9
Installation AD FS
Mahlzeit Kollegen!
Wir benötigen AD FS für SSO.
Installiert auf: DC
Server: 2019 Datacenter
Updates: aktueller Stand
Rolle lies sich Problemlos installeren - der Dienst " AD FS" lässt sich aber dann nicht starten.
Installation erfolgte über die GUI (SSL Zertifikat + SQL Datenbank).
Auszüge aus EventLog:
Was mich hier wundert ist der letzte Teil: Warum da der DC$ drinnen steht und nicht der zu Installierende User (DomainAdmin)..
Weitere Auszüge aus dem Log:
Der DomainController hat die Gruppenrichtline "Anmelden als Dienst" wo auch der installierende DomainAdmin hinterlegt ist.
Hat jemand einen schlauen Ratschlag, oder gar die Lösung?
VG
Meow
Wir benötigen AD FS für SSO.
Installiert auf: DC
Server: 2019 Datacenter
Updates: aktueller Stand
Rolle lies sich Problemlos installeren - der Dienst " AD FS" lässt sich aber dann nicht starten.
Installation erfolgte über die GUI (SSL Zertifikat + SQL Datenbank).
Auszüge aus EventLog:
Fehler bei einem SQL-Vorgang in der AD FS-Konfigurationsdatenbank mit der Verbindungszeichenfolge Data Source=SQLSERVER.Domain.de\SQLSERVER;Initial Catalog=AdfsConfigurationV4;Integrated Security=True;Min Pool Size=20.
Zusätzliche Daten
Ausnahmedetails:
Fehler bei der Anmeldung für den Benutzer "DOMAIN\DomainController$". Was mich hier wundert ist der letzte Teil: Warum da der DC$ drinnen steht und nicht der zu Installierende User (DomainAdmin)..
Weitere Auszüge aus dem Log:
Eine Änderung der Tokendienstkonfiguration wurde festgestellt, es trat jedoch ein Fehler beim erneuten Laden der Konfigurationsänderungen.
Zusätzliche Daten
Fehler:
ADMIN0012: OperationFaultBeim Aktivieren von Endpunkten des Verbunddiensts ist ein Fehler aufgetreten. Beheben Sie Konfigurationsfehler mit PowerShell-Cmdlets, und starten Sie den Verbunddienst erneut.
Zusätzliche Daten
Ausnahmedetails:
System.ServiceModel.FaultException`1[Microsoft.IdentityServer.Protocols.PolicyStore.OperationFault]: ADMIN0012: OperationFault (Fehlerdetail ist gleich Microsoft.IdentityServer.Protocols.PolicyStore.OperationFault).Der DomainController hat die Gruppenrichtline "Anmelden als Dienst" wo auch der installierende DomainAdmin hinterlegt ist.
Hat jemand einen schlauen Ratschlag, oder gar die Lösung?
VG
Meow
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33589311406
Url: https://administrator.de/contentid/33589311406
Ausgedruckt am: 21.11.2024 um 15:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
bist du sicher das dein Zertifikat für die Dienstkommunikationi richtig konfiguriert ist und die CA erreichen kann?
bist du sicher das dein Zertifikat für die Dienstkommunikationi richtig konfiguriert ist und die CA erreichen kann?
Ist ein gekauftes SSL - welches ich auch für RDS-Gateway benutzte.
Müsste doch passen, oder?
Müsste doch passen, oder?
benutze auch ein gekauftes Wildcardcert..die CA von dem Anbieter ist aber im Trusted Store drinnen?
Ja - auch bei der Konfiguration hängt er sich bei "Der AD FS-Windows-Dienst wird gestartet" auf..
Mit welchem Konto läuft dein ADFS Dienst?
Und immer schon dran denken:
Benutzerkonto für ADFS benötigt RC4 für Kerberos msDS-SupportedEncryptionTypes=28
ein Bullsh...
Benutzerkonto für ADFS benötigt RC4 für Kerberos msDS-SupportedEncryptionTypes=28
ein Bullsh...
1
Domänen-Admin
schlecht, nimm einen Standarddomuser ohne Rechte. Geh im AD Editor auf den Reiter "Attribut-Editor"
setze dort den Wert 28 bei msDS-SupportedEncryptionTypes.
Warte kurz und starte den Dienst.
setze dort den Wert 28 bei msDS-SupportedEncryptionTypes.
Warte kurz und starte den Dienst.
1
Moin,
Hast du danach über den Server Manager den Einrichtungsassistent durchlaufen?
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/design/a ...
https://arnaudpain.com/2019/08/05/windows-server-2019-adfs-step-by-step/
Gruß,
Dani
Installiert auf: DC
wer macht denn sowas?! Ich hoffe, dass der AD FS ausschließlich im LAN verwendet wird. Ansonsten ist es nur eine Frage der Zeit bis deine Domäne in Gefahr ist. Der fehlende Web Application Proxy und WAF tun ihr übriges.Rolle lies sich Problemlos installeren - der Dienst " AD FS" lässt sich aber dann nicht starten.
Damit ist es auch nicht getan. In der Regel wird für den Betrieb von AD FS in Verbindung mit MSSSQL ein Managed Service Account (MSA) verwendet. Das hat den Vorteil, das automatisch das Passwort rotiert wird und über dessen Eigenschaften gesteuert wird, an welchen Computern der MSA verwendet werden kann.Hast du danach über den Server Manager den Einrichtungsassistent durchlaufen?
Müsste doch passen, oder?
Grundsätzlich Ja. Aber es wird explizit von von der Verwendung eines gekauften Zertifikats abgeraten => Exploring the Golden SAML Attack Against ADFS. Solltest du dir auf jeden Fall anschauen und Maßnahmen ergreifen.Hat jemand einen schlauen Ratschlag, oder gar die Lösung?
Da du nicht beschrieben hast, was du bisher (nicht) getan hast, verweise ich erst einmal die Basics:https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/design/a ...
https://arnaudpain.com/2019/08/05/windows-server-2019-adfs-step-by-step/
Gruß,
Dani
1
