meowjayjay
Goto Top

Installation AD FS

Mahlzeit Kollegen!

Wir benötigen AD FS für SSO.

Installiert auf: DC
Server: 2019 Datacenter
Updates: aktueller Stand

Rolle lies sich Problemlos installeren - der Dienst " AD FS" lässt sich aber dann nicht starten.

Installation erfolgte über die GUI (SSL Zertifikat + SQL Datenbank).

Auszüge aus EventLog:

Fehler bei einem SQL-Vorgang in der AD FS-Konfigurationsdatenbank mit der Verbindungszeichenfolge Data Source=SQLSERVER.Domain.de\SQLSERVER;Initial Catalog=AdfsConfigurationV4;Integrated Security=True;Min Pool Size=20.  

Zusätzliche Daten 

Ausnahmedetails: 
Fehler bei der Anmeldung für den Benutzer "DOMAIN\DomainController$".  

Was mich hier wundert ist der letzte Teil: Warum da der DC$ drinnen steht und nicht der zu Installierende User (DomainAdmin)..

Weitere Auszüge aus dem Log:

Eine Änderung der Tokendienstkonfiguration wurde festgestellt, es trat jedoch ein Fehler beim erneuten Laden der Konfigurationsänderungen. 

Zusätzliche Daten 
Fehler:  
ADMIN0012: OperationFault


Beim Aktivieren von Endpunkten des Verbunddiensts ist ein Fehler aufgetreten. Beheben Sie Konfigurationsfehler mit PowerShell-Cmdlets, und starten Sie den Verbunddienst erneut. 

Zusätzliche Daten 
Ausnahmedetails: 
System.ServiceModel.FaultException`1[Microsoft.IdentityServer.Protocols.PolicyStore.OperationFault]: ADMIN0012: OperationFault (Fehlerdetail ist gleich Microsoft.IdentityServer.Protocols.PolicyStore.OperationFault).

Der DomainController hat die Gruppenrichtline "Anmelden als Dienst" wo auch der installierende DomainAdmin hinterlegt ist.


Hat jemand einen schlauen Ratschlag, oder gar die Lösung?

VG
Meow

Content-Key: 33589311406

Url: https://administrator.de/contentid/33589311406

Printed on: May 26, 2024 at 05:05 o'clock

Member: user217
user217 Mar 11, 2024 at 13:11:31 (UTC)
Goto Top
Hi,
bist du sicher das dein Zertifikat für die Dienstkommunikationi richtig konfiguriert ist und die CA erreichen kann?
Member: MeowJayJay
MeowJayJay Mar 11, 2024 at 13:42:50 (UTC)
Goto Top
Ist ein gekauftes SSL - welches ich auch für RDS-Gateway benutzte.
Müsste doch passen, oder?
Member: user217
user217 Mar 11, 2024 at 14:04:17 (UTC)
Goto Top
benutze auch ein gekauftes Wildcardcert..die CA von dem Anbieter ist aber im Trusted Store drinnen?
Member: MeowJayJay
MeowJayJay Mar 11, 2024 at 14:58:55 (UTC)
Goto Top
Ja - auch bei der Konfiguration hängt er sich bei "Der AD FS-Windows-Dienst wird gestartet" auf..
Member: user217
user217 Mar 11, 2024 at 15:06:12 (UTC)
Goto Top
Mit welchem Konto läuft dein ADFS Dienst?
Member: user217
user217 Mar 11, 2024 updated at 15:07:56 (UTC)
Goto Top
Und immer schon dran denken:
Benutzerkonto für ADFS benötigt RC4 für Kerberos msDS-SupportedEncryptionTypes=28
ein Bullsh...
Member: MeowJayJay
MeowJayJay Mar 11, 2024 at 15:10:41 (UTC)
Goto Top
Domänen-Admin
Member: user217
user217 Mar 11, 2024 at 15:17:31 (UTC)
Goto Top
schlecht, nimm einen Standarddomuser ohne Rechte. Geh im AD Editor auf den Reiter "Attribut-Editor"
setze dort den Wert 28 bei msDS-SupportedEncryptionTypes.
Warte kurz und starte den Dienst.
Member: Dani
Dani Mar 11, 2024 at 19:35:30 (UTC)
Goto Top
Moin,
Installiert auf: DC
wer macht denn sowas?! Ich hoffe, dass der AD FS ausschließlich im LAN verwendet wird. Ansonsten ist es nur eine Frage der Zeit bis deine Domäne in Gefahr ist. Der fehlende Web Application Proxy und WAF tun ihr übriges.

Rolle lies sich Problemlos installeren - der Dienst " AD FS" lässt sich aber dann nicht starten.
Damit ist es auch nicht getan. In der Regel wird für den Betrieb von AD FS in Verbindung mit MSSSQL ein Managed Service Account (MSA) verwendet. Das hat den Vorteil, das automatisch das Passwort rotiert wird und über dessen Eigenschaften gesteuert wird, an welchen Computern der MSA verwendet werden kann.

Hast du danach über den Server Manager den Einrichtungsassistent durchlaufen?

Müsste doch passen, oder?
Grundsätzlich Ja. Aber es wird explizit von von der Verwendung eines gekauften Zertifikats abgeraten => Exploring the Golden SAML Attack Against ADFS. Solltest du dir auf jeden Fall anschauen und Maßnahmen ergreifen.

Hat jemand einen schlauen Ratschlag, oder gar die Lösung?
Da du nicht beschrieben hast, was du bisher (nicht) getan hast, verweise ich erst einmal die Basics:
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/design/a ...
https://arnaudpain.com/2019/08/05/windows-server-2019-adfs-step-by-step/


Gruß,
Dani