Guida ai Management Pack di
Active Directory Federation Services 2.0 per
Operations Manager 2007
Microsoft Corporation
Data di pubblicazione: giugno 2010
Inviare suggerimenti e commenti su questo documento a [email protected] Insieme ai
propri commenti e suggerimenti, includere il nome della guida ai Management Pack.
Copyright
Le informazioni contenute nel presente documento, inclusi gli URL e altri riferimenti a siti Web,
sono soggette a modifiche senza preavviso. Se non diversamente specificato, i nomi di società,
organizzazioni, prodotti, domini, persone e luoghi, nonché gli indirizzi di posta elettronica, i logo e
gli eventi utilizzati negli esempi sono fittizi. Non esistono, né devono essere dedotti, collegamenti
a società, organizzazioni, prodotti, nomi di dominio, indirizzi di posta elettronica, logo, persone,
luoghi ed eventi reali. Il rispetto di tutte le applicabili leggi in materia di copyright è
esclusivamente a carico dell'utente. Fermi restando tutti i diritti coperti da copyright, nessuna
parte di questo documento potrà comunque essere riprodotta o inserita in un sistema di
riproduzione o trasmessa in qualsiasi forma e con qualsiasi mezzo (in formato elettronico,
meccanico, su fotocopia, come registrazione o altro) per qualsiasi scopo, senza il permesso
scritto di Microsoft Corporation.
Microsoft può essere titolare di brevetti, domande di brevetto, marchi, copyright o altri diritti di
proprietà intellettuale relativi all'oggetto del presente documento. Salvo quanto espressamente
previsto in un contratto scritto di licenza Microsoft, la consegna del presente documento non
implica la concessione di alcuna licenza su tali brevetti, marchi, copyright o altra proprietà
intellettuale.
© 2008 Microsoft Corporation. Tutti i diritti riservati.
Microsoft, MS-DOS, Windows, Windows Server e Active Directory sono marchi o marchi registrati
di Microsoft Corporation negli Stati Uniti e/o negli altri paesi.
Tutti gli altri marchi sono proprietà dei rispettivi proprietari.
Cronologia revisioni
Data di pubblicazione
Modifiche
Giugno 2010
Versione originale della presente guida
Contenuto
Introduzione al Management Pack di AD FS 2.0 ............................................................................ 4
Configurazioni supportate ............................................................................................................ 4
Introduzione ..................................................................................................................................... 5
Prima di importare il Management Pack ...................................................................................... 5
File in questo Management Pack ............................................................................................. 5
Management Pack aggiuntivi consigliati ................................................................................... 5
Modalità di importazione del Management Pack di AD FS 2.0 .................................................... 6
Configurazione iniziale ................................................................................................................. 6
Creare un nuovo Management Pack per le personalizzazioni ................................................. 6
Individuare i componenti monitorati .......................................................................................... 7
Configurazione facoltativa ............................................................................................................... 7
Considerazioni sulla sicurezza ........................................................................................................ 8
Ambienti con privilegi limitati ........................................................................................................ 8
Informazioni sulle operazioni di Management Pack ........................................................................ 9
Oggetti individuati dal Management Pack di AD FS 2.0 .............................................................. 9
Classi .......................................................................................................................................... 10
Scenari di monitoraggio principali .............................................................................................. 12
Scenario di errori di rilascio del token ..................................................................................... 12
Scenario di errori di accettazione del token ............................................................................ 19
Scenario di errori della gestione delle relazioni di trust .......................................................... 22
Scenario di errori del sito Web................................................................................................ 25
Scenario di errori di sincronizzazione del Database interno di Windows (WID)..................... 27
Scenari di errori della gestione certificati ................................................................................ 28
Scenario generale di errori del server federativo .................................................................... 28
Scenario generale di errori del proxy server federativo .......................................................... 32
Problemi noti .............................................................................................................................. 34
Appendice: script ........................................................................................................................... 34
Introduzione al Management Pack di AD FS
2.0
Il Management Pack di Active Directory Federation Services (AD FS) 2.0 consente il
monitoraggio proattivo e reattivo della distribuzione di AD FS 2.0 per i ruoli sia del server
federativo sia del proxy server federativo. Il Management Pack consente di monitorare gli eventi
registrati dal servizio Windows AD FS 2.0 nel registro eventi di AD FS 2.0, nonché i dati delle
prestazioni raccolti dagli appositi contatori di AD FS 2.0. Permette inoltre di monitorare l'integrità
complessiva del sistema AD FS 2.0 e l'applicazione passiva federativa, nonché di ricevere avvisi
riguardanti problemi gravi.
In questo Management Pack è incluso il monitoraggio dei seguenti componenti principali: rilascio
e accettazione di token, servizio artefatto, siti Web, gestione delle relazioni di trust, rollover dei
certificati e sincronizzazione di Database interno di Windows. Ad esempio, il Management Pack
di AD FS 2.0 consente di monitorare gli elementi seguenti:

Eventi che indicano interruzioni del servizio ed errori o avvisi operativi

Avvisi che indicano problemi di configurazione ed errori o avvisi delle attività in background

Corretta esecuzione del controllo

Comunicazione tra il server federativo e il proxy server federativo

Notifica di richieste di accesso errate

Disponibilità del sito Web

Integrità del certificato SSL (Secure Sockets Layer) del sito Web passivo federativo in IIS
(Internet Information Services) (disponibile in <NomeComputer>\Sites\Default Web
Site\adfs\ls).
Versione del documento
Questa guida è stata scritta in base alla versione 1.0.22.8 del Management Pack di AD FS 2.0.
Acquisizione del Management Pack più recente e
della relativa documentazione
Il Management Pack di AD FS 2.0 è disponibile in System Center Operations Manager 2007
Catalog (http://go.microsoft.com/fwlink/?LinkId=82105).
Configurazioni supportate
Il Management Pack di Active Directory Federation Services (AD FS) 2.0 è supportato nelle
configurazioni dei sistemi operativi indicati nella tabella riportata di seguito.
4
Configurazione
Supporto
Windows Server 2008
A 32 e a 64 bit
Windows Server 2008 R2
A 64 bit
Tutti i supporti sono soggetti al Supporto tecnico Microsoft
(http://go.microsoft.com/fwlink/?Linkid=26134) generale e al documento Configurazioni
supportate di Operations Manager 2007 R2 (http://go.microsoft.com/fwlink/?Linkid=90676).
Introduzione
In questa sezione vengono descritte le azioni da intraprendere prima di importare il Management
Pack di Active Directory Federation Services (AD FS) 2.0, i passaggi da eseguire dopo
l'importazione del Management Pack di AD FS 2.0 e le informazioni sulle personalizzazioni.
Prima di importare il Management Pack
Prima di importare il Management Pack di Active Directory Federation Services (AD FS) 2.0,
effettuare le azioni seguenti:

Installare System Center Operations Manager 2007 R2 o System Center Operations
Manager 2007 Service Pack 1 (SP1).

