HELP FILE

Fehlerbehebung für Active-Directory-Verbunddienste (AD FS)

Wenn nach dem Einrichten Ihrer LastPass-Enterprise-Umgebung für den Einsatz von Active-Directory-Verbunddiensten (AD FS) Probleme auftreten, können Sie die Konfigurationseinstellungen anhand der folgenden Schritte überprüfen und grundlegende Fehlerbehebungsmaßnahmen durchführen. Stellen Sie sicher, dass Sie diese Prüfungen in der vorgeschriebenen Reihenfolge durchführen.

Schritt 1: Windows-Updates und Versionen der LastPass-Komponenten prüfen

Suchen Sie nach Updates und installieren Sie die neuesten Versionen der folgenden Elemente:

  • Windows-Server-Updates (einschließlich der neuesten Version von .NET Framework)
  • LastPass Active Directory Connector muss Version 1.2.652 oder höher ausführen – Jetzt aktualisieren, oder öffnen Sie den LastPass-AD-Connector und gehen Sie dann zur Startseite > Auf Updates prüfen.
  • Die LastPass-Browsererweiterung muss die neueste verfügbare Version ausführen – Jetzt aktualisieren

Schritt 2: Prüfen Sie Ihre Firewall-Einstellungen

Der benutzerdefinierte Attributspeicher muss in der Lage sein, mit LastPass-APIs zu kommunizieren. Dies bedeutet, dass es dem/den AD-FS-Server(n) möglich sein muss, *.lastpass.com zu erreichen.

  • Öffnen Sie einen Webbrowser auf Ihren AD-FS-Servern und navigieren Sie zu https://lastpass.com. Wenn *.lastpass.com nicht erreichbar ist, müssen Sie die Domain *.lastpass.com in Ihrer Firewall in die Whitelist aufnehmen.

Hinweis: Wenn es sich bei Ihrer Umgebung um eine AD-FS-Serverfarm mit primären und sekundären Knoten handelt, stellen Sie sicher, dass die Domain *.lastpass.com auf allen Computern in der Whitelist geführt wird.

Schritt 3: Berechtigungen Ihrer AD-Benutzer prüfen

In Ihrer Active-Directory-Umgebung gibt es zwei Benutzer, die Lese- und Schreibrechte für das benutzerdefinierte Attribut haben müssen:

  • Der AD-Benutzer, der den LastPass-AD-Connector ausführt (letzterer füllt das benutzerdefinierte Attribut zum Zeitpunkt der Bereitstellung aus)
  • Der AD-Benutzer, der den AD-FS-Dienst ausführt (AD FS ruft den benutzerdefinierten Attributspeicher auf, der das benutzerdefinierte Attribut zum Zeitpunkt der Anmeldung liest)

Beide Benutzer müssen über die Berechtigung ZUGRIFFSSTEUERUNG verfügen, um auf das als VERTRAULICH gekennzeichnete benutzerdefinierte Attribut zugreifen zu können. Wenn die Benutzer diese Berechtigung nicht haben, muss sie ihnen erteilt werden. Sie können auf eine der folgenden Arten die Berechtigungen Ihrer Benutzer überprüfen:

Mit dem LDP-Tool

Die Windows-Server-Betriebssysteme verfügen über ein integriertes Tool, mit dem Sie die Berechtigungen Ihrer AD-Benutzer auf Basis ihrer Gruppenmitgliedschaft überprüfen können.

  • Führen Sie auf Ihrem Active-Directory-Server ldp.exe aus und bestätigen Sie, dass für die zugewiesene Gruppe des AD-Benutzers ZUGRIFFSSTEUERUNG aktiviert ist.

Mit dem Befehle „dsacls“

Sie können den definierten Namen des Befehls „Benutzerdefiniertes Attribut“ ausführen, um die Berechtigungen Ihrer AD-Benutzer zu überprüfen:

  1. Führen Sie auf Ihrem Active-Directory-Server die Eingabeaufforderung als Administrator aus.
  2. Geben Sie folgenden Befehl ein: dsacls
  3. Vergewissern Sie sich, dass die Berechtigung ZUGRIFFSSTEUERUNG zugewiesen ist.

Schritt 4: Vergewissern Sie sich, dass das AD-FS-Plugin installiert und mit dem richtigen benutzerdefinierten Attributwert registriert ist

Wenn das AD-FS-Plugin ordnungsgemäß installiert wurde, wird der LastPassAttributeStore (LastPass-Attributspeicher) aufgeführt.

  1. Öffnen Sie das AD-FS-Server-Manager-Tool auf Ihrem AD-FS-Server.
  2. Gehen Sie zu Dienst AD FSDienstAttributspeicher.
  3. Prüfen Sie, ob LastPassAttributeStore (LastPass-Attributspeicher) aufgeführt ist.

