Rychlá kontrola zdraví AD FS serverů pomocí ADFSToolbox

Blog

Jan Žák

ADFS server si už rok běží někde v rohu servrovny, je hodný a nic po nás nechce. Povědomé? Snad ne. Přesto si mnoho administrátorů uvědomí, jak moc je pro ně AD FS služba důležitá až v okamžiku, kdy přestane fungovat. Typickým příkladem neplánovaného výpadku služby je vypršení platnosti některého z certifikátů, nebo jiná triviální chyba v konfiguraci.

Ideální je samozřejmě nechat na službu dohlížet specializovaný nástroj, nebo provádět pravidelnou kontrolu (Health Check) AD FS služby např. prostřednictvím KPCS CZ J.

Pro dnešek ale vystačíme s novým a jednoduchými nástrojem pro rychlou kontrolu zdraví AD FS služby.

Co budeme používat

Powershell modul ADFSToolbox, PowerShell veze 4 nebo vyšší a internet.

Instalace modulu

Nejrychlejší cesta je nainstalovat modul přímo z prostředí PowerShellu pomocí příkazu

Install-Module -Name ADFSToolbox -Force

img

Figure 1 - insalace modulu ADFS Toolbox

Poznámka: pokud na vašem serveru nemáte připojení k internetu, můžete modul stáhnout přímo z https://github.com/Microsoft/adfsToolbox/archive/master.zip .

ADFSToolbox

Hlavním cílem modulu ADFSToolbox je pro nás prozkoumání a otestování ADFS a WAP serverů (využívá remote PS sesion), a následné uložení výsledků testů do JSON souboru.

Na Windows Serveru 2016 sám vyhledá všechny AD FS a WAP servery, na Windows 2012 R2 musíte specifikovat jména serverů ve vaší farmě.

Na primárním AD FS serveru tedy spustíme příkazy:

Import-Module ADFSToolbox -Force
Export-AdfsDiagnosticsFile
Na ADFS 3 případně
Export-AdfsDiagnosticsFile -adfsServers @("fs1.firma.cz", "fs2.firma.cz", "wap1.firma.cz")

img

Figure 2 - Import modulu a spuštění diagnostiky

Z výpisu si můžeme všimnout, že byly detekovány dva AD FS servery, kontrola pak proběhla lokálně i vzdáleně. WAP servery, které nejsou člen domény, nejsou uvedeny. Nyní jsme vyzváni k nahrání souboru na https://adfshelp.microsoft.com/DiagnosticsAnalyzer/Analyze .

My se pochopitelně nejdříve podíváme, co budeme odesílat. Soubor obsahuje například informace o certifikátech a jejich platnosti, stavu služeb, informace o Windows Internal Database, konfigurované TCP porty atp.

V naší ukázce vidíme v levé části originál, v pravé části pak přeformátovaný výstup.

img

Figure 3 - obsah výsledného JSON souboru

V souboru jsme nenašli nic zásadně citlivého, abychom to nemohli nahrát na servery Microsoftu - takže výsledek obdržíme okamžitě po načtení souboru na https://adfshelp.microsoft.com/DiagnosticsAnalyzer/Analyze .

Tam rovnou přejdeme ke kroku 2, přečteme si dokumenty „Terms of Use“ a „Privacy Agreement“ a vybereme soubor k načtení.

img

Figure 4 - Přehled výsledků analýzy

V našem prostředí naštěstí žádné zásadní chyby nebyly nalezeny, zde pár typických pro ilustraci:

img

Figure 5 - Ukázka zjištěných chyb/problémů

Informace o blízkém konci platnosti je užitečná, informace o chybně nastaveném auditu na sekundárním AD FS serveru je podstatná. Po zobrazení detailů dostáváme doporučení a link s návodem na nápravu problému.

img

Figure 6 - podrobnější informace k vybrané chybě

Pro představu o dalších provedených testech se podíváme také do seznamu pochval:

img

Figure 7 - Ukázka dalších testovaných položek

Nyní můžeme začít s nápravou nalezených chyb, doporučuji se ale také podívat na další užitečné cmdlety (Get-Command -Module ADFSToolbox). Možnost vynucené synchronizace databáze, vyhledávání událostí podle CorrelationID atd. rozhodně stojí za prozkoumání!

img

Figure 8 - Přehled dostupných cmdletů modulu

Předchozí článekDalší článek

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů