Workshop: Monitoring der Active Directory-Verbunddienste

Vertrauen ist besser mit Kontrolle

Die Active Directory-Verbunddienste spielen in Unternehmen eine immer wichtigere Rolle, insbesondere für darauf basierende Vertrauensstellungen zu Office 365 oder zu Partnerunternehmen. Daher sollte der IT-Verantwortliche die Farm stets im Auge behalten, denn Störungen im Betrieb werden dem Anwender mitleidlos quittiert und der Zugriff auf die gewünschte Webseite verweigert. Unser Workshop zeigt Wege, diesen Dienst zu überwachen – sei es nun mit der großen Lösung System Center oder kostenlosen Skripten und Bordmitteln.
Das Monitoring der IT-Umgebung steht im März auf der Agenda des IT-Administrator. So lesen Sie in der Ausgabe, wie sich Open-Source-Tools wie Logstash, ... (mehr)

Die Implementierung der Active Directory-Verbunddienste (AD Federation Services, ADFS) unterliegt zahlreichen Abhängigkeiten, die den Betrieb in unterschiedliche Weise stören können. Da ist zum einen das Active Directory, in dem sich das Dienstkonto, unter dessen Kontext der jeweilige ADFS Service läuft, befindet. Das Konto hat zwar keine speziellen Berechtigungen, die es zu überwachen gilt, aber ein gesperrtes Konto kann dennoch für Unmut sorgen. Gleiches gilt für die im AD verwalteten Service Principal Names (SPN). Läuft hier etwas schief, weil etwa ein SPN doppelt registriert wurde, dann ist die Fehlersuche meist schwierig. Eine bis dato intakte ADFS-Farm sorgt dann aus heiterem Himmel und scheinbar ohne Anlass für teilweise massive Probleme.

Darüber hinaus sind Zertifikate eine der häufigsten Fehlerquellen im Federation-Server-Umfeld. Zertifikate sind nicht ewig gültig und ein Dienst oder eine Vertrauensstellung, die auf einem Zertifikat basiert, ist eben nur solange intakt, wie das Zertifikat vorzeigbar ist. Die Liste der Abhängigkeiten ist aber noch länger: Egal, ob die Verbunddienste in einer Farm laufen – also die Konfiguration auf einem SQL-Server liegt – oder ob eine WID (Windows Internal Database, ehemals SQL Express) zum Einsatz kommt, die SQL-Datenbank ist in jedem Fall wichtig. Zwar speichert ADFS keine Anwenderdaten, sondern nur Konfigurationsdaten und wenn der SQL-Server Probleme hat, werden trotzdem noch SAML-Token ausgestellt. Haben Sie

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023