Installation AD FS

Mahlzeit Kollegen!

Wir benötigen AD FS für SSO.

Installiert auf: DC
Server: 2019 Datacenter
Updates: aktueller Stand

Rolle lies sich Problemlos installeren - der Dienst " AD FS" lässt sich aber dann nicht starten.

Installation erfolgte über die GUI (SSL Zertifikat + SQL Datenbank).

Auszüge aus EventLog:

Fehler bei einem SQL-Vorgang in der AD FS-Konfigurationsdatenbank mit der Verbindungszeichenfolge Data Source=SQLSERVER.Domain.de\SQLSERVER;Initial Catalog=AdfsConfigurationV4;Integrated Security=True;Min Pool Size=20.  

Zusätzliche Daten 

Ausnahmedetails: 
Fehler bei der Anmeldung für den Benutzer "DOMAIN\DomainController$".  

Was mich hier wundert ist der letzte Teil: Warum da der DC$ drinnen steht und nicht der zu Installierende User (DomainAdmin)..

Weitere Auszüge aus dem Log:

Eine Änderung der Tokendienstkonfiguration wurde festgestellt, es trat jedoch ein Fehler beim erneuten Laden der Konfigurationsänderungen. 

Zusätzliche Daten 
Fehler:  
ADMIN0012: OperationFault

Beim Aktivieren von Endpunkten des Verbunddiensts ist ein Fehler aufgetreten. Beheben Sie Konfigurationsfehler mit PowerShell-Cmdlets, und starten Sie den Verbunddienst erneut. 

Zusätzliche Daten 
Ausnahmedetails: 
System.ServiceModel.FaultException`1[Microsoft.IdentityServer.Protocols.PolicyStore.OperationFault]: ADMIN0012: OperationFault (Fehlerdetail ist gleich Microsoft.IdentityServer.Protocols.PolicyStore.OperationFault).

Der DomainController hat die Gruppenrichtline "Anmelden als Dienst" wo auch der installierende DomainAdmin hinterlegt ist.

Hat jemand einen schlauen Ratschlag, oder gar die Lösung?

VG
Meow

Please also mark the comments that contributed to the solution of the article

Content-Key: 33589311406

Url: https://administrator.de/contentid/33589311406

Printed on: April 27, 2024 at 08:04 o'clock

9 Comments

Latest comment

Hi,
bist du sicher das dein Zertifikat für die Dienstkommunikationi richtig konfiguriert ist und die CA erreichen kann?

Ist ein gekauftes SSL - welches ich auch für RDS-Gateway benutzte.
Müsste doch passen, oder?

benutze auch ein gekauftes Wildcardcert..die CA von dem Anbieter ist aber im Trusted Store drinnen?

Ja - auch bei der Konfiguration hängt er sich bei "Der AD FS-Windows-Dienst wird gestartet" auf..

Mit welchem Konto läuft dein ADFS Dienst?

Und immer schon dran denken:
Benutzerkonto für ADFS benötigt RC4 für Kerberos msDS-SupportedEncryptionTypes=28
ein Bullsh...

Domänen-Admin

schlecht, nimm einen Standarddomuser ohne Rechte. Geh im AD Editor auf den Reiter "Attribut-Editor"
setze dort den Wert 28 bei msDS-SupportedEncryptionTypes.
Warte kurz und starte den Dienst.

Moin,

Installiert auf: DC

wer macht denn sowas?! Ich hoffe, dass der AD FS ausschließlich im LAN verwendet wird. Ansonsten ist es nur eine Frage der Zeit bis deine Domäne in Gefahr ist. Der fehlende Web Application Proxy und WAF tun ihr übriges.

Rolle lies sich Problemlos installeren - der Dienst " AD FS" lässt sich aber dann nicht starten.

Damit ist es auch nicht getan. In der Regel wird für den Betrieb von AD FS in Verbindung mit MSSSQL ein Managed Service Account (MSA) verwendet. Das hat den Vorteil, das automatisch das Passwort rotiert wird und über dessen Eigenschaften gesteuert wird, an welchen Computern der MSA verwendet werden kann.

Hast du danach über den Server Manager den Einrichtungsassistent durchlaufen?

Müsste doch passen, oder?

Grundsätzlich Ja. Aber es wird explizit von von der Verwendung eines gekauften Zertifikats abgeraten => Exploring the Golden SAML Attack Against ADFS. Solltest du dir auf jeden Fall anschauen und Maßnahmen ergreifen.

Hat jemand einen schlauen Ratschlag, oder gar die Lösung?

Da du nicht beschrieben hast, was du bisher (nicht) getan hast, verweise ich erst einmal die Basics:
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/design/a ...
https://arnaudpain.com/2019/08/05/windows-server-2019-adfs-step-by-step/

Gruß,
Dani

German Question Windows Installation Windows Server Windows Tools Windows User Management