Workshop: Monitoring der Active Directory-Verbunddienste

Vertrauen ist besser mit Kontrolle

Die Active Directory-Verbunddienste spielen in Unternehmen eine immer wichtigere Rolle, insbesondere für darauf basierende Vertrauensstellungen zu Office 365 oder zu Partnerunternehmen. Daher sollte der IT-Verantwortliche die Farm stets im Auge behalten, denn Störungen im Betrieb werden dem Anwender mitleidlos quittiert und der Zugriff auf die gewünschte Webseite verweigert. Unser Workshop zeigt Wege, diesen Dienst zu überwachen – sei es nun mit der großen Lösung System Center oder kostenlosen Skripten und Bordmitteln.
Das Monitoring der IT-Umgebung steht im März auf der Agenda des IT-Administrator. So lesen Sie in der Ausgabe, wie sich Open-Source-Tools wie Logstash, ... (mehr)

Die Implementierung der Active Directory-Verbunddienste (AD Federation Services, ADFS) unterliegt zahlreichen Abhängigkeiten, die den Betrieb in unterschiedliche Weise stören können. Da ist zum einen das Active Directory, in dem sich das Dienstkonto, unter dessen Kontext der jeweilige ADFS Service läuft, befindet. Das Konto hat zwar keine speziellen Berechtigungen, die es zu überwachen gilt, aber ein gesperrtes Konto kann dennoch für Unmut sorgen. Gleiches gilt für die im AD verwalteten Service Principal Names (SPN). Läuft hier etwas schief, weil etwa ein SPN doppelt registriert wurde, dann ist die Fehlersuche meist schwierig. Eine bis dato intakte ADFS-Farm sorgt dann aus heiterem Himmel und scheinbar ohne Anlass für teilweise massive Probleme.

Darüber hinaus sind Zertifikate eine der häufigsten Fehlerquellen im Federation-Server-Umfeld. Zertifikate sind nicht ewig gültig und ein Dienst oder eine Vertrauensstellung, die auf einem Zertifikat basiert, ist eben nur solange intakt, wie das Zertifikat vorzeigbar ist. Die Liste der Abhängigkeiten ist aber noch länger: Egal, ob die Verbunddienste in einer Farm laufen – also die Konfiguration auf einem SQL-Server liegt – oder ob eine WID (Windows Internal Database, ehemals SQL Express) zum Einsatz kommt, die SQL-Datenbank ist in jedem Fall wichtig. Zwar speichert ADFS keine Anwenderdaten, sondern nur Konfigurationsdaten und wenn der SQL-Server Probleme hat, werden trotzdem noch SAML-Token ausgestellt. Haben Sie sich beispielsweise in der Farm für den Einsatz einer WID entschieden und der primäre ADFS-Server fällt mit einem Defekt aus, sind Änderungen an der Konfiguration der Farm nicht mehr möglich, ADFS wird aber weiter authentifizieren. Das Problem taucht ohne Monitoring somit erst später auf.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite