ADFS Diagnostiker – Das Werkzeug im Detail

von

Wissen

Praxis-Artikel und Buchkapitel rund um ADFS – alle frei verfügbar. Architektur, Claims Rules, Sicherheit, Migration zu Entra ID.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Health-Check zur ADFS-Farm und Architektur-Review. Sicherheits-Audits und Migrationsbegleitung Richtung Entra ID.

Zur Beratung
Fachbücher

Mein Fachbuch ADFS in der Praxis – Architektur, Betrieb, Sicherheit, Migration. 42 Kapitel, kompromisslos praxisnah. Leseprobe herunterladen!

Zu den Büchern
Tools

Der ADFS-Diagnostiker hilft bei Inventarisierung der Relying Parties, Sicherheits-Baseline und Migrationsplanung.

Tools ansehen
Schulungen

Online-Workshops zu ADFS-Betrieb, Claims Rules Language, Sicherheit und Migration – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

ADFS Diagnostiker: Das Werkzeug im Detail

14 Module für Federation-Betrieb, Sicherheits-Audit und Migrations-Vorbereitung — lokal installierbar, Tier-0-tauglich

ADFS-Logging ist die Hölle. Eventlogs in vier verschiedenen Logs, kein durchgehender Trace über die Komponenten, Korrelation mit Load-Balancer-Logs gar nicht möglich, Claim-Pipeline nicht sichtbar. Genau dafür wurde der ADFS Diagnostiker gebaut: ein dediziertes Spezialwerkzeug für alle, die ADFS heute betreiben, härten oder ablösen — und dafür endlich vernünftige Sicht in ihre Umgebung haben wollen.

Was das Werkzeug ist

Der ADFS Diagnostiker ist eine Windows-Anwendung, die alle täglich anfallenden ADFS-Aufgaben in einem Werkzeug bündelt: Logging, Health-Monitoring, Sicherheits-Audit, Konfigurations-Analyse und Reporting. Statt für jede dieser Aufgaben ein eigenes Skript, ein PowerShell-Modul oder ein Drittwerkzeug zu nutzen, läuft alles über eine einheitliche Oberfläche mit lokaler Datenbasis.

Im Markt gibt es eine ganze Reihe von Produkten, die sich „AD-Monitoring“ oder „Identity-Audit“ nennen. ManageEngine ADAudit Plus zum Beispiel — eine breite AD-Suite, in der ADFS nur ein Nebenfeature ist. Der ADFS Diagnostiker geht den umgekehrten Weg: Er macht nichts anderes als ADFS — dafür aber tief. Das ist genau die Lücke, die im Markt bisher offen war.

Die 14 Module in vier Bereichen

Das Werkzeug ist nicht als Suite mehrerer separater Produkte aufgebaut, sondern als eine Anwendung mit 14 funktionalen Modulen. Alle Module greifen auf dieselbe lokale Datenbasis zu — keine Doppel-Erhebung, keine widersprüchlichen Ergebnisse zwischen den Werkzeugen.

Abb.: Die 14 Module gruppiert in vier funktionale Bereiche: Analyse und Logging, Health und Monitoring, Security und Compliance, Alerting und Reporting.

Analyse und Logging

Das Herzstück für den Alltag. Sechs Module decken alles ab, was du brauchst, wenn du verstehen willst, was in deiner Federation wirklich passiert. Log Intelligence aggregiert die Eventlogs aller ADFS-Server zentral, mit Filterung nach Zeit, Server und Eventtyp. End-to-End Login Trace verfolgt einen einzelnen Login durch alle Komponenten — inklusive Kemp-LoadMaster-Korrelation, das Differenzierungs-Merkmal des Werkzeugs. Claim Inspector zeigt, welche Claims für welchen User tatsächlich ausgestellt werden, durch die einzelnen Pipeline-Stufen hindurch. User Journey Lookup liefert alle Authentifizierungen eines Users über die Zeit. Extranet Lockout Management macht gesperrte User sichtbar und entsperrbar. AD-Kontext-Integration ermöglicht direkten Lookup von User-Attributen aus dem AD, ohne ins LDAP-Tool wechseln zu müssen.

Health und Monitoring

Vier Module für den proaktiven Betrieb. Health Dashboard liefert eine Ampel-Übersicht über Farm-Status, Service-States, Verbindungen und Performance-Counter — du siehst auf einen Blick, wo es klemmt. Zertifikats-Monitor listet alle ADFS- und WAP-Zertifikate mit Restlaufzeiten, Rollover-Status und Federation-Metadata-Sync — Frühwarnung statt nächtlicher Komplettausfall. Federation Metadata Watcher beobachtet Änderungen in Trust-Metadata und alarmiert bei unerwarteten Modifikationen — Drift- und Manipulationsschutz in einem. Relying Party Audit macht eine vollständige Inventarisierung aller RPs mit Konfiguration, Nutzung und letzter Aktivität — die Basis für jede Migrations-Planung.

Security und Compliance

Drei Module für Sicherheit und Audit-Vorbereitung. Hardening Checker prüft die ADFS-Konfiguration gegen aktuelle Best Practices: Tier-0-Härtung, Token-Signing-Schutz, Audit-Logging-Qualität. Pro Befund gibt es eine Risikoklasse und einen Click-by-Click-Fix. Token Lifetime Analyzer zeigt, welche Relying Parties welche Token-Lifetimes nutzen — relevant für NIS2- und BSI-Grundschutz-Compliance, wo zu lange Lifetimes regelmäßig zu Audit-Befunden führen. Conditional Access Simulator simuliert, wie eine bestehende Claim Rule als Conditional-Access-Policy aussähe — die Brücke zur Migration nach Entra ID.

Alerting und Reporting

Ein Modul mit zwei Funktionen, das den proaktiven Charakter des Werkzeugs abrundet. Die Alerting Engine wertet regelbasiert Eventmuster, Performance-Schwellwerte, Zertifikatsabläufe und Konfigurations-Drift aus. Alarme gehen per Mail, an Teams-Webhooks oder in Datei-Exports. Das Berichtswesen erzeugt periodische Reports als HTML, PDF und Excel — audit-fertig für Quartals-Reviews und externe Prüfer.

 

Info: Warum genau diese 14 Module

Die Modul-Auswahl ist nicht aus dem Lehrbuch entstanden, sondern aus rund 20 Jahren ADFS-Beratungspraxis. Jedes Modul löst ein konkretes Problem, das in echten Kundenprojekten regelmäßig auftaucht. Wenn du dich fragst „aber Modul X fehlt“ — schau auf die Roadmap weiter unten oder schreib uns: Die Liste wächst aufgrund von Praxisfeedback, nicht aufgrund von Verkaufsplänen.

Das Herzstück: End-to-End Login Trace mit Kemp-Korrelation

Wenn ein User berichtet „Mein Microsoft-365-Login hat heute morgen nicht funktioniert“, beginnt für den Admin ein Marathon durch fünf separate Log-Quellen: Kemp-Syslog, WAP-Eventlog, vier verschiedene ADFS-Logs, das Security-Log des Domain Controllers und das Entra Sign-In Log. Jedes Log hat seine eigene Zeitzone, sein eigenes Format, seine eigene ID. Den Login-Versuch tatsächlich Schritt für Schritt durch die Kette zu verfolgen ist ohne dediziertes Werkzeug schlicht nicht praktikabel.

Abb.: Der End-to-End Login Trace zieht alle Logs eines Login-Vorgangs in eine zusammenhängende Timeline. Statt fünf Log-Silos siehst du eine durchgehende Sequenz mit Millisekunden-Genauigkeit.

Genau dafür ist der End-to-End Login Trace gebaut. Der ADFS Diagnostiker sammelt im Hintergrund parallel aus allen relevanten Quellen — Kemp Syslog über einen UDP-Receiver auf Port 514, WAP- und ADFS-Eventlogs über WinRM-Calls mit dem PowerShell SDK, Domain-Controller-Security-Logs über Eventlog-Subscriptions, und Entra Sign-In Logs über die Microsoft Graph API. Alle Zeitstempel werden auf UTC normalisiert, alle relevanten CorrelationIds verknüpft. Das Ergebnis ist eine zusammenhängende Timeline für einen einzelnen Login mit Millisekunden-Genauigkeit, in der jeder Hop sichtbar ist und sich per Klick aufklappen lässt.

Die Kemp-Korrelation ist dabei das technische Kernfeature. Wer einen Load Balancer vor seine WAPs gestellt hat — und das sind die meisten Federation-Setups — kennt das Problem: Welcher WAP-Server hat den Request bekommen? Was hat der LoadBalancer überhaupt gemacht? Welche Pre-Authentication ist gescheitert? Diese Informationen liegen im Kemp-Syslog, das von ADFS-Werkzeugen typischerweise gar nicht angesehen wird. Der ADFS Diagnostiker bezieht es ein.

 

Praxis-Tipp: So nutzt du den Login Trace am effektivsten

Wenn ein User-Problem gemeldet wird, gibst du im User Journey Lookup den User-Namen ein. Du siehst dann alle Login-Versuche der letzten Stunden — auch fehlerhafte. Du klickst auf den problematischen Versuch und bekommst den vollständigen End-to-End Trace. Drill-Down per Klick zeigt Eventdetails, eingesetzte Claims, Token-Inhalt, beteiligte Server. In 90 % der Fälle erkennst du innerhalb von 30 Sekunden, wo das Problem lag. Versuche das mal mit der Event-Viewer-Suche über fünf Server.

Technik unter der Haube

Das Werkzeug ist als nativ-Windows-Anwendung entstanden, weil ADFS selbst eine Windows-Anwendung ist — und Tier-0-Server-Umgebungen typischerweise keine Cloud-Anbindungen zulassen. Der gesamte Stack ist darauf optimiert, lokal zu laufen, ohne Phone-Home, ohne externe Abhängigkeiten.

  • .NET 10 mit WPF (MVVM-Architektur) als UI-Framework — moderne Windows-Anwendung mit Native-Look, kein Browser-Wrapper, keine Electron-Krücke
  • SQLite mit Dapper als Datenzugriffsschicht — lokale Datenbank, embedded, kein externer Datenbankserver erforderlich. WAL-Mode für stabile Concurrency.
  • PowerShell SDK für WinRM zur Daten-Sammlung von entfernten ADFS- und WAP-Servern — verschlüsselt, mit DPAPI-basierter Credential-Speicherung
  • Custom UDP Syslog Receiver auf Port 514 für die Kemp-LoadMaster-Anbindung — Hochleistungs-Implementierung in C#
  • Microsoft Graph SDK für die Anbindung an Entra ID Sign-In Logs (wo Federation-Logins enden)
  • Single-File-Installation ohne Setup-Wizard — Anwendung kopieren, starten, fertig. Keine MSI-Pakete, keine Admin-Rechte für die Installation.

 

Warnung: Was der ADFS Diagnostiker NICHT ist

Kein SIEM-Ersatz. Wenn dein Compliance-Konzept ein zentrales SIEM mit langfristiger Aufbewahrung verlangt, brauchst du Splunk, Sentinel oder vergleichbares. Der ADFS Diagnostiker ist ein Operator-Werkzeug für die täglichen 30 bis 90 Tage Diagnose und Analyse. Beide Werkzeuge ergänzen sich gut, aber das eine ersetzt das andere nicht. Genauso wenig ersetzt das Werkzeug eine vollständige Identity-Governance-Lösung oder ein Privileged-Access-Management — es deckt den ADFS-spezifischen Teil der Identity-Landschaft ab, nicht mehr.

Teil der Diagnostiker-Produktfamilie

Der ADFS Diagnostiker steht nicht allein. Zusammen mit dem bereits am Markt etablierten Entra Diagnostiker bildet er die Diagnostiker-Produktfamilie. Beide Werkzeuge sind technisch und konzeptionell aufeinander abgestimmt — gleicher Stack, gleiche Bedienlogik, gleiche Daten-Architektur. Was du beim einen Werkzeug gelernt hast, kannst du beim anderen wiederverwenden.

Abb.: Die Diagnostiker-Produktfamilie deckt den vollständigen Identity-Lebenszyklus ab: ADFS Diagnostiker für die On-Prem-Welt, Entra Diagnostiker für die Cloud-Welt, Migrations-Readiness als verbindende Brücke.

Der natürliche Upgrade-Pfad

Die meisten Kunden befinden sich heute in einer Übergangssituation: ADFS läuft noch produktiv, Entra ID wächst parallel, irgendwann wird ADFS abgelöst. Genau auf diesen Pfad ist die Produktfamilie ausgelegt. Heute unterstützt der ADFS Diagnostiker den laufenden Federation-Betrieb und liefert die Datengrundlage für Migrations-Entscheidungen. Im Übergang spielt die Migrations-Readiness-Analyse — ein verbindendes Modul, das in beiden Werkzeugen zusammenspielt — die zentrale Rolle, denn sie liefert das vollständige RP-Inventar mit Bewertung der Migrations-Tauglichkeit pro App. Morgen, wenn ADFS abgelöst ist, übernimmt der Entra Diagnostiker den dauerhaften Cloud-Identity-Alltag mit eigenem Funktionsumfang für Sign-In-Analyse, Conditional Access Audit, NIS2- und DORA-Compliance, Privileged Identity Management und mehr.

Was das für deine Investition bedeutet

Wer den ADFS Diagnostiker heute lizenziert, bekommt nicht nur ein Werkzeug für den laufenden Betrieb, sondern auch ein Werkzeug, das aktiv beim Übergang in die Cloud-Welt hilft. Die Lizenz bleibt parallel zur Cloud-Migration sinnvoll — solange die letzte Federation-App noch nicht migriert ist, leistet das Werkzeug seine Dienste. Bei vielen Kunden zieht sich das über zwei bis fünf Jahre.

Roadmap: Was noch kommt

Der ADFS Diagnostiker ist ein wachsendes Werkzeug, kein fertiges. Bestimmte Features sind bewusst nicht im initialen Release, weil sie Reife brauchen oder weil andere Prioritäten dringender waren. Die wichtigsten Roadmap-Features:

  • Backup und Restore — vollständiges Backup der ADFS-Konfiguration inklusive Token-Signing-Schlüssel (verschlüsselt), mit Restore-Workflow
  • Relying Party Provisioning — neue Relying Partys per Vorlage anlegen, mit Validierung der Claim Rules vor dem Deployment
  • Entra ID Migration Readiness als eigenes vertieftes Modul — über das Mapping hinaus konkrete Migrations-Skripte erzeugen
  • Teams- und Slack-Webhooks für die Alerting Engine — Alarme direkt in die Kommunikationskanäle der Teams
  • Role-based Access für Mandanten-Setups — verschiedene Rollen mit unterschiedlichen Sichten, relevant für Service-Provider und Konzerne

Die Roadmap-Features sind in der Multi-Farm-Edition enthalten, sobald sie verfügbar sind — Single-Farm-Lizenzen bekommen die Features mit ihren regulären Updates, wenn sie für die jeweilige Einsatzgröße sinnvoll sind.

Editionen, Lizenzen und Preise

Drei Editionen stehen zur Verfügung — vom Einsteiger-Setup für eine einzelne Farm bis zum Consulting-Bundle, das Werkzeug und Expertise koppelt. Alle Lizenzen sind dauerhaft, alle Editionen enthalten alle 14 Module ohne Feature-Stripping. Unterschiede liegen in Skalierung, Support und Roadmap-Zugriff.

Abb.: Drei Editionen im direkten Vergleich: Single Farm, Multi Farm und das Consulting-Bundle aus Werkzeug plus Beratungsleistung.

Single Farm — Professional, 2.990 €

Das Einstiegspaket für Organisationen mit einer ADFS-Farm. Eine Farm-Lizenz mit unbegrenzter Anzahl ADFS-Server in dieser Farm, bis zu drei WAP-Servern und einem Operator-Arbeitsplatz. Alle 14 Module sind enthalten. Support per E-Mail mit werktags 24-Stunden-Reaktion. Zwölf Monate Updates inklusive. Geeignet für mittelständische Organisationen mit einer einzigen ADFS-Umgebung.

Multi Farm — Enterprise, 5.490 €

Die empfohlene Edition für komplexere Umgebungen. Mehrere ADFS-Farmen parallel verwaltbar, unbegrenzte ADFS- und WAP-Server, bis zu fünf Operator-Arbeitsplätze, alle Roadmap-Features inklusive Backup, Provisioning und Webhooks. Erweiterter Support mit E-Mail und Telefon, werktags 8-Stunden-Reaktion, vierteljährlicher Update-Call. Geeignet für Konzerne, Service-Provider, Hosting-Anbieter und Mandanten-Setups.

Consulting-Bundle — 5.990 €

Das Komplettpaket aus Werkzeug und Beratungsleistung. Enthält die Single-Farm-Lizenz im Wert von 2.990 € sowie drei Tage Beratungsleistung — vor Ort oder remote — für die initiale Einrichtung, Konfiguration und einen ersten Health-Check als 9-Kapitel-Befundbericht. Zwölf Monate Updates und Support inklusive. Ersparnis gegenüber Einzelbeschaffung etwa 20 %. Geeignet für Organisationen, die das Werkzeug schnell produktiv einsetzen wollen, ohne sich selbst durch Konfigurations- und Inbetriebnahme-Themen kämpfen zu müssen.

Updates ab dem 13. Monat sind über einen Wartungsvertrag möglich — 30% der Lizenzkosten pro Jahr. Wer den Wartungsvertrag aussetzt, behält die Lizenz dauerhaft, bekommt aber keine Updates mehr. Wer ihn später wieder aktivieren möchte, zahlt eine Reaktivierungsgebühr in Höhe der ausgelassenen Wartungs-Jahre.

Konditionen und Bezug

  • Lizenzform: Dauerhafte Lizenz, kein Abo. Lizenzschlüssel pro Farm. Aktivierung offline möglich, ohne Lizenzserver-Verbindung.
  • Testphase: 30 Tage Vollversion auf Anfrage. Keine automatische Verlängerung, kein versteckter Wechsel auf bezahlte Lizenz.
  • Update-Politik: Zwölf Monate Updates ab Erstkauf inklusive. Danach Wartungsvertrag (30 % der Lizenz pro Jahr) für laufende Updates.
  • Hardware-Anforderungen: Windows 10/11 oder Windows Server 2019/2022. Mindestens 8 GB RAM, 50 GB Festplatte. Für größere Umgebungen mehr.
  • NDAs und Datenschutz: Das Werkzeug speichert ausschließlich lokal. Anonymisierte Telemetrie ist standardmäßig aus, optional einschaltbar.

Demo und Erstgespräch

Die effektivste Art, das Werkzeug zu bewerten, ist eine Live-Demo. Etwa 60 Minuten remote — du siehst das Werkzeug an einer realistischen Test-Umgebung in Aktion, kannst gezielte Fragen stellen und im Anschluss die Testphase starten.

Kontakt

E-Mail genügt. Bitte kurz mit dabei:

  • Anzahl der ADFS-Farmen und ungefähre Größe (Server, RPs, User)
  • Welche Themen besonders interessieren (Migration, Sicherheits-Audit, Troubleshooting, NIS2)
  • Wunsch: Demo, Testlizenz, oder direkt Angebot

Antwort kommt innerhalb eines Werktages mit einem Vorschlag fürs Erstgespräch oder Demo-Termin.