PRTG Check ADFS

Die Funktion eines ADFS-Servers wird immer wichtiger, insbesondere wenn Office 365 Anmeldungen daran hängen. Daher sollten Sie zum einen die Erreichbarkeit ihres ADFS-Servers verifizieren aber auch die verwendeten Zertifikate sollten nicht unbemerkt ablaufen. Der ADFS-Server stellt dazu einige Links (Siehe ADFS Monitoring) bereit, die per Skript abgefragt werden können.

Die normale Überwachung eines WebServers, und nichts anderes ist ADFS erst einmal, kann mit Bordmitteln von PRTG erfolgen. Diese Seite beschreibt ein PowerShell-Script, welches Sie in PRTG als Custom Sensor einbinden können, welches aber auch das Signing-Zertifikat abruft und die Gültigkeit erfasst.

Auch wenn ADFS etwaige Probleme im Eventlog meldet und die "Anwender" auch einen guten Fühler für die Funktion hergeben, bevorzuge ich regelmäßige aktive Checks zusätzlich zu einer passiven Überwachung von Eventlog und Performance Counter. In dem Zuge ist ein Script entstanden, welches ich nach und nach ausbaue. Es verbindet sich per HTTPS mit dem ADFS-Server, fragt relevante URLs ab und gibt die Ergebnisse entsprechend aus. Da ich als Überwachungsprogramm gerne mit PRTG arbeite, ist der Sensor als PRTG:Custom Sensor ausgeführt, der die Ergebnisse unter PRTG als XML-Datei ausgibt.

Einbindung

Die aktuelle Version verbindet sich direkt per HTTPS mit dem angegeben ADFS-Namen und prüft sowohl das Alter des HTTPS-Zertifikats als auch das Alter des Signing Zertifikats

check-adfs.20160106.ps1.txt

Sie können das Skript auf jedem PC mit einer Powershell aufrufen lassen. Bedenken Sie aber, dass Sie natürlich ihren ADFS-Server als Parameter mit angeben müssen. Das Beispiel "adfs.msxfaq.de" funktioniert nicht. Wie Sie das Skript in PRTG als PRTG:Custom Sensor einbinden, ist auf den PRTG-Seiten beschrieben. Achten Sie vielleicht darauf, dass Sie das Skript z.B. nach check-adfs.ps1 umbenennen, damit sie später eine aktuelle Version einfach ersetzen können. Zudem ist es sicher ausreichend, wenn Sie den Sensor nur einmal in 24h starten und nicht alle 60 Sekunden, solange er eh nur das Alter der beiden Zertifikate ermittelt.

Beispielausgabe

Hier das Ergebnis meiner Installation:

In dem LiveGraph und den anderen Grafiken ist natürlich erst dann die Abnahme der Restlaufzeit zu sehen, wenn der Sensor einige Wochen Daten ermittelt hat. Wenn später z.B. auch eine Anmeldung erfolgen kann, macht eine häufigere Messung wieder mehr Sinn.

Weitere Links