Active Directory 同盟服務 (AD FS) 有許多移動片段,觸及許多不同的專案,而且具有許多不同的相依性。 這種複雜性可能會引發各種問題。 本文可協助您開始針對這些問題進行疑難解答。 它會向您介紹您應該關注的常見區域、如何啟用功能以取得詳細資訊,以及追蹤問題的各種工具。
要先檢查什麼
在您深入探討疑難解答之前,請先檢查下列事項:
- 網域名稱系統 (DNS) 組態:您是否可以解析聯盟服務的名稱? 此連線應該解析為負載平衡器的IP位址,或您的伺服器群組中其中一部AD FS 伺服器的IP位址。 如需詳細資訊,請參閱 AD FS 疑難解答:DNS。
- AD FS 端點:您是否可以瀏覽至 AD FS 端點? 流覽至此端點可以判斷您的AD FS網頁伺服器是否正在回應要求。 如果可以取得此檔案,您就知道 AD FS 正在通過 443 埠處理請求。 如需詳細資訊,請參閱 AD FS 疑難解答:AD FS 元數據端點。
-
識別提供者 (IdP)起始的登入:您可以透過IdP起始的登入頁面登入和驗證嗎? 確定此頁面已啟用,因為它預設為停用。 使用
Set-AdfsProperties -EnableIdPInitiatedSignOn $true來啟用頁面。 如果您可以登入並驗證,您就知道 AD FS 正在此區域中運作。 如需詳細資訊,請參閱 AD FS 疑難解答:IdP 起始的登入。
常見疑難解答區域
| Name | Description |
|---|---|
| 事件和記錄 | 使用 Windows 事件記錄檔,透過系統管理員和追蹤記錄檢視高階和低階資訊。 您也可以使用記錄來檢視安全性稽核。 |
| SQL 連線能力 | 如何測試 AD FS 伺服器與後端 SQL 資料庫之間的連線能力的相關信息。 |
| 索賠發出 | 判斷 AD FS 是否正確發出宣告的方法資訊。 |
| 迴圈偵測 | 如何判斷及防止 使用者 在 IdP 與 服務提供者 之間跳轉的資訊。 |
| Certificates | 可能發生的一般憑證問題。 |
| Fiddler | 如何安裝和使用 Fiddler 的相關信息。 |
| WS-Federation 與 Fiddler | WS-Federation 互動的詳細 Fiddler 追蹤分析。 |
| 宣告規則語法 | 有關如何排解宣告規則及其語法問題的資訊。 |
| 整合式 Windows 驗證 | 關於如何排除整合式驗證問題的資訊。 |
| Microsoft Entra 身份識別 | 有關如何針對 AD FS 與 Microsoft Entra ID 的互動進行疑難排解的資訊。 |