ADFS server si už rok běží někde v rohu servrovny, je hodný a nic po nás nechce. Povědomé? Snad ne. Přesto si mnoho administrátorů uvědomí, jak moc je pro ně AD FS služba důležitá až v okamžiku, kdy přestane fungovat. Typickým příkladem neplánovaného výpadku služby je vypršení platnosti některého z certifikátů, nebo jiná triviální chyba v konfiguraci.
Ideální je samozřejmě nechat na službu dohlížet specializovaný nástroj, nebo provádět pravidelnou kontrolu (Health Check) AD FS služby např. prostřednictvím KPCS CZ J.
Pro dnešek ale vystačíme s novým a jednoduchými nástrojem pro rychlou kontrolu zdraví AD FS služby.
Co budeme používat
Powershell modul ADFSToolbox, PowerShell veze 4 nebo vyšší a internet.
Instalace modulu
Nejrychlejší cesta je nainstalovat modul přímo z prostředí PowerShellu pomocí příkazu
Install-Module -Name ADFSToolbox -Force
Figure 1 – insalace modulu ADFS Toolbox
Poznámka: pokud na vašem serveru nemáte připojení k internetu, můžete modul stáhnout přímo z https://github.com/Microsoft/adfsToolbox/archive/master.zip .
ADFSToolbox
Hlavním cílem modulu ADFSToolbox je pro nás prozkoumání a otestování ADFS a WAP serverů (využívá remote PS sesion), a následné uložení výsledků testů do JSON souboru.
Na Windows Serveru 2016 sám vyhledá všechny AD FS a WAP servery, na Windows 2012 R2 musíte specifikovat jména serverů ve vaší farmě.
Na primárním AD FS serveru tedy spustíme příkazy:
Import-Module ADFSToolbox -Force
Export-AdfsDiagnosticsFile
Na ADFS 3 případně
Export-AdfsDiagnosticsFile -adfsServers @("fs1.firma.cz", "fs2.firma.cz", "wap1.firma.cz")
Figure 2 – Import modulu a spuštění diagnostiky
Z výpisu si můžeme všimnout, že byly detekovány dva AD FS servery, kontrola pak proběhla lokálně i vzdáleně. WAP servery, které nejsou člen domény, nejsou uvedeny. Nyní jsme vyzváni k nahrání souboru na https://adfshelp.microsoft.com/DiagnosticsAnalyzer/Analyze .
My se pochopitelně nejdříve podíváme, co budeme odesílat. Soubor obsahuje například informace o certifikátech a jejich platnosti, stavu služeb, informace o Windows Internal Database, konfigurované TCP porty atp.
V naší ukázce vidíme v levé části originál, v pravé části pak přeformátovaný výstup.
Figure 3 – obsah výsledného JSON souboru
V souboru jsme nenašli nic zásadně citlivého, abychom to nemohli nahrát na servery Microsoftu – takže výsledek obdržíme okamžitě po načtení souboru na https://adfshelp.microsoft.com/DiagnosticsAnalyzer/Analyze .
Tam rovnou přejdeme ke kroku 2, přečteme si dokumenty „Terms of Use“ a „Privacy Agreement“ a vybereme soubor k načtení.
Figure 4 – Přehled výsledků analýzy
V našem prostředí naštěstí žádné zásadní chyby nebyly nalezeny, zde pár typických pro ilustraci:
Figure 5 – Ukázka zjištěných chyb/problémů
Informace o blízkém konci platnosti je užitečná, informace o chybně nastaveném auditu na sekundárním AD FS serveru je podstatná. Po zobrazení detailů dostáváme doporučení a link s návodem na nápravu problému.
Figure 6 – podrobnější informace k vybrané chybě
Pro představu o dalších provedených testech se podíváme také do seznamu pochval:
Figure 7 – Ukázka dalších testovaných položek
Nyní můžeme začít s nápravou nalezených chyb, doporučuji se ale také podívat na další užitečné cmdlety (Get-Command -Module ADFSToolbox). Možnost vynucené synchronizace databáze, vyhledávání událostí podle CorrelationID atd. rozhodně stojí za prozkoumání!
Figure 8 – Přehled dostupných cmdletů modulu
