Workshop: Monitoring der Active Directory-Verbunddienste

Die Implementierung der Active Directory-Verbunddienste (AD Federation Services, ADFS) unterliegt zahlreichen Abhängigkeiten, die den Betrieb in unterschiedliche Weise stören können. Da ist zum einen das Active Directory, in dem sich das Dienstkonto, unter dessen Kontext der jeweilige ADFS Service läuft, befindet. Das Konto hat zwar keine speziellen Berechtigungen, die es zu überwachen gilt, aber ein gesperrtes Konto kann dennoch für Unmut sorgen. Gleiches gilt für die im AD verwalteten Service Principal Names (SPN). Läuft hier etwas schief, weil etwa ein SPN doppelt registriert wurde, dann ist die Fehlersuche meist schwierig. Eine bis dato intakte ADFS-Farm sorgt dann aus heiterem Himmel und scheinbar ohne Anlass für teilweise massive Probleme.

Darüber hinaus sind Zertifikate eine der häufigsten Fehlerquellen im Federation-Server-Umfeld. Zertifikate sind nicht ewig gültig und ein Dienst oder eine Vertrauensstellung, die auf einem Zertifikat basiert, ist eben nur solange intakt, wie das Zertifikat vorzeigbar ist. Die Liste der Abhängigkeiten ist aber noch länger: Egal, ob die Verbunddienste in einer Farm laufen – also die Konfiguration auf einem SQL-Server liegt – oder ob eine WID (Windows Internal Database, ehemals SQL Express) zum Einsatz kommt, die SQL-Datenbank ist in jedem Fall wichtig. Zwar speichert ADFS keine Anwenderdaten, sondern nur Konfigurationsdaten und wenn der SQL-Server Probleme hat, werden trotzdem noch SAML-Token ausgestellt. Haben Sie sich beispielsweise in der Farm für den Einsatz einer WID entschieden und der primäre ADFS-Server fällt mit einem Defekt aus, sind Änderungen an der Konfiguration der Farm nicht mehr möglich, ADFS wird aber weiter authentifizieren. Das Problem taucht ohne Monitoring somit erst später auf.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.