Se si utilizza la procedura guidata Aggiunta servizi ruolo in Windows Server 2008, verificare
che i servizi ruolo Compatibilità di gestione con IIS 6 e Compatibilità metabase IIS 6
siano installati. Alcuni script AD FS 2.0 dipendono dagli oggetti Strumentazione gestione
Windows (WMI) di Internet Information Services (IIS) installati.
File in questo Management Pack
Nel Management Pack di Active Directory Federation Services (AD FS) 2.0 è incluso il file
Microsoft.ActiveDirectoryFederationServices.2.0.
Management Pack aggiuntivi consigliati
Sebbene non sia richiesto alcun ulteriore Management Pack per l'esecuzione del Management
Pack di Active Directory Federation Services (AD FS) 2.0, i Management Pack seguenti
potrebbero essere utili perché completano i servizi di monitoraggio di AD FS 2.0:

Windows Server Internet Information Services 7 Management Pack for System Center
Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkID=156502)

Microsoft SQL Server Management Pack for Operations Manager 2007
(http://go.microsoft.com/fwlink/?LinkID=156501)
5
Modalità di importazione del Management Pack di
AD FS 2.0
Per istruzioni sull'importazione di un Management Pack, vedere How to Import a Management
Pack in Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkID=98348).
Dopo l'importazione del Management Pack di Active Directory Federation Services (AD FS) 2.0,
creare un nuovo Management Pack in cui archiviare sostituzioni e altre personalizzazioni.
Configurazione iniziale
Dopo aver importato il Management Pack di Active Directory Federation Services (AD FS) 2.0,
seguire queste procedure per completare la configurazione iniziale:
1. Creare un nuovo Management Pack in cui archiviare sostituzioni e personalizzazioni.
2. Individuare i componenti monitorati.
Creare un nuovo Management Pack per le personalizzazioni
La maggior parte dei Management Pack dei fornitori è bloccata in modo che non sia possibile
modificare le impostazioni originali nel file del Management Pack. Tuttavia, è possibile creare
personalizzazioni, ad esempio sostituzioni o nuovi oggetti di monitoraggio, e salvarle in un
Management Pack diverso. Per impostazione predefinita, System Center Operations
Manager 2007 consente di salvare tutte le personalizzazioni nel Management Pack predefinito. È
consigliabile, invece, creare un Management Pack separato per ogni Management Pack bloccato
che si desidera personalizzare.
La creazione di un nuovo Management Pack per archiviare le sostituzioni presenta i vantaggi
seguenti:

Semplifica il processo di esportazione delle personalizzazioni create negli ambienti di testing
e di preproduzione nell'ambiente di produzione. Ad esempio, invece di esportare il
Management Pack predefinito contenente le personalizzazioni di più Management Pack, è
possibile esportare solo il Management Pack in cui sono incluse le personalizzazioni di un
singolo Management Pack.

È possibile eliminare il Management Pack originale senza dover innanzitutto eliminare quello
predefinito. Un Management Pack contenente personalizzazioni dipende da quello originale.
Questa dipendenza richiede di eliminare innanzitutto il Management Pack con le
personalizzazioni e, successivamente, quello originale. Se tutte le personalizzazioni vengono
salvate nel Management Pack predefinito, è necessario eliminare innanzitutto quest'ultimo e,
successivamente, quello originale.

L'individuazione e l'aggiornamento delle personalizzazioni sono più semplici in singoli
Management Pack.
Per ulteriori informazioni sui Management Pack bloccati e non bloccati, vedere Management
Pack Formats (http://go.microsoft.com/fwlink/?LinkId=108355). Per ulteriori informazioni sulle
personalizzazioni dei Management Pack e sul Management Pack predefinito, vedere About
6
Management Packs in Operations Manager 2007
(http://go.microsoft.com/fwlink/?LinkId=108356).
Individuare i componenti monitorati
È necessario configurare l'agente o il server Operation Manager affinché disponga
dell'autorizzazione per individuare i componenti monitorati. Una volta eseguita questa
operazione, assicurarsi che sia per l'agente sia per Operation Manager l'opzione Consenti a
questo server/agente di funzionare come proxy e individuare oggetti gestiti su altri
computer sia abilitata.
Per configurare l'agente
1. Aprire Operations Console di Operation Manager.
2. Nel pannello sinistro fare clic sulla scheda Amministrazione.
3. Fare clic su Gestione dispositivo, quindi su Gestito tramite agente.
4. Nel pannello destro fare clic sull'agente che si desidera configurare, quindi scegliere
Proprietà.
5. Nella pagina Proprietà agente fare clic sulla scheda Protezione.
6. Assicurarsi che la casella di controllo Consenti a questo agente di funzionare come
proxy e individuare oggetti gestiti sugli altri computer sia selezionata.
Per configurare Operation Manager
1. Aprire Operations Console di Operation Manager.
2. Nel pannello sinistro fare clic sulla scheda Amministrazione.
3. Fare clic su Gestione dispositivo, quindi su Server di gestione.
4. Nel pannello destro fare clic sull'agente che si desidera configurare, quindi scegliere
Proprietà.
5. Nella pagina Proprietà server di gestione fare clic sulla scheda Protezione.
6. Assicurarsi che la casella di controllo Consenti a questo server di funzionare come
proxy e individuare oggetti gestiti su altri computer sia selezionata.
Configurazione facoltativa
Abilitare il monitoraggio delle regole di
autorizzazione
In base alla modalità con cui Active Directory Federation Services (AD FS) 2.0 è stato sviluppato
nell'organizzazione, è possibile consentire la possibilità di monitorare come utilizzare le regole
7
attestazione di autorizzazione nell'organizzazione. Microsoft presuppone che gli amministratori,
prima di inserire AD FS 2.0 nella produzione, abbiano configurato correttamente le regole
attestazione di autorizzazione dell'utente, pertanto qualsiasi caso di accesso negato sperimentato
dagli utenti è un risultato delle regole attestazione di autorizzazione che sono state configurate.
Le regole seguenti sono disabilitate per impostazione predefinita nel Management Pack di
AD FS 2.0:

Errore di autorizzazione OnBehalfOf

Errore di autorizzazione del chiamante

Errore di autorizzazione ActAs
Tali regole possono essere abilitate effettuando la seguente procedura.
Per abilitare le regole
1. Aprire Operations Console di Operation Manager.
2. Fare clic sulla scheda Creazione e modifica nel pannello sinistro.
3. Fare clic su Oggetti Management Pack, quindi su Regole.
4. Nell'elenco delle regole individuare la regola che si desidera abilitare in Tipo: rilascio
token, fare clic con il pulsante destro del mouse sulla regola, scegliere Sostituzioni,
selezionare Sostituisci la regola, quindi fare clic su Per tutti gli oggetti della classe:
rilascio token.
Considerazioni sulla sicurezza
Potrebbe essere necessario personalizzare il Management Pack di Active Directory Federation
Services (AD FS) 2.0. Determinati account non possono essere eseguiti in un ambiente con
privilegi limitati o devono disporre di autorizzazioni minime.
Ambienti con privilegi limitati
Affinché sia possibile eseguire correttamente ognuno degli script di monitoraggio lato client,
l'account azione deve essere membro del gruppo Administrators o un account sistema locale nel
computer agente in cui Active Directory Federation Services (AD FS) 2.0 è in esecuzione.
8
Informazioni sulle operazioni di Management
Pack
In questa sezione vengono fornite informazioni aggiuntive sui tipi di oggetti individuati dal
Management Pack di Active Directory Federation Services (AD FS) 2.0 e sulle classi interessate.
Inoltre, vengono illustrati i concetti introdotti nella sezione Scenari di monitoraggio principali.
Oggetti individuati dal Management Pack di AD FS
2.0
I tipi di oggetto elencati nella tabella seguente vengono individuati dal Management Pack di
Active Directory Federation Services (AD FS) 2.0. Nella tabella sono indicati i tipi di oggetto
individuati, in base al ruolo di AD FS 2.0 (ruolo server federativo o ruolo proxy server federativo)
nel computer individuato.
Ruolo
Tipo di oggetto
Server federativo
Valore iniziale del server federativo
Server federativo
AD FS 2.0
Server federativo
Servizio federativo
Server federativo
Server federativo
Server federativo
Autenticazione
Server federativo
Gestione certificati
Server federativo
Gestione dell'attendibilità
Server federativo
Siti Web
Server federativo
Sincronizzazione WID
Server federativo
Servizio artefatto
Server federativo
Accettazione del token
Server federativo
Rilascio del token
Proxy server federativo
Valore iniziale del proxy server federativo
Proxy server federativo
AD FS 2.0
Proxy server federativo
Proxy server federativi
Proxy server federativo
Proxy server federativo
Proxy server federativo
Autenticazione
9
Ruolo
Tipo di oggetto
Proxy server federativo
Siti Web
Il valore iniziale del server federativo o il tipo di oggetto iniziale del proxy server federativo viene
individuato quando il server federativo o il proxy server federativo è installato nel computer
monitorato.
Per informazioni sull'individuazione di oggetti, vedere Object Discoveries in Operations
Manager 2007 nella Guida di System Center Operations Manager 2007
(http://go.microsoft.com/fwlink/?LinkId=108505).
Classi
Nel diagramma seguente vengono mostrate le classi definite nel Management Pack di
Active Directory Federation Services (AD FS) 2.0.
10
Classi astratte
Le classi astratte non dispongono di alcuna istanza ed esistono solo per funzionare come classe
di base per altre classi. Pertanto, la classe
Microsoft.ActiveDirectoryFederationServices20.FederationServer, e tutte le classi da questa
ospitate, ereditano una classe astratta denominata
Microsoft.ActiveDirectoryFederationServices20.FederationServerBase.
Analogamente, la classe Microsoft.ActiveDirectoryFederationServices20.FederationServerProxy,
e tutte le classi da questa ospitate, ereditano una classe astratta denominata
Microsoft.ActiveDirectoryFederationServices20.FederationServerProxyBase.
Sia la classe Microsoft.ActiveDirectoryFederationServices20.FederationServer sia la classe
Microsoft.ActiveDirectoryFederationServices20.FederationServerBase ereditano da un'altra
11
classe astratta denominata
Microsoft.ActiveDirectoryFederationServices20.ActiveDirectoryFederationServices20Base.
Scenari di monitoraggio principali
Nelle tabelle riportate di seguito sono elencati i sottoscenari di monitoraggi e regole implementate
dal Management Pack di Active Directory Federation Services (AD FS) 2.0 per scenari principali
di monitoraggio di livello più alto. Se esistono errori in tali scenari oppure un evento riuscito indica
un avviso, verrà generato un avviso.
In alcuni casi, gli avvisi vengono eliminati in modo che ne venga generato uno soltanto se si
verificano molti errori e avvisi con la stessa causa principale. Vedere la colonna Eliminazione
avviso nelle tabelle di questa sezione. Per regole e monitoraggi basati su eventi, l'evento viene
contato prima della generazione di un avviso per gli errori intermittenti. Vedere la colonna
Conteggio eventi nelle tabelle di questa sezione.
Nota
L'eliminazione avviso viene applicata solo alle regole. Il conteggio eventi viene applicato
solo ai monitoraggi.
Scenario di errori di rilascio del token
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori relativi
al rilascio di token rilevati nel computer del proxy server federativo e nel Servizio federativo per gli
eventi di avviso correlati al rilascio di token.
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Artefatto: impossibile
connettersi al database
degli artefatti.
Errore di apertura
connessione al database
degli artefatti
N/D
No
Artefatto: impossibile
ottenere artefatti dal
relativo database.
Errore di lettura dal
database degli artefatti
N/D
No
Artefatto: impossibile
aggiungere artefatti al
relativo database.
Errore di aggiunta al
database degli artefatti
N/D
No
Artefatto: impossibile
rimuovere artefatti dal
relativo database.
Errore di rimozione dal
database degli artefatti
N/D
Se in un'ora si
verificano almeno
30 volte gli stessi
errori
Artefatto: impossibile
avviare il servizio
Eccezione di avvio del
servizio artefatto
N/D
No
12
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Artefatto: servizio di
risoluzione artefatto
SAML non abilitato per il
componente.
Errore di artefatto
richiesto ma disabilitato
Eliminazione se gli
errori sono correlati
allo stesso
componente
N/D
Richiesta di risoluzione
artefatto: endpoint della
risoluzione artefatto
SAML non configurato o
disabilitato.
Errore di endpoint di
risoluzione artefatto non
configurato
Eliminazione se si
verificano gli stessi
errori
N/D
Richiesta di risoluzione
artefatto: la richiesta di
risoluzione artefatto
SAML ha specificato
un'autorità di
certificazione non
configurata per il
componente.
Errore di identità del
servizio di risoluzione
artefatto non trovata
Eliminazione se gli
errori sono correlati
allo stesso
componente
N/D
Richiesta di risoluzione
artefatto: richiesta di
risoluzione artefatto
SAML non riuscita.
Risoluzione artefatto non
riuscita
N/D
No
Richiesta di risoluzione
artefatto: il Servizio
federativo non è stato in
grado di rilasciare un
token poiché non è stato
possibile risolvere
l'artefatto SAML. La
richiesta di risoluzione
artefatto sull'attendibilità
del provider di
attestazioni non è
riuscita.
Errore della richiesta di
risoluzione artefatto
SAML
Eliminazione se gli
N/D
errori sono correlati
allo stesso provider di
attestazioni
Richiesta di risoluzione
artefatto: il provider di
attestazioni non dispone
di un endpoint di
risoluzione artefatto
Errore di endpoint di
risoluzione artefatto
SAML non trovato
Eliminazione se gli
N/D
errori sono correlati
allo stesso provider di
attestazioni
artefatto.
13
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Servizio consumer di
asserzione: nella
richiesta SAML è
specificato un indice del
servizio consumer di
asserzione non
configurato nel
componente.
Indice del servizio
consumer di asserzione
non corrispondente
Eliminazione se gli
errori sono correlati
allo stesso
componente e allo
stesso indice del
servizio consumer di
asserzione
N/D
Servizio consumer di
asserzione: endpoint del
binding di protocollo di
servizio consumer di
asserzione specificato
nella richiesta SAML non
configurato nel
componente.
Binding del protocollo del
servizio consumer di
asserzione non
corrispondente
Eliminazione se gli
errori sono correlati
allo stesso
componente e allo
stesso binding di
protocollo di servizio
consumer di
asserzione
N/D
Servizio consumer di
URL del servizio
asserzione: URL di
consumer di asserzione
servizio consumer di
non corrispondente
asserzione specificato
nella richiesta SAML non
configurato nel
componente.
Eliminazione se gli
errori sono correlati
allo stesso
componente e allo
stesso URL di
servizio consumer di
asserzione
N/D
Servizio consumer di
Endpoint del servizio
asserzione: endpoint di
consumer di asserzione
servizio consumer di
non configurato
asserzione specificato
nella richiesta SAML non
configurato nel
componente.
Eliminazione se gli
errori sono correlati
allo stesso
componente
N/D
Sevizio consumer di
asserzione: componente
non configurato con i
servizi consumer di
asserzione SAML.
Eliminazione se gli
errori sono correlati
allo stesso
componente
N/D
SAML con l'indice
specificato configurato.
Risoluzione artefatto non
riuscita.
Errore di configurazione
mancante dei servizi
consumer di asserzione
SAML
14
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Archivio attributi:
impossibile caricare
l'archivio attributi
configurato nel Servizio
federativo.
Errore di caricamento
dell'archivio attributi
Eliminazione se gli
errori sono correlati
allo stesso archivio
attributi
N/D
Archivio attributi: si è
verificato un errore
durante il tentativo di
inviare una query
all'archivio attributi SQL.
Errore di esecuzione
query all'archivio attributi
SQL
Eliminazione se gli
errori sono correlati
allo stesso archivio
attributi SQL e alla
stessa query
N/D
Archivio attributi: si è
verificato un errore di
elaborazione
nell'archivio attributi o
nella relativa regola.
Errore di elaborazione
regola dell'archivio
attributi
N/D
No
Autorizzazione: il
Servizio federativo non è
stato in grado di
autorizzare il rilascio di
token per il chiamante
per conto del soggetto
del componente.
Errore di autorizzazione
OnBehalfOf
Eliminazione se gli
N/D
errori sono correlati
allo stesso
chiamante, allo
stesso soggetto e allo
stesso componente
Autorizzazione: il
Servizio federativo non
ha potuto autorizzare il
rilascio di token per il
chiamante al
componente.
Errore di autorizzazione
del chiamante
Eliminazione se gli
errori sono correlati
allo stesso chiamante
e allo stesso
componente
N/D
Certificato: certificato per Componente firmatario
la firma di token per il
del certificato non valido
componente non valido.
Eliminazione se gli
errori sono correlati
allo stesso
componente e alla
stessa identificazione
personale
N/D
Certificato: l'account del
servizio utilizzato dal
servizio Windows AD FS
2.0 non dispone
N/D
No
Errore di chiave privata
del certificato
inaccessibile
15
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Certificato: si è verificato
un errore durante il
tentativo di compilare la
catena di certificati per
l'attendibilità del
componente utilizzando
il certificato di crittografia
identificato da
un'identificazione
personale.
Errore del certificato di
crittografia del
componente
Eliminazione se gli
errori sono correlati
allo stesso
componente e alla
stessa identificazione
personale
N/D
Certificato: si è verificato
un errore durante la
compilazione della
catena di certificati per il
certificato client
identificato
dall'identificazione
personale.
Errore di controllo CRL
certificato client
Eliminazione se gli
errori sono correlati
alla stessa
identificazione
personale
N/D
Controller di dominio: il
Servizio federativo non è
in grado di trovare un
controller di dominio nel
dominio.
Errore di ricerca LDAP
Eliminazione se gli
errori sono correlati
allo stesso controller
di dominio
N/D
Endpoint: endpoint MEX
(WS-Metadata
Exchange) utilizzato per
l'autenticazione sui
protocolli SOAP e HTTP
non raggiungibile.
Endpoint MEX non
raggiungibile
N/D
N/D
Endpoint: endpoint MEX
(WS-Metadata
Exchange) del proxy
server federativo nel
server federativo non
raggiungibile.
Endpoint MEX proxy non
raggiungibile
N/D
N/D
dell'autorizzazione per la
chiave privata dei relativi
certificati per la firma e/o
la decrittografia di token.
16
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Passivo federativo: si è
verificato un errore di
comunicazione durante
un tentativo di ottenere
un token dal Servizio
federativo.
Errore di comunicazione
del servizio passivo
federativo
N/D
No
Passivo federativo: si è
verificato un errore
durante la richiesta
passiva federativa.
Richiesta passiva
federativa non riuscita
N/D
No
Passivo federativo: si è
verificato un errore
durante la
disconnessione passiva
federativa.
Errore di disconnessione
passiva federativa nel
proxy server federativo
N/D
No
Passivo federativo: si è
verificato un errore di
comunicazione durante
un tentativo di ottenere
un token dal Servizio
federativo.
Errore di comunicazione
del servizio passivo
federativo nel proxy
server federativo
N/D
No
Passivo federativo: si è
verificato un errore
durante la richiesta
passiva federativa.
Richiesta passiva
N/D
federativa non riuscita nel
proxy server federativo
No
Server di catalogo
globale: il Servizio
federativo non è stato in
grado di connettersi a un
server di catalogo
globale.
Errore di connessione al
Eliminazione se gli
server di catalogo globale errori sono correlati
allo stesso server di
catalogo globale
N/D
Server di catalogo
globale: il Servizio
federativo non è stato in
grado di inviare una
query a un server di
catalogo globale.
Errore del server di
catalogo globale LDAP
Eliminazione se gli
errori sono correlati
allo stesso server di
catalogo globale
N/D
Server LDAP:
Errore di connessione
Eliminazione se gli
N/D
17
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
connessione del Servizio LDAP
federativo a un server
LDAP non riuscita.
errori sono correlati
allo stesso server
LDAP
Server LDAP: query del
Servizio federativo a un
server LDAP non
riuscita.
Eliminazione se gli
errori sono correlati
allo stesso server
LDAP
N/D
Criterio NameID: il
Criterio NameID non
server federativo non è
supportato
stato in grado di
elaborare la richiesta di
autenticazione SAML
poiché è stato
impossibile soddisfare il
criterio NameID
specificato nella richiesta
di autenticazione.
Eliminazione se gli
errori sono correlati
allo stesso
componente e allo
stesso criterio
NameID
N/D
Richiesta SAML: il
Servizio federativo ha
rilevato un errore
durante l'elaborazione
della richiesta di
autenticazione SAML.
Errore di elaborazione
richiesta SAML
N/D
No
Sicurezza: il token
utilizzato per autenticare
l'utente o la richiesta è
firmato con l'algoritmo di
firma che non è
l'algoritmo di firma
previsto.
Errore dell'algoritmo di
firma vulnerabile
Eliminazione se gli
errori sono correlati
alla stessa autorità di
certificazione
N/D
Sicurezza: la richiesta di
risoluzione artefatto
SAML è firmata con
l'algoritmo di firma che
non è l'algoritmo di firma
previsto.
Errore dell'algoritmo di
firma vulnerabile nella
richiesta di risoluzione
artefatto
Eliminazione se gli
errori sono correlati
allo stesso
componente
N/D
Sicurezza: la richiesta
SAML è firmata con
l'algoritmo di firma che
Errore dell'algoritmo di
firma vulnerabile nella
Eliminazione se si
verificano gli stessi
N/D
Errore di query al server
LDAP
18
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
non è l'algoritmo di firma
previsto.
richiesta SAML
errori
Sicurezza: il Servizio
federativo non è stato in
grado di soddisfare una
richiesta di token poiché
il requisito del tipo di
autenticazione per il
componente non è stato
soddisfatto.
Tipo di autenticazione
non valido
Eliminazione se gli
errori sono correlati
allo stesso
componente e allo
stesso tipo di
autenticazione
N/D
Verifica firma: la verifica
della firma del
messaggio SAML da
parte dell'autorità di
certificazione messaggi
non è riuscita.
Errore di verifica della
firma di richiesta SAML
Eliminazione se gli
errori sono correlati
alla stessa autorità di
certificazione
messaggi
N/D
Verifica firma: il servizio
di risoluzione artefatto
non ha potuto verificare
la firma della richiesta.
Errore di verifica firma del Eliminazione se si
servizio di risoluzione
verificano gli stessi
artefatto
errori
N/D
Attendibilità:
l'attendibilità tra il proxy
server federativo e il
Servizio federativo è
stata stabilita
correttamente.
Attendibilità del proxy
server federativo
determinata
correttamente
No
N/D
Richiesta WS Trust: il
Servizio federativo ha
rilevato un errore
durante un tentativo di
elaborare la richiesta
WS-Trust.
Errore di elaborazione
richiesta WS-Trust
N/D
No
Scenario di errori di accettazione del token
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori relativi
all'accettazione di token nel Servizio federativo e altri eventi di avviso. Alcuni errori
comprometteranno anche il rilascio dei token.
19
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Richiesta di risoluzione
artefatto: l'attendibilità
del provider di
attestazioni non
dispone dell'endpoint
del servizio di
risoluzione artefatto
SAML configurato.
Risoluzione artefatto
SAML non riuscita.
Endpoint del servizio di
risoluzione artefatto
mancante
Eliminazione se gli
errori sono correlati
allo stesso provider di
attestazioni
N/D
Certificato: il certificato
per la firma di token per
il provider di
attestazioni non è
valido.
Certificato di firma del
provider di attestazioni
non valido
Eliminazione se gli
errori sono correlati
allo stesso provider di
attestazioni e alla
stessa identificazione
personale
N/D
Certificato: impossibile
trovare il certificato
utilizzato per
convalidare la firma per
il token/messaggio
ottenuta dal provider di
attestazioni.
Accettazione e rilascio
del token non riusciti.
Impossibile trovare il
certificato per la firma del
provider di attestazioni
Eliminazione se gli
errori sono correlati
allo stesso provider di
attestazioni
N/D
Certificato: il certificato
di crittografia del
provider di attestazioni
non è valido.
Disconnessione SAML
non riuscita.
Certificato di crittografia
del provider di
attestazioni non valido
Eliminazione se gli
errori sono correlati
allo stesso provider di
attestazioni
N/D
Passivo federativo: si è Errore di disconnessione
verificato un errore
passiva federativa
durante la
disconnessione passiva
federativa.
N/D
No
Passivo federativo: si è
verificato un errore
durante l'elaborazione
Eliminazione se gli
errori sono correlati
alla stessa identità
N/D
Errore di disconnessione
SAML
20
Sottoscenario
Nome regola/monitoraggio
della richiesta di
disconnessione SAML.
Eliminazione avviso
Conteggio eventi
iniziatore
disconnessione e alla
stessa identità
chiamante
Passivo federativo: la
richiesta di
disconnessione singola
SAML non corrisponde
al partecipante alla
sessione connesso.
Errore di identificatore
nome di disconnessione
SAML non trovato
Eliminazione se gli
errori sono correlati
allo stesso richiedente
e allo stesso
identificatore nome
N/D
Verifica firma:
impossibile verificare la
firma della risposta
dell'artefatto dal
provider di attestazioni.
Controllo della firma non
riuscito per risposta
dell'artefatto
Eliminazione se gli
errori sono correlati
allo stesso provider di
attestazioni
N/D
Rilevamento
riproduzione token: il
servizio di risoluzione
artefatto SAML ha
rilevato un errore
durante il tentativo di
effettuare un
rilevamento
riproduzione token.
Rilevamento della
risposta del token non
riuscito.
Errore di rilevamento
della risposta del token
N/D
No
Convalida token:
l'autorità di
certificazione token
identificata dalla chiave
non corrisponde ad
alcuna attendibilità nota
del provider di
attestazioni configurata
per il Servizio
federativo.
Autorità di certificazione
token non corrispondente
Eliminazione se gli
errori sono correlati
allo stesso provider di
attestazioni
N/D
Convalida token:
l'attributo NotBefore per
Errore per token di
protezione non ancora
Eliminazione se si
verificano gli stessi
N/D
21
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
il token ricevuto
presenta un valore
impostato su una data
futura.
valido
errori
Convalida token: l'URI
del pubblico specificato
nel token non
corrisponde agli
identificatori consentiti
per il Servizio
federativo.
URI del gruppo di
destinatari non valido
Eliminazione se si
verificano gli stessi
errori
N/D
Convalida token:
convalida token non
riuscita.
Errore di convalida del
token di protezione
N/D
No
Convalida token: un
token di protezione è
stato rifiutato perché il
valore di IssueInstant
specificato è
precedente all'intervallo
di tempo consentito.
Errore di IssuanceInstant
non valido
N/D
No
Scenario di errori della gestione delle relazioni di trust
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori relativi
alla gestione delle relazioni di trust nel Servizio federativo e altri eventi di avviso.
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Aggiornamento
automatico:
l'aggiornamento
automatico dei metadati
federativi per una o più
configurazioni di
attendibilità è stato
disabilitato, mentre il
monitoraggio automatico
è stato abilitato. Per
qualsiasi modifica futura
Aggiornamento
automatico
dell'attendibilità
disabilitato
N/D
No
22
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Aggiornamento
Aggiornamento
automatico: il servizio di automatico riuscito con
monitoraggio attendibilità avviso
ha completato
l'aggiornamento
automatico
dell'attendibilità con le
modifiche pubblicate del
partner. Tuttavia, alcuni
metadati sono stati
ignorati.
Eliminazione se gli
errori sono correlati
alla stessa
attendibilità
N/D
Aggiornamento
Aggiornamento
automatico: il servizio di automatico ignorato con
monitoraggio attendibilità avviso
ha rilevato modifiche nei
metadati federativi
dell'attendibilità, ma non
ha applicato
automaticamente le
modifiche al partner di
attendibilità.
Eliminazione se gli
errori sono correlati
alla stessa
attendibilità
N/D
Operazione database di Errore di scrittura del
configurazione: il servizio monitoraggio attendibilità
di monitoraggio
attendibilità di AD FS 2.0
ha rilevato un errore
durante la scrittura in un
oggetto nel database di
configurazione di AD FS.
N/D
Se lo stesso errore
si verifica più di 3
volte in 5 giorni
Operazione di database
di configurazione: errore
durante il tentativo di
N/D
Se lo stesso errore
si verifica più di 3
apportata alle
organizzazioni partner
non verrà
automaticamente
eseguito il commit nelle
configurazioni di
attendibilità sul servizio
federativo.
Errore di lettura del
monitoraggio attendibilità
23
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
leggere i dati archiviati
nel database di
configurazione di AD FS.
Il monitoraggio
attendibilità è stato
temporaneamente
interrotto, un nuovo
tentativo verrà effettuato
automaticamente in base
al valore di intervallo del
monitoraggio impostato
per tutte le attendibilità.
Conteggio eventi
volte in 5 giorni
Metadati federativi: il
Servizio federativo non è
riuscito a recuperare il
documento di metadati
federativi.
Errore di recupero del
monitoraggio attendibilità
N/D
Se lo stesso errore
si verifica più di 3
volte in 5 giorni
Metadati federativi: il
Servizio federativo non è
riuscito a creare il
documento di metadati
federativi.
Creazione del documento
di metadati federativi non
riuscita
N/D
No
Metadati federativi: il
Errore durante l'ascolto
Servizio federativo non è delle richieste di metadati
stato in grado di
federativi
eseguire l'ascolto delle
richieste per la lettura del
documento di metadati
federativi a causa di un
errore imprevisto.
N/D
No
Metadati federativi: il
servizio di monitoraggio
attendibilità non è
riuscito a leggere il
documento di metadati
federativi.
Errore di analisi dei
metadati federativi
N/D
Se lo stesso errore
si verifica più di 3
volte in 5 giorni
Metadati federativi: il
servizio di monitoraggio
attendibilità non è
Errore di elaborazione dei
metadati federativi
N/D
Se lo stesso errore
si verifica più di 3
volte in 5 giorni
24
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
N/D
Se lo stesso errore
si verifica più di 3
volte in 5 giorni
riuscito a elaborare i dati
nel documento di
metadati federativi.
Errore generico: si è
Errore generico del
verificato un errore
monitoraggio attendibilità
durante il monitoraggio
di un'attendibilità. Il
monitoraggio attendibilità
è stato
temporaneamente
interrotto, un nuovo
tentativo verrà effettuato
automaticamente in base
al valore di intervallo del
monitoraggio impostato
per tutte le attendibilità.
Scenario di errori del sito Web
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori e gli
avvisi relativi al sito Web passivo federativo nei computer server federativo e proxy server
federativo.
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Pool di applicazioni: il
pool di applicazioni di
AD FS 2.0 non è in
esecuzione in IIS.
Il pool di applicazioni di
AD FS 2.0 non è in
esecuzione nel server
federativo
N/D
No
Pool di applicazioni: il
pool di applicazioni di
AD FS 2.0 non è in
esecuzione in IIS nel
proxy server federativo.
Il pool di applicazioni di
AD FS 2.0 non è in
esecuzione nel proxy
server federativo
N/D
No
Servizio di
amministrazione di IIS:
il servizio di
amministrazione di IIS
non è avviato nel proxy
server federativo.
Servizio di
N/D
amministrazione di IIS non
avviato
No
25
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Certificato SSL: il
certificato SSL
configurato per il sito
Web passivo federativo
è scaduto o è stato
revocato.
Errore del certificato SSL
nel server federativo
N/D
No
Certificato SSL: il
certificato SSL
configurato per il sito
Web passivo federativo
scadrà tra 20 giorni.
Avviso certificato SSL nel
server federativo
N/D
No
Certificato SSL: si è
Errore del controllo della
verificato un errore
revoca del certificato SSL
durante il tentativo di
nel server federativo
verificare lo stato della
revoca del certificato
SSL configurato nel sito
Web passivo federativo.
N/D
No
Certificato SSL: si è
Errore del controllo della
N/D
verificato un errore
revoca del certificato SSL
durante il tentativo di
nel proxy server federativo
verificare lo stato della
revoca del certificato
SSL configurato nel sito
Web passivo federativo.
No
Certificato SSL: il
certificato SSL
configurato per il sito
Web passivo federativo
è scaduto o è stato
revocato.
Errore del certificato SSL
N/D
nel proxy server federativo
No
Certificato SSL: il
certificato SSL
configurato per il sito
Web passivo federativo
scadrà tra 20 giorni.
Avviso certificato SSL nel
proxy server federativo
N/D
No
Web.config:
l'applicazione del sito
Applicazione del sito Web
passivo federativo nel
N/D
No
26
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Web passivo federativo
di AD FS 2.0 in IIS nel
server federativo è
mancante.
server federativo
mancante
Web.config: la richiesta
Web non è riuscita a
causa di un errore nel
file web.config. nel
server federativo.
Errore di configurazione
Web passiva federativa
N/D
No
Web.config: la richiesta
Web non è riuscita a
causa di un errore nel
file web.config. nel
proxy server federativo
Errore di configurazione
N/D
Web passiva federativa
nel proxy server federativo
No
Scenario di errori di sincronizzazione del Database interno di
Windows (WID)
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori relativi
alla sincronizzazione del Database interno di Windows (WID) nel computer server federativo dello
scenario farm.
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
La sincronizzazione dei
dati archiviati nel server
federativo primario con i
dati in un server
federativo secondario
non è stata eseguita.
Errore di sincronizzazione
database di
configurazione di AD FS
N/D
Se gli stessi errori
si verificano
almeno 3 volte in
30 minuti
Eliminazione se si
verificano gli stessi
errori
N/D
AD FS 2.0 ha rilevato
Violazione della soglia di
che per il Servizio
sincronizzazione
federativo sono
configurate più di 100
attendibilità e che i dati
nel database di
configurazione di AD FS
per il Servizio federativo
vengono archiviati e
sincronizzati mediante
27
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
la tecnologia del
Database interno di
Windows.
Scenari di errori della gestione certificati
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori relativi
alla gestione dei certificati nel Servizio federativo.
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Il servizio federativo
non è in grado di
caricare i certificati
aggiuntivi.
Errore di caricamento del
certificato aggiuntivo
Eliminazione se gli
errori sono correlati
alla stessa
identificazione
personale
No
Monitoraggio del
certificato non
riuscito.
Errore di monitoraggio
certificato
N/D
No
Scenario generale di errori del server federativo
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori relativi
ad avvio, operazioni o configurazioni nel computer server federativo o nel Servizio federativo.
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Certificato: l'account del
servizio AD FS non è
riuscito ad accedere alla
chiave privata del
certificato per la firma o
la decrittografia di token
che si trova nel
database di
configurazione di AD FS.
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di una
chiave privata
N/D
No
Certificato: impossibile
trovare il certificato
configurato nella
configurazione del
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di un
certificato mancante
N/D
No
28
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Certificato: il certificato
configurato nel Servizio
federativo non era
univoco. Avvio del
servizio Windows AD FS
2.0 non riuscito.
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di un
certificato non univoco
N/D
No
Certificato: impossibile
trovare il certificato
identificato
dall'identificazione
personale nell'archivio
certificati dell'archivio
"My" del computer
locale.
Avviso di caricamento di
certificato
Eliminazione se gli
errori sono correlati
allo stesso certificato
No
Certificato: si è verificato
un errore durante un
tentativo di compilare la
catena di certificati per il
certificato di
configurazione
identificato
dall'identificazione
personale.
Errore di convalida del
certificato
Eliminazione se gli
errori sono correlati
alla stessa
identificazione
personale
No
Certificato: AD FS 2.0 ha Avviso di certificati di
rilevato che uno o più
configurazione scaduti
certificati nel database di
configurazione di AD FS
devono essere
aggiornati manualmente
poiché sono scaduti o
sono prossimi alla
scadenza.
N/D
No
Certificato: AD FS 2.0 ha Avviso di attendibilità per
rilevato che per una o
certificati scaduti
più attendibilità è
N/D
No
Servizio federativo.
Avvio del servizio
Windows AD FS 2.0 non
riuscito.
29
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Certificato: l'avvio del
servizio Windows AD FS
2.0 non è riuscito poiché
uno dei certificati
configurati non è valido
o è scaduto.
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di un
certificato non valido
N/D
No
Configurazione:
nell'elemento '%1' nel
file di configurazione del
servizio AD FS 2.0 sono
presenti dati non validi.
Avvio del servizio
Windows AD FS 2.0 non
riuscito.
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di un
formato di configurazione
errato
N/D
No
Configurazione:
elemento obbligatorio
nel file di configurazione
del servizio AD FS 2.0
mancante. Avvio del
servizio Windows AD FS
2.0 non riuscito.
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di un
valore di configurazione
mancante
N/D
No
Configurazione: il
Servizio federativo ha
rilevato un errore di
configurazione. Avvio
del servizio Windows AD
FS 2.0 non riuscito.
Impossibile avviare il
servizio Windows AD FS
2.0 nel server federativo
a causa di errori di
configurazione
N/D
No
Configurazione: il server
federativo non è stato in
grado di aggiornare la
cache.
Errore di ricaricamento
della configurazione del
servizio
N/D
Se in un'ora gli
errori si verificano
almeno 3 volte
Database di
configurazione: il
database di
Database di
configurazione SQL non
N/D
No
necessario aggiornare
manualmente i certificati
poiché sono scaduti o
sono prossimi alla
scadenza.
30
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
configurazione di AD FS
archiviato in SQL Server
non è disponibile.
disponibile
Database di
configurazione:
impossibile caricare
correttamente il
database di
configurazione di AD FS.
Avvio del servizio
Windows AD FS 2.0 non
riuscito.
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di un
errore di caricamento
della configurazione
N/D
No
Database di
configurazione:
sincronizzazione dal
database di
configurazione di AD FS
non riuscita.
Sincronizzazione dal
database di
configurazione non
riuscita
N/D
No
Database di
Errore di registrazione
configurazione:
notifica SQL
impossibile registrare la
notifica nel database
SQL con la stringa di
connessione per il tipo di
cache.
N/D
No
Endpoint: si è verificato
un errore durante il
tentativo di abilitare uno
o più endpoint per il
Servizio federativo.
Avvio del servizio
Windows AD FS 2.0 non
riuscito.
Avvio del servizio
Windows AD FS 2.0 non
riuscito a causa di
un'eccezione
N/D
No
Servizio: il servizio
Servizio Windows AD FS
Windows AD FS 2.0 è
2.0 arrestato nel server
stato arrestato nel server federativo
federativo.
N/D
No
Riavvio servizio: si è
verificato un errore
N/D
No
Errore di riavvio host del
31
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
durante un tentativo di
riavvio del servizio
secondario.
servizio
Registrazione SPN: SPN SPN non registrato
dell'account del servizio
AD FS 2.0 non registrato
correttamente in Active
Directory.
N/D
No
Eccezione imprevista: il
Errore eccezione non
Servizio federativo ha
gestita
rilevato un errore di
eccezione imprevista
che ha causato l'arresto
del servizio Windows AD
FS 2.0.
N/D
No
Scenario generale di errori del proxy server federativo
I monitoraggi e le regole riportati nella tabella seguente consentono di monitorare gli errori relativi
ad avvio, operazioni o configurazioni nel computer proxy server federativo.
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Endpoint: non esiste
alcun endpoint
configurato per il proxy
server federativo nel
Servizio federativo.
Nessun endpoint
configurato per il proxy
N/D
No
Endpoint: il proxy
server federativo non è
stato in grado di
recuperare l'elenco di
endpoint dal Servizio
federativo.
Errore di recupero
endpoint proxy
N/D
Se gli errori si
verificano almeno
20 volte in 15
minuti
Connessione al server
federativo: il proxy
server federativo non è
in grado di raggiungere
il server federativo.
Timeout di connessione
del server federativo
N/D
Se gli errori si
verificano almeno
10 volte in mezzora
32
Sottoscenario
Nome regola/monitoraggio
Eliminazione avviso
Conteggio eventi
Connessione al server
federativo: il proxy
server federativo non è
riuscito a contattare il
server federativo.
Errore di connessione del
proxy server federativo
N/D
N/D
Servizio: il servizio
Servizio Windows AD FS
Windows AD FS 2.0 è
2.0 arrestato nel proxy
stato arrestato nel
server federativo
proxy server federativo.
N/D
No
Avvio: il Servizio
federativo ha rilevato
un errore di
configurazione. Avvio
del servizio Windows
AD FS 2.0 non riuscito.
Impossibile avviare il
N/D
servizio Windows AD FS
2.0 nel proxy server
federativo a causa di errori
di configurazione
No
Avvio: impossibile
avviare il servizio
Windows AD FS 2.0
nel proxy server
federativo.
Avvio del proxy server
federativo non riuscito
N/D
No
Attendibilità: il proxy
Certificato SSL del server
server federativo non
federativo non attendibile
ha potuto stabilire una
relazione di attendibilità
per il canale SSL con il
server federativo.
N/D
No
Attendibilità:
l'autenticazione del
proxy server federativo
da parte del server
federativo non è
riuscita.
Il proxy server federativo
non è considerato
attendibile dal server
federativo
N/D
No
Attendibilità: il proxy
server federativo non
ha potuto stabilire
un'attendibilità con il
Servizio federativo.
Il proxy server federativo
non è in grado di stabilire
l'attendibilità
N/D
No
Attendibilità: il proxy
Il proxy server federativo
N/D
Se gli errori si
33
Sottoscenario
Nome regola/monitoraggio
server federativo non
ha potuto rinnovare
l'attendibilità con il
Servizio federativo.
non è in grado di
rinnovare l'attendibilità
Eliminazione avviso
Conteggio eventi
verificano almeno 6
volte in 1,5 giorni
Problemi noti
In questa sezione vengono illustrati i problemi noti correlati alla configurazione del Management
Pack di Active Directory Federation Services (AD FS) 2.0. Nel caso in cui non sia possibile
configurare correttamente il Management Pack, sarà necessario:

Eseguire i comandi net stop healthservice e net start healthservice al prompt dei comandi
nel computer MOM qualora il Management Pack sia stato reimportato.

Disabilitare IP versione 6 (IPV6) nel computer agente che esegue AD FS 2.0. Per ulteriori
informazioni, vedere How to disable certain Internet Protocol version 6 (IPv6) components in
Windows Vista, Windows 7, and Windows Server 2008.
Appendice: script
Nella tabella seguente sono descritti tutti gli script inclusi nel Management Pack di
Active Directory Federation Services (AD FS) 2.0.
Script
Scopo
Regola/attivit
à
FederationServerDiscovery.ps1
Viene eseguito
nel computer
server
federativo e
consente di
verificare la
presenza
dell'individuazi
one del server
federativo
Individuazio
ne del server
federativo
FederationServerProxyDiscovery.ps1
Viene eseguito
nel proxy
server
federativo e
consente di
Individuazio
ne del proxy
server
federativo
34
Script
Scopo
Regola/attivit
à
verificare la
presenza della
relativa
individuazione
FederationServerProxyToServerCommunicationCheck.ps1
Viene eseguito
nel computer
del proxy
server
federativo e
consente di
eseguire una
query sull'XML
dei metadati
federativi dal
computer
server
federativo
Errore di
connessione
del proxy
server
federativo
FederationServerProxyMEXEndpointCheck.ps1
Viene eseguito
nel computer
del proxy
server
federativo e
consente di
eseguire una
query
sull'endpoint
proxy MEX nel
Servizio
federativo
Endpoint
MEX proxy
non
raggiungibile
FederationServerProxyWebsitesIISCheck.ps1
Viene eseguito
nel computer
del proxy
server
federativo e
consente di
verificare se il
servizio IIS è in
esecuzione e
se il pool di
Il pool di
applicazioni
di AD FS 2.0
non è in
esecuzione
nel proxy
server
federativo
35
Script
Scopo
Regola/attivit
à
applicazioni
ADFSAppPool
è in
esecuzione nel
computer
proxy
FederationServerProxyWebsitesIISVDirCheck.ps1
Viene eseguito
nel computer
del proxy
server
federativo e
consente di
verificare se la
directory
virtuale
FedPassive è
presente nel
computer
proxy
Applicazione
del sito Web
passivo
federativo
nel proxy
server
federativo
mancante
FederationServerProxyWebsitesSSLCertFutureExpiryCheck.ps1
Viene eseguito
nel computer
del proxy
server
federativo e
consente di
verificare se il
certificato SSL
configurato
scadrà al
massimo entro
20 giorni nel
computer
proxy
Avviso
certificato
SSL nel
proxy server
federativo
FederationServerProxyWebsitesSSLCertValidityCheck.ps1
Viene eseguito
nel computer
del proxy
server
federativo e
consente di
Errore del
certificato
SSL nel
proxy server
federativo
36
Script
Scopo
Regola/attivit
à
verificare se il
certificato SSL
configurato è
scaduto o è
stato revocato
nel computer
proxy
FederationServerProxyWebsitesSSLCertRevocationCheckFailur
eCheck.ps1
Viene eseguito
nel computer
del proxy
server
federativo e
consente di
verificare se il
controllo della
revoca del
certificato SSL
può essere
eseguito
correttamente
nel computer
proxy
Errore del
controllo
della revoca
del
certificato
SSL nel
proxy server
federativo
FederationServerRemoteSQLServerPing.ps1
Viene eseguito
nel computer
server
federativo e
consente di
eseguire un
ping di rete nel
computer SQL
Server in cui è
ospitato il
database di
configurazione
di AD FS
Database di
configurazio
ne SQL non
disponibile
FederationServerSPNCheck.ps1
Viene eseguito
nel server
federativo e
consente di
SPN non
registrato
37
Script
Scopo
Regola/attivit
à
verificare se
per l'account
del servizio AD
FS è stato
configurato
l'SPN corretto
FederationServerMEXEndpointCheck.ps1
Viene eseguito
nel computer
server
federativo e
consente di
eseguire una
query
sull'endpoint
MEX nel
Servizio
federativo
Endpoint
MEX non
raggiungibile
FederationServerWebsitesIISCheck.ps1
Viene eseguito
nel computer
server
federativo e
consente di
verificare se il
servizio IIS è in
esecuzione e
se il pool di
applicazioni
ADFSAppPool
è in
esecuzione nel
server
federativo
Il pool di
applicazioni
di AD FS 2.0
non è in
esecuzione
nel server
federativo
FederationServerProxyWebsitesIISVDirCheck.ps1
Viene eseguito
nel computer
server
federativo e
consente di
verificare se la
directory
Applicazione
del sito Web
passivo
federativo
nel server
federativo
mancante
38
Script
Scopo
Regola/attivit
à
virtuale adfs\ls
che
rappresenta il
sito Web
passivo
federativo è
presente nel
computer
server
federativo
FederationServerWebsitesSSLCertFutureExpiryCheck.ps1
Viene eseguito
nel computer
server
federativo e
consente di
verificare se il
certificato SSL
configurato
scadrà al
massimo entro
20 giorni nel
computer
server
federativo
Avviso
certificato
SSL nel
server
federativo
FederationServerWebsitesSSLCertValidityCheck.ps1
Viene eseguito
nel computer
server
federativo e
consente di
verificare se il
certificato SSL
configurato è
scaduto o è
stato revocato
nel computer
server
federativo
Errore del
certificato
SSL nel
server
federativo
FederationServerWebsitesSSLCertRevocationCheckFailureChe
ck.ps1
Viene eseguito
nel computer
Errore del
controllo
39
Script
Scopo
Regola/attivit
à
TrustManagementAutoUpdateSkippedWithWarningCheck.ps1
server
federativo e
consente di
verificare se il
controllo della
revoca del
certificato SSL
può essere
eseguito
correttamente
nel computer
server
federativo
della revoca
del
certificato
SSL nel
server
federativo
Viene eseguito
nel server
federativo e
consente di
verificare se
l'impostazione
di
aggiornamento
automatico dei
metadati
federativi per
una o più
configurazioni
dell'attendibilità
è stata
disabilitata nel
Servizio
federativo
Aggiorname
nto
automatico
dell'attendibil
ità
disabilitato
40
Scarica

Guida ai Management Pack di Active Directory Federation Services