Konfigurace extranetového přístupu pro službu AD FS v Windows Server 2012 R2

  • Článek

Platí pro: Azure, Office 365, Power BI, Windows Intune

Toto téma popisuje, jak nainstalovat roli vzdáleného přístupu se službou rolí webového proxy aplikací a jak nakonfigurovat webový proxy aplikací server pro připojení k serveru Active Directory Federation Services (AD FS) (AD FS).

2.2. Instalace role Vzdálený přístup

Pokud chcete nasadit webovou proxy aplikací, musíte na serveru, který bude fungovat jako webový proxy aplikací server, nainstalovat roli Vzdáleného přístupu se službou role Web proxy aplikací.

Tento postup opakujte pro všechny servery, které chcete nasadit jako webové proxy aplikací servery.

Instalace služby rolí webového proxy aplikací prostřednictvím uživatelského rozhraní

  1. Na webovém proxy aplikací serveru v konzole Správce serveru na řídicím panelu klikněte na Přidat role a funkce.

  2. V Průvodci přidáním rolí a funkcí klepněte třikrát na tlačítko Další , abyste se dostali na obrazovku výběru role serveru.

  3. V dialogovém okně Vybrat role serveru vyberte Vzdálený přístup a klepněte na tlačítko Další.

  4. Dvakrát klikněte na Další .

  5. V dialogovém okně Vybrat služby rolí vyberte web proxy aplikací, klepněte na tlačítko Přidat funkce a klepněte na tlačítko Další.

  6. V dialogu Potvrdit vybrané možnosti instalace klikněte na Instalovat.

  7. V dialogu Průběh instalace zkontrolujte, že instalace proběhla úspěšně, a klikněte na Zavřít.

Instalace služby rolí webového proxy aplikací přes Windows PowerShel

  1. Následující rutina nebo rutiny prostředí Windows PowerShell provádí stejnou funkci jako předchozí postup. Každou rutinu zadejte na jeden řádek, a to i v případě, že jsou zde kvůli omezením formátování zobrazeny na několika řádcích.

    Následující rutina nebo rutiny prostředí Windows PowerShell provádí stejnou funkci jako předchozí postup. Každou rutinu zadejte na jeden řádek, a to i v případě, že jsou zde kvůli omezením formátování zobrazeny na několika řádcích.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Konfigurace služby Proxy webových aplikací

Abyste se mohli připojit k serveru AD FS, musíte nakonfigurovat webovou proxy aplikací.

Tento postup opakujte pro všechny servery, které chcete nasadit jako webové proxy aplikací servery.

Konfigurace webového proxy aplikací prostřednictvím uživatelského rozhraní

  1. Na webovém proxy aplikací serveru otevřete konzolu pro správu vzdáleného přístupu: RAMgmtUI.exea stiskněte klávesu ENTER. Jestliže se objeví dialogové okno Řízení uživatelských účtů, ověřte, zda se zobrazuje požadovaná akce, a klikněte na tlačítko Ano.

  2. V navigačním podokně klikněte na webovou proxy aplikací.

  3. V konzole pro správu vzdáleného přístupu v prostředním podokně klikněte na Spustit průvodce konfigurací webového proxy aplikací.

  4. V Průvodci konfigurací webového proxy aplikací klepněte v dialogovém okně Vítá vás na tlačítko Další.

  5. V dialogovém okně Federační server proveďte následující akce a klepněte na tlačítko Další:

    • Do pole Název federační služby zadejte plně kvalifikovaný název domény (FQDN) serveru SLUŽBY AD FS; například fs.fabrikam.com.

    • Do polí Uživatelské jméno a Heslo zadejte přihlašovací údaje účtu místního správce na serverech SLUŽBY AD FS.

  6. V dialogovém okně Proxy certifikát služby AD FS v seznamu certifikátů aktuálně nainstalovaných na webovém proxy aplikací serveru vyberte certifikát, který má webová proxy aplikací používat pro funkce proxy serveru služby AD FS, a potom klikněte na tlačítko Další.

    Certifikát, který zvolíte, by měl být certifikát, který má název služby Federation Service, například fs.fabrikam.com.

  7. V dialogovém okně Potvrzení zkontrolujte nastavení. V případě potřeby můžete zkopírovat rutinu PowerShellu a automatizovat další instalace. Klikněte na Konfigurovat.

  8. V dialogovém okně Výsledky ověřte, že konfigurace byla úspěšná, a potom klepněte na tlačítko Zavřít.

Konfigurace webového proxy aplikací prostřednictvím Windows PowerShell

  1. Následující rutina nebo rutiny prostředí Windows PowerShell provádí stejnou funkci jako předchozí postup. Každou rutinu zadejte na jeden řádek, a to i v případě, že jsou zde kvůli omezením formátování zobrazeny na několika řádcích.

    Následující příkaz vás vyzve k zadání přihlašovacích údajů účtu místního správce na serverech SLUŽBY AD FS.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Optimalizace nastavení řízení zahlcení mezi webovými proxy aplikací a servery AD FS – volitelný krok

Extranetové webové proxy aplikací dokáže omezovat požadavky z extranetu, pokud se latence mezi webovými proxy aplikací a federačním serverem zvýší nad určitou prahovou hodnotu. Na základě této funkce webová proxy aplikací odmítne požadavky na ověřování externího klienta, pokud je federační server přetížený podle latence mezi webovým proxy aplikací a federačním serverem pro žádosti o ověření služby. Úzce souvisí s podobným algoritmem používaným pro řízení zahlcení v PROTOKOLU TCP označovaného jako násobení násobení sčítání (AIMD). Řešení funguje pomocí okna zahlcení reprezentované fondem tokenů, které zapůjčení každé příchozí žádosti webové proxy aplikací.

V síti DMZ s vysokou latencí nebo vysoce načteném webovém proxy aplikací je možné žádosti o ověření odmítnout, i když federační server může tyto požadavky úspěšně splnit na základě výchozího nastavení, které řídí tento algoritmus. V takovém prostředí důrazně doporučujeme upravit nastavení tak, aby byla méně agresivní, a to provedením následujících kroků.

  1. Na webovém proxy aplikací počítači spusťte příkazové okno se zvýšenými oprávněními.

  2. Přejděte do adresáře ADFS v %WINDIR%\adfs\config.

  3. Změňte nastavení řízení zahlcení z výchozích hodnot na <"congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Uložte soubor a zavřete ho.

  5. Restartujte službu AD FS spuštěním příkazu net stop adfssrv a pak net start adfssrv.

Další krok

Teď, když jste ověřili, že jste nakonfigurovali webové proxy aplikací počítače, je dalším krokem instalace Windows PowerShell pro jednotné přihlašování pomocí služby AD FS.

Viz také

Koncepty

Příprava síťové infrastruktury pro konfiguraci extranetového přístupu
Kontrolní seznam: Použití služby AD FS k implementaci a správě jednotného přihlašování