Problèmes ADFS : erreurs de configuration ou de maintenance
IntroductionLes Services de Fédération Active Directory (ADFS) sont essentiels pour permettre une authentification unique (SSO) sécurisée entre les applications d’entreprise internes et externes. Des problèmes surviennent souvent lors de la configuration initiale, de l’intégration des revendications, ou de la maintenance des certificats et endpoints. Ce tutoriel fournit une série d’approches pratiques pour diagnostiquer et résoudre les difficultés courantes avec CMD, PowerShell et des scripts .PS1.
Prérequis• Bonne compréhension de Active Directory et des certificats SSL
• Familiarité avec PowerShell, DNS, IIS et les services ADFS
• Accès avec droits administrateur de domaine
Différentes Approches• Approche #1 : CMD – Vérification des services et connectivité
• Approche #2 : PowerShell – Analyse des configurations ADFS
• Approche #3 : Script .PS1 – Diagnostic et export complet de la configuration
Niveau de difficulté• Approche #1 : Facile
• Approche #2 : Moyen
• Approche #3 : Avancé
Les Avantages• Approche #1 : Identification rapide des pannes de services
• Approche #2 : Vue complète de l’état ADFS
• Approche #3 : Exportation utile pour audits ou migration
Les Inconvénients• Approche #1 : Limitée à la couche réseau/service
• Approche #2 : Peut nécessiter des modules complémentaires
• Approche #3 : À utiliser avec prudence sur environnements critiques
Approche #1
Ouvrir CMD en tant qu’administrateur
Vérifier que le service ADFS est actif
Code:
sc query adfssrv
Vérifier la connectivité avec le point de terminaison
Code:
ping fs.nomdomaine.local
Vérifier la résolution DNS
Code:
nslookup fs.nomdomaine.local
Code:
Get-Service adfssrv
Code:
Get-AdfsProperties
Code:
Get-AdfsEndpoint | Where-Object {$_.Enabled -eq $true}
Vérifier les certificats utilisés
Code:
Get-AdfsSslCertificate
Code:
$adfsProps = Get-AdfsProperties
$endpoints = Get-AdfsEndpoint
$certs = Get-AdfsSslCertificate
$relays = Get-AdfsRelyingPartyTrust
$claims = Get-AdfsClaimProviderTrust
$log = "C:\Scripts\adfs_diagnostic_log.txt"
"===== Propriétés ADFS =====" | Out-File $log
$adfsProps | Out-File $log -Append
"===== Endpoints =====" | Out-File $log -Append
$endpoints | Out-File $log -Append
"===== Certificats SSL =====" | Out-File $log -Append
$certs | Out-File $log -Append
"===== Relying Parties =====" | Out-File $log -Append
$relays | Out-File $log -Append
"===== Claim Providers =====" | Out-File $log -Append
$claims | Out-File $log -Append
Code:
powershell -ExecutionPolicy Bypass -File C:\Scripts\AdfsDiag.ps1
AstuceUtilisez Event Viewer > Applications et services > ADFS/Admin pour voir les erreurs spécifiques liées aux revendications ou authentifications.
Mise en gardeToute modification dans les endpoints, les certificats ou les trusts doit être testée sur un environnement de préproduction.
ConseilPlanifiez une surveillance régulière des certificats ADFS pour éviter les interruptions d’authentification à leur expiration.
Solution alternativeDes outils externes permettent de faciliter la surveillance et le dépannage ADFS :
• ADFS Rapid Restore Tool (Microsoft Labs)
• AD FS Diagnostics Module pour Windows PowerShell
• SAML Tool (test de jetons ADFS)
Références• Support Microsoft
• Microsoft Learn – ADFS
• Recherche Google
• Recherche Github
ConclusionLes problèmes liés aux Services de Fédération Active Directory proviennent souvent de configurations initiales incomplètes, de certificats expirés ou de points de terminaison incorrects. En utilisant les outils intégrés CMD, PowerShell ou des scripts personnalisés, il est possible d'identifier rapidement la source de l'erreur et de restaurer la continuité des services d’authentification. Pour une gestion proactive, pensez à surveiller régulièrement votre infrastructure ADFS avec des outils de supervision ou des scripts automatisés.
Dernière édition:
