AD FS Extranet Lockout and Extranet Smart Lockout

Hallo zusammen,

Kürzlich war mein Account mehrfach "Locked Out" im Active Directory. Tja selber schuld... Ich habe einen ADFS Server (Windows Server 2016) aber die Konfiguration für Smart Lockout nicht gemacht. Nachfolgend wie das geht.

AD FS Extranet Lockout and Extranet Smart Lockout
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-extranet-smart-lockout-protection

Wie im Artikel beschrieben habe ich folgen Befehl abgesetzt

$cred = Get-Credential
Update-AdfsArtifactDatabasePermission -Credential $cred

Nun schauen wir uns mal die Settings an

Get-AdfsProperties | fl *extra*

Mit dem nachfolgenden Befehl könnte man erst mal ein bisschen loggen ohne das Lockout Feature schon zu aktivieren.

Set-AdfsProperties -ExtranetLockoutMode AdfsSmartlockoutLogOnly

Aber ich schalte es gleich von Anfang an scharf

Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15 -ExtranetLockoutRequirePDC $false -ExtranetLockoutMode AdfsSmartLockoutEnforce

Restart-Service adfssrv

Nun schauen wir uns die Settings an

Get-AdfsProperties | fl *extra*

Ich habe dann festgestellt, dass es sehr viele Errors im Eventlog unter "Applications an Services Logs\AD FS\Admin" auftauchen.

Unter anderem dieser hier:
Source: AD FS
Event ID: 352

Also schauen wir uns mal die Connection zur DB an.

Get-AdfsProperties | fl art*

Nun wollte ich mal sehen was mit den Datenbanken los ist. Dazu habe ich SQL Operation Studio benutzt. Mehr darüber habe ich im folgenden Blog geschrieben

SQL Operations Studio
http://blog.icewolf.ch/archive/2018/02/07/sql-operations-studio-preview.aspx

Verbinden auf die ArtifactDbConnection

\\.\pipe\microsoft##wid\tsql\query

In der DB AdfsArtifactStore habe ich dann folgenden Befehl abgesetzt

 sp_addrolemember 'db_owner', 'db_genevaservice'

Danach habe ich den ADFS Server vorsichtshalber nochmals durchgestartet. Danach waren die Fehler dann verschwunden.

Grüsse
Andres Bohren