ADFS (Active Directory Federation Services), die Microsoft-Infrastruktur für Web-basiertes Single Sign-On mit Techniken wie SAML und OAuth, gehört zu den Techniken, die der Hersteller eher lieblos umgesetzt hat. Leider gilt das besonders für die Fehlersuche: Es gibt ungefähr 1.000 Stellen, an denen es haken kann. Kaum eine davon lässt sich einfach auswerten.
Möchte man direkt auf dem ADFS-Server Einblicke in die Verarbeitung erhalten und dort nach möglichen Fehlern suchen, kann man das Debug Logging aktivieren. Diese Funktion ist eigentlich für Web-Entwickler gedacht, lässt sich aber auch für administrative Zwecke nutzen. Sie produziert sehr viele Daten, die sehr aufwändig auszuwerten sind. Daher aktiviert man sie nicht dauerhaft, sondern immer nur gezielt.
Ablauf:
- Anmelden auf dem ADFS-Server mit Administratorrechten.
- Ereignisanzeige (Event Viewer) öffnen.
- Im Hauptmenü „View“ sicherstellen, dass „Show Analytic and Debug Logs“ eingeschaltet ist.
- In der Baumansicht den Zweig öffnen: Applications and Services Logs/ADFS Tracing/Debug.
- Rechtsklick auf „Debug“, dann „Enable Log“. Die Warnmeldung bestätigen.
- Nun sammelt das Protokoll Daten. Währenddessen zeigt es nichts an!
- Jetzt den Fehler provozieren, z.B. Anmeldung versuchen.
- Nachdem der Fehler aufgetreten ist, wieder in die Ereignisanzeige auf dem ADFS-Server wechseln.
Rechtsklick auf „Debug“, dann „Disable Log“. Damit wird die Sammlung beendet, und die Daten werden angezeigt.
- Nun zeigt die Ereignisanzeige eine wahrscheinlich große Zahl von Einträgen in dem Protokoll an. Diese erfordern zur Auswertung viel Aufwand.
- Achtung: Sobald man das Protokoll erneut einschaltet („Enable Log“), werden alle vorher gesammelten Daten gelöscht. Wenn man diese noch braucht, muss man sie erst speichern, bevor man das Protokoll wieder einschaltet.
http://faq-o-matic.net/?p=7404