WARNUNG! Wenn Sie den Attributspeicher nicht finden können, ist die Installation fehlgeschlagen. Installieren Sie das AD-FS-Plugin neu und stellen Sie sicher, dass der Name des benutzerdefinierten Attributwerts und die Version korrekt sind.

  1. LastPassAttributeStore.msi. deinstallieren
  2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  3. Gehen Sie im Menü links zu EinstellungenVerbundanmeldung.
  4. Vergewissern Sie sich, dass der Name des benutzerdefinierten Attributwerts und die Version korrekt sind.
  5. Klicken Sie unten auf der Seite im Abschnitt „Benutzerdefinierter Attributspeicher für LastPass“ entweder auf Download für ADFS-Server 3.0(für Windows Server 2012 R2) oder auf Download für ADFS-Server 4.0 (für Windows Server 2016) und speichern Sie die LastPass-CustomAttributeStore.msi-Datei.
  6. Melden Sie sich bei Ihrem primären AD-FS-Server (Active-Directory-Verbunddienste) an. Übertragen Sie dann die CustomAttributeStore.msi -Datei auf den Desktop Ihres AD-FS-Servers und doppelklicken Sie darauf, um sie auszuführen.
  7. Klicken Sie auf Weiter.
  8. Geben Sie Ihre LastPass-Enterprise-Dienstanbieter-URL ein, geben Sie dann Ihren benutzerdefinierten Attributwert ein und klicken Sie auf Weiter.
  9. Klicken Sie nach Abschluss des Registrierungsvorgangs auf Fertigstellen.
  10. Starten Sie den AD-FS-Windows-Dienst erneut. Dies ist ein erforderlicher Schritt.

Schritt 5: Konfiguration des benutzerdefinierten Attributs überprüfen

Mit dem ADSI-Bearbeitungstool können Sie die Eigenschaften Ihres benutzerdefinierten Attributs überprüfen, um sicherzustellen, dass es ordnungsgemäß konfiguriert wurde.

  1. Führen Sie auf Ihrem Active-Directory-Server die Eingabeaufforderung als Administrator aus.
  2. Geben Sie folgenden Befehl ein: adsiedit.msc Hinweis: Wenn das ADSI-Bearbeitungstool nicht verfügbar ist, können Sie es registrieren, indem Sie die Eingabeaufforderung als Administrator öffnen und die folgenden Befehle ausführen: regsvr32 adsiedit.dll und dann adsiedit.msc
  3. Stellen Sie eine Verbindung zum „bekannten Namenskontext“ her. Schema.
  4. Suchen Sie das benutzerdefinierte Attribut und öffnen Sie Eigenschaften.
  5. Suchen Sie die folgenden Attribute, deren Werte mit den folgenden (siehe unten) übereinstimmen müssen:
    • attributeSyntax: 2.5.5.4 = ( NOCASE_STRING )
    • searchFlags: 0X80 = ( CONFIDENTIAL )

Korrekt konfiguriert

WARNUNG! Wenn das Attribut „searchFlags“ nicht als VERTRAULICH konfiguriert ist (wenn beispielsweise INDEX angezeigt wird), dann müssen Sie es als VERTRAULICH konfigurieren.

Falsch konfiguriert

Schritt 6: Sicherstellen, dass das benutzerdefinierte Attribut ausgefüllt ist

Stellen Sie sicher, dass der LastPass-AD-Connector das benutzerdefinierte Attribut ordnungsgemäß ausgefüllt hat.

  1. Melden Sie sich bei Ihrem Active-Directory-Server an.
  2. Öffnen Sie das Verwaltungstool „Active Directory-Benutzer und -Computer“.
  3. Gehen Sie zu Anzeigen und vergewissern Sie sich, dass Erweiterte Funktionen aktiviert ist, oder klicken Sie auf die Menüoption Erweiterte Funktionen, um sie zu aktivieren.
  4. Gehen Sie im linken Navigationsbereich zu Benutzer.
  5. Klicken Sie mit der rechten Maustaste auf einen Benutzer und klicken Sie dann auf Eigenschaften.
  6. Klicken Sie auf die Registerkarte Attribut-Editor.
  7. Suchen Sie das benutzerdefinierte Attribut, das Sie erstellt haben (z. B. LastPassK1) und bestätigen Sie, dass ein Wert festgelegt wurde (siehe unten).

Korrekt konfiguriert

Attributeditor mit benutzerdefiniertem Attribut

WARNUNG! Wenn der benutzerdefinierte Attributwert <nicht festgelegt> ist (siehe unten), dann müssen Sie Folgendes prüfen:

Falsch konfiguriert

Schritt 7: Überprüfen Sie die Konfiguration der AD-FS-Serverfarm (falls zutreffend).

Stellen Sie sicher, dass die DLLs auf den sekundären und nachfolgenden Knoten wie folgt aufgeführt sind:

  1. Navigieren Sie auf dem AD-FS-Server zum Verzeichnis C:\Windows\ADFS, in dem Sie die LastPass-CustomAttributeStore.msi-Datei installiert haben.
  2. Kopieren Sie die folgenden Dateien in den Ordner C:\Windows\ADFS aller sekundären und nachfolgenden AD-FS-Server.
    • LastPassADFS.dll
    • LastPassConfig.dll
    • LastPassLib.dll
    • LastPassLogger.dll
    • LastPassSettings.dll
    • BouncyCastle.Crypto.dll
    • NLog.dll
  3. Starten Sie den AD-FS-Windows-Dienst auf den sekundären und nachfolgenden AD-FS-Knoten neu.

Bekannten Probleme und weitere Optionen für die Fehlerbehebung

Wenn Sie sich vergewissert haben, dass Ihre LastPass-Enterprise- und AD-FS-Konfigurationen ordnungsgemäß eingerichtet wurden, können Sie anhand des auftretenden Problems weitere Schritte zur Fehlerbehebung ausführen.

Leerer Bildschirm nach der Anmeldung als Verbundbenutzer

Mögliche Ursachen und deren Behebung:

Das benutzerdefinierte Attribut ist leer

Mögliche Ursachen und deren Behebung:

Die Verbundanmeldung war in der Administrationskonsole von LastPass zum Zeitpunkt der Bereitstellung über den LastPass-AD-Connector nicht aktiviert.

 

  1. Beenden Sie den LastPass-AD-Connector-Dienst.
  2. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
  3. Gehen Sie im linken Navigationsbereich zu Benutzer und löschen Sie alle Benutzer, die als Verbundbenutzer bereitgestellt wurden.
  4. Gehen Sie im linken Navigationsbereich zu EinstellungenVerbundanmeldung.
  5. Aktivieren Sie das Kontrollkästchen für die Option „Aktivieren“.
  6. Starten Sie den LastPass-AD-Connector-Dienst neu, um Verbundbenutzer bereitzustellen.

Der LastPass-AD-Connector wurde nicht neu gestartet, nachdem die Verbundanmeldung in der Administrationskonsole von LastPass aktiviert wurde. Starten Sie den LastPass-AD-Connector-Dienst neu, um Verbundbenutzer bereitzustellen.

Zwischen der Administrationskonsole von LastPass und dem AD-FS-Plugin gibt es beim Namen des benutzerdefinierter Attributs einen Übereinstimmungskonflikt. Informationen zum Beheben dieses Problems.

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.ClaimsPolicy.Language.PolicyEvaluationException: POLICY0017: Der Attributspeicher „LastPassAttributeStore“ ist nicht konfiguriert.

Informationen zum Beheben dieses Problems:

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.Web.InvalidScopeException: MSIS7007: Die angeforderte Vertrauensstellung der vertrauenden Seite 'https://accounts.lastpass.com/' ist nicht angegeben oder wird nicht unterstützt. Wenn eine Vertrauensstellung der vertrauenden Seite angegeben wurde, haben Sie möglicherweise keine Berechtigung, auf die vertrauende Seite zuzugreifen. Wenden Sie sich an Ihren Administrator, um nähere Informationen zu erhalten.

Informationen zum Beheben dieses Problems:

Fehler im Windows-Ereignisprotokoll: Microsoft.IdentityServer.Web.InvalidScopeException: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: Die Autorisierung des Aufrufers für die Aufruferidentität DOMAIN\BENUTZERNAME für die Vertrauensstellung der vertrauenden Seite 'https://accounts.lastpass.com/'‚ ist fehlgeschlagen

Informationen zum Beheben dieses Problems:

  • Überprüfen Sie die Vertrauensstellung der vertrauenden Seite und die Ausstellungsautorisierungsregeln des Benutzers (Windows Server 2012) oder die Zugriffssteuerungsrichtlinie (Windows Server 2016) auf dem AD-FS-Server.
    1. Melden Sie sich bei Ihrem primären AD-FS-Server an.
    2. Navigieren Sie zu Ihren AD-FS-Management-Einstellungen.
    3. Gehen Sie im linken Navigationsbereich zu Vertrauensstellungen > Vertrauensstellung der vertrauenden Seite und folgen Sie den nächsten Schritten Ihrer AD-FS-Serverversion entsprechend:
      • AD FS Server 3.0 – Windows Server 2012 R2
        1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Anspruchsregeln bearbeiten....
        2. Wählen Sie die Registerkarte Ausstellungsautorisierungsregeln aus und legen Sie die gewünschte Regel fest.
      • AD FS Server – 4.0 Windows Server 2016
        1. Klicken Sie im Navigationsbereich rechts im Abschnitt „LastPass Trust“ auf Zugriffssteuerungsrichtlinie bearbeiten....
        2. Legen Sie die gewünschte Richtlinie fest.

„Bitte wenden Sie sich an den Administrator Ihres Unternehmens, um Hilfe zu erhalten“ nach Anmeldung als Verbundbenutzer

Informationen zum Beheben dieses Problems: