatnia nieudana próbaLast Failure Wyświetla sygnaturę czasową momentu, w którym wystąpiła ostatnia awaria.Shows the time stamp when the last failure occurred.
Adres IP ostatniej nieudanej próbyLast Failure IP Wyświetla adres IP klienta dla ostatniego złego żądania.Shows the Client IP address from the latest bad request. Jeśli w obszarze tej wartości widzisz kilka adresów IP, może on zawierać adres IP klienta na potrzeby przekazywania oraz adres IP użytkownika dla ostatniej próby żądania.If you see more than one IP addresses in this value, it may include forward client IP together with user's last attempt request IP.

Uwaga

Ten raport jest aktualizowany automatycznie co 12 godzin o nowe informacje, które pojawiły się w tym czasie.This report is automatically updated after every 12 hours with the new information collected within that time. W rezultacie próby logowania z ostatnich 12 godzin mogą nie zostać zawarte w raporcie.As a result, login attempts within the last 12 hours may not be included in the report.