Risolvere i problemi di AD FS
Active Directory Federation Services (AD FS) include molti elementi variabili, influisce su molti aspetti diversi e presenta molte dipendenze diverse. Naturalmente questa complessità può dare origine a vari problemi. Questo articolo è progettato per iniziare a risolvere questi problemi. Presenta le aree comuni su cui è necessario concentrarsi e illustra come abilitare le funzionalità per ottenere informazioni aggiuntive e vari strumenti per tenere traccia dei problemi.
Nota
Per altre informazioni, vedere la Guida di AD FS, che offre strumenti efficaci in un'unica posizione, in modo da consentire a utenti e amministratori di risolvere più facilmente e velocemente i problemi di autenticazione.
Cosa controllare prima di tutto
Prima dedicarsi in modo approfondito alla risoluzione dei problemi, è necessario verificare alcuni aspetti. ovvero:
- Configurazione DNS: è possibile risolvere il nome del servizio federativo? Questa connessione deve essere risolta nell'indirizzo IP del servizio di bilanciamento del carico o nell'indirizzo IP di uno dei server di AD FS nella farm. Per altre informazioni, vedere Risoluzione dei problemi di AD FS - DNS.
- Endpoint di AD FS: è possibile passare agli endpoint di AD FS? Il passaggio a questo endpoint può determinare se il server Web di AD FS risponde o meno alle richieste. Se è possibile accedere a questo file, si può essere sicuri che AD FS sta gestendo correttamente le richieste sulla porta 443. Per altre informazioni, vedere Risoluzione dei problemi di AD FS - Endpoint di metadati di AD FS.
- Accesso avviato da provider di identità: è possibile accedere ed eseguire l'autenticazione tramite la pagina di accesso avviato da provider di identità? È necessario assicurarsi che questa pagina sia abilitata, perché è disabilitata per impostazione predefinita. Usare
Set-AdfsProperties -EnableIdPInitiatedSignOn $trueper abilitare la pagina. Se è possibile accedere ed eseguire l'autenticazione, si può essere sicuri che AD FS funziona in questa area. Per altre informazioni, vedere Risoluzione dei problemi di AD FS - Accesso avviato da provider di identità.
Aree comuni per la risoluzione dei problemi
| Nome | Descrizione |
|---|---|
| Eventi e registrazione | Usare i registri eventi di Windows per visualizzare informazioni generali e specifiche tramite i log di amministrazione e di traccia. È possibile usare questo approccio anche per visualizzare il controllo di sicurezza. |
| Connettività SQL | Informazioni sul test della connettività tra i server AD FS e i database SQL back-end. |
| Rilascio delle attestazioni | Informazioni su come determinare se AD FS sta rilasciando correttamente attestazioni. |
| Rilevamento ciclo | Informazioni su come determinare e impedire agli utenti di essere rimbalzati avanti e indietro tra il provider di identità e una relying party (RP). |
| Attestati | Problemi tipici del certificato che possono verificarsi. |
| Fiddler | Informazioni su come installare e usare Fiddler. |
| WS-Federation con Fiddler | Traccia dettagliata di Fiddler di un'interazione con WS-Federation. |
| Sintassi delle regole delle attestazioni | Informazioni sulla risoluzione dei problemi relativi alle regole delle attestazioni e alla relativa sintassi. |
| Autenticazione integrata di Windows | Informazioni sulla risoluzione dei problemi di autenticazione integrata. |
| Microsoft Entra ID | Informazioni sulla risoluzione dei problemi di interazione di AD FS con Microsoft Entra ID. |
| Analizzatore diagnostica di AD FS | Guida di AD FS - Analizzatore diagnostica esegue controlli di AD FS di base usando il modulo PowerShell di diagnostica. |