Share via

Az AD FS extranetes hozzáférésének konfigurálása Windows Server 2012 R2-n

  • Cikk

A következőkre vonatkozik: Azure, Office 365, Power BI, Windows Intune

Ez a témakör azt ismerteti, hogyan telepítheti a távelérési szerepkört a webes alkalmazásproxy szerepkör-szolgáltatással, és hogyan konfigurálhatja a webes alkalmazásproxy-kiszolgálót egy Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálóhoz való csatlakozáshoz.

2.2. A Távelérés szerepkör telepítése

A webes alkalmazásproxy telepítéséhez telepítenie kell a távelérési szerepkört a Webes alkalmazásproxy szerepkör-szolgáltatással egy olyan kiszolgálón, amely webes alkalmazásproxy kiszolgálóként fog működni.

Ismételje meg ezt az eljárást az összes olyan kiszolgáló esetében, amelyet webes alkalmazásproxy kiszolgálóként szeretne üzembe helyezni.

A webes alkalmazásproxy szerepkör-szolgáltatás telepítése a felhasználói felületen keresztül

  1. A webes alkalmazásproxy-kiszolgálón, a Kiszolgálókezelő konzol irányítópultján kattintson a Szerepkörök és szolgáltatások hozzáadása elemre.

  2. A Szerepkörök és szolgáltatások hozzáadása varázslóban kattintson háromszor a Tovább gombra a kiszolgálói szerepkör kiválasztásának képernyőjéhez való hozzáféréshez.

  3. A Kiszolgálói szerepkörök kiválasztása párbeszédpanelen válassza a Távelérés lehetőséget, majd kattintson a Tovább gombra.

  4. Kattintson kétszer a Tovább gombra.

  5. A Szerepkör-szolgáltatások kiválasztása párbeszédpanelen válassza a Webes alkalmazásproxy lehetőséget, kattintson a Szolgáltatások hozzáadása, majd a Tovább gombra.

  6. A Telepítendő összetevők megerősítése párbeszédpanelen kattintson a Telepítés gombra.

  7. A Telepítési folyamat párbeszédpanelen ellenőrizze, hogy a telepítés sikeres volt-e, majd kattintson a Bezárás gombra.

A webes alkalmazásproxy szerepkör-szolgáltatás telepítése Windows PowerShel használatával

  1. Az alábbi Windows PowerShell-parancsmag(ok) az előző eljárással megegyező művelet végrehajtására szolgál(nak). Minden parancsmagot külön sorba írjon be, akkor is, ha a formázási megkötések miatt több sorba tördelve jelennek meg.

    Az alábbi Windows PowerShell-parancsmag(ok) az előző eljárással megegyező művelet végrehajtására szolgál(nak). Minden parancsmagot külön sorba írjon be, akkor is, ha a formázási megkötések miatt több sorba tördelve jelennek meg.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. A webalkalmazás-proxy konfigurálása

Konfigurálnia kell a webes alkalmazásproxy az AD FS-kiszolgálóhoz való csatlakozáshoz.

Ismételje meg ezt az eljárást az összes olyan kiszolgáló esetében, amelyet webes alkalmazásproxy kiszolgálóként szeretne üzembe helyezni.

Webes alkalmazásproxy konfigurálása a felhasználói felületen

  1. A webes alkalmazásproxy kiszolgálón nyissa meg a távelérés-kezelési konzolt: RAMgmtUI.exe, majd nyomja le az ENTER billentyűt. Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy a megjelenített műveletet kívánja elvégezni, majd kattintson az Igen gombra.

  2. A navigációs ablakban kattintson a Webes alkalmazásproxy elemre.

  3. A Távelérés kezelése konzol középső ablaktábláján kattintson a Web alkalmazásproxy konfigurációs varázsló futtatása parancsra.

  4. A Webes alkalmazásproxy konfigurációs varázslóüdvözlőablakában kattintson a Tovább gombra.

  5. Az Összevonási kiszolgáló párbeszédpanelen tegye a következőket, majd kattintson a Tovább gombra:

    • Az Összevonási szolgáltatásnév mezőbe írja be az AD FS-kiszolgáