Az AD FS extranetes hozzáférésének konfigurálása Windows Server 2012 R2-n
A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune
Ez a témakör azt ismerteti, hogyan telepítheti a távelérési szerepkört a webes alkalmazásproxy szerepkör-szolgáltatással, és hogyan konfigurálhatja a webes alkalmazásproxy-kiszolgálót egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálóhoz való csatlakozáshoz.
2.2. A Távelérés szerepkör telepítése
A webes alkalmazásproxy telepítéséhez telepítenie kell a távelérési szerepkört a Webes alkalmazásproxy szerepkör-szolgáltatással egy olyan kiszolgálón, amely webes alkalmazásproxy kiszolgálóként fog működni.
Ismételje meg ezt az eljárást az összes olyan kiszolgáló esetében, amelyet webes alkalmazásproxy kiszolgálóként szeretne üzembe helyezni.
A webes alkalmazásproxy szerepkör-szolgáltatás telepítése a felhasználói felületen keresztül
A webes alkalmazásproxy-kiszolgálón, a Kiszolgálókezelő konzol irányítópultján kattintson a Szerepkörök és szolgáltatások hozzáadása elemre.
A Szerepkörök és szolgáltatások hozzáadása varázslóban kattintson háromszor a Tovább gombra a kiszolgálói szerepkör kiválasztásának képernyőjéhez való hozzáféréshez.
A Kiszolgálói szerepkörök kiválasztása párbeszédpanelen válassza a Távelérés lehetőséget, majd kattintson a Tovább gombra.
Kattintson kétszer a Tovább gombra.
A Szerepkör-szolgáltatások kiválasztása párbeszédpanelen válassza a Webes alkalmazásproxy lehetőséget, kattintson a Szolgáltatások hozzáadása, majd a Tovább gombra.
A Telepítendő összetevők megerősítése párbeszédpanelen kattintson a Telepítés gombra.
A Telepítési folyamat párbeszédpanelen ellenőrizze, hogy a telepítés sikeres volt-e, majd kattintson a Bezárás gombra.
A webes alkalmazásproxy szerepkör-szolgáltatás telepítése Windows PowerShel használatával
Az alábbi Windows PowerShell-parancsmag(ok) az előző eljárással megegyező művelet végrehajtására szolgál(nak). Minden parancsmagot külön sorba írjon be, akkor is, ha a formázási megkötések miatt több sorba tördelve jelennek meg.
Az alábbi Windows PowerShell-parancsmag(ok) az előző eljárással megegyező művelet végrehajtására szolgál(nak). Minden parancsmagot külön sorba írjon be, akkor is, ha a formázási megkötések miatt több sorba tördelve jelennek meg.
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
2.3. A webalkalmazás-proxy konfigurálása
Konfigurálnia kell a webes alkalmazásproxy az AD FS-kiszolgálóhoz való csatlakozáshoz.
Ismételje meg ezt az eljárást az összes olyan kiszolgáló esetében, amelyet webes alkalmazásproxy kiszolgálóként szeretne üzembe helyezni.
Webes alkalmazásproxy konfigurálása a felhasználói felületen
A webes alkalmazásproxy kiszolgálón nyissa meg a távelérés-kezelési konzolt: RAMgmtUI.exe, majd nyomja le az ENTER billentyűt. Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy a megjelenített műveletet kívánja elvégezni, majd kattintson az Igen gombra.
A navigációs ablakban kattintson a Webes alkalmazásproxy elemre.
A Távelérés kezelése konzol középső ablaktábláján kattintson a Web alkalmazásproxy konfigurációs varázsló futtatása parancsra.
A Webes alkalmazásproxy konfigurációs varázslóüdvözlőablakában kattintson a Tovább gombra.
Az Összevonási kiszolgáló párbeszédpanelen tegye a következőket, majd kattintson a Tovább gombra:
Az Összevonási szolgáltatásnév mezőbe írja be az AD FS-kiszolgáló teljes tartománynevét (FQDN). például fs.fabrikam.com.
A Felhasználónév és a Jelszó mezőben adja meg egy helyi rendszergazdai fiók hitelesítő adatait az AD FS-kiszolgálókon.
Az AD FS proxytanúsítvány párbeszédpanelen, a webes alkalmazásproxy-kiszolgálón jelenleg telepített tanúsítványok listájában válassza ki azt a tanúsítványt, amelyet a webes alkalmazásproxy használ az AD FS proxyfunkciókhoz, majd kattintson a Tovább gombra.
Az itt kiválasztott tanúsítványnak kell lennie annak, amelynek tárgya az összevonási szolgáltatás neve, például fs.fabrikam.com.
A Megerősítés párbeszédpanelen tekintse át a beállításokat. Szükség esetén átmásolhatja a PowerShell-parancsmagot a további telepítések automatizálásához. Kattintson a Configure (Konfigurálás) elemre.
Az Eredmények párbeszédpanelen ellenőrizze, hogy a konfiguráció sikeres volt-e, majd kattintson a Bezárás gombra.
Webes alkalmazásproxy konfigurálása Windows PowerShell
Az alábbi Windows PowerShell-parancsmag(ok) az előző eljárással megegyező művelet végrehajtására szolgál(nak). Minden parancsmagot külön sorba írjon be, akkor is, ha a formázási megkötések miatt több sorba tördelve jelennek meg.
A következő parancs kérni fogja, hogy adja meg egy helyi rendszergazdai fiók hitelesítő adatait az AD FS-kiszolgálókon.
Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com
Torlódás-vezérlési beállítások optimalizálása a webes alkalmazásproxy és az AD FS-kiszolgálók között – választható lépés
Az extranetes webes alkalmazásproxy képes szabályozni az extranetről érkező kéréseket, ha a webes alkalmazásproxy és az összevonási kiszolgáló közötti késés meghaladja a megadott küszöbértéket. Ezen funkció alapján a webes alkalmazásproxy elutasítja a külső ügyfél-hitelesítési kéréseket, ha az összevonási kiszolgáló túlterhelt, amint azt a webes alkalmazásproxy és az összevonási kiszolgáló közötti késés észleli a szolgáltatáshitelesítési kérések között. Szorosan kapcsolódik a TCP-ben a torlódás-vezérléshez használt hasonló algoritmushoz, amelyet additív növekedés multiplicatív csökkenésnek (AIMD) nevezünk. A megoldás egy torlódási ablak használatával működik, amelyet egy tokenkészlet képvisel, amelyet a webes alkalmazásproxy minden bejövő kéréshez kibérel.
Nagy késésű DMZ-hálózatban vagy nagy terhelésű webes alkalmazásproxy esetén a hitelesítési kérések akkor is elutasíthatók, ha az összevonási kiszolgáló az algoritmust vezérlő alapértelmezett beállítások alapján sikeresen teljesíti ezeket a kéréseket. Ilyen környezetben erősen javasoljuk, hogy módosítsa a beállításokat, hogy kevésbé agresszívek legyenek az alábbi lépések végrehajtásával.
A webes alkalmazásproxy számítógépen indítsa el az emelt szintű parancsablakot.
Lépjen az ADFS könyvtárra a %WINDIR%\adfs\config helyen.
Módosítsa a torlódás-vezérlési beállításokat az alapértelmezett értékekről a "<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />" értékre.
Mentse és zárja be a fájlt.
Indítsa újra az AD FS szolgáltatást a "net stop adfssrv" , majd a "net start adfssrv" parancs futtatásával.
Következő lépés
Most, hogy meggyőződett arról, hogy konfigurálta a webes alkalmazásproxy számítógépeket, a következő lépés a Windows PowerShell telepítése egyszeri bejelentkezéshez az AD FS-sel.
Lásd még:
Alapelvek
A hálózati infrastruktúra előkészítése az extranetes hozzáférés konfigurálására
Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez