Logo faq-o-matic.net
Logo faq-o-matic.net

ADFS: Debug-Logging einschalten und auswerten

von veröffentlicht am29. Juni 2016, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: ADFS und SAML   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

ADFS (Active Directory Federation Services), die Microsoft-Infrastruktur für Web-basiertes Single Sign-On mit Techniken wie SAML und OAuth, gehört zu den Techniken, die der Hersteller eher lieblos umgesetzt hat. Leider gilt das besonders für die Fehlersuche: Es gibt ungefähr 1.000 Stellen, an denen es haken kann. Kaum eine davon lässt sich einfach auswerten.

Möchte man direkt auf dem ADFS-Server Einblicke in die Verarbeitung erhalten und dort nach möglichen Fehlern suchen, kann man das Debug Logging aktivieren. Diese Funktion ist eigentlich für Web-Entwickler gedacht, lässt sich aber auch für administrative Zwecke nutzen. Sie produziert sehr viele Daten, die sehr aufwändig auszuwerten sind. Daher aktiviert man sie nicht dauerhaft, sondern immer nur gezielt.

Ablauf:

  • Anmelden auf dem ADFS-Server mit Administratorrechten.
  • Ereignisanzeige (Event Viewer) öffnen.
  • Im Hauptmenü „View“ sicherstellen, dass „Show Analytic and Debug Logs“ eingeschaltet ist.
    image 
  • In der Baumansicht den Zweig öffnen: Applications and Services Logs/ADFS Tracing/Debug.
    image
  • Rechtsklick auf „Debug“, dann „Enable Log“. Die Warnmeldung bestätigen.
    image 
  • Nun sammelt das Protokoll Daten. Währenddessen zeigt es nichts an!
  • Jetzt den Fehler provozieren, z.B. Anmeldung versuchen.
  • Nachdem der Fehler aufgetreten ist, wieder in die Ereignisanzeige auf dem ADFS-Server wechseln.
    Rechtsklick auf „Debug“, dann „Disable Log“. Damit wird die Sammlung beendet, und die Daten werden angezeigt.
    image 
  • Nun zeigt die Ereignisanzeige eine wahrscheinlich große Zahl von Einträgen in dem Protokoll an. Diese erfordern zur Auswertung viel Aufwand.
  • Achtung: Sobald man das Protokoll erneut einschaltet („Enable Log“), werden alle vorher gesammelten Daten gelöscht. Wenn man diese noch braucht, muss man sie erst speichern, bevor man das Protokoll wieder einschaltet.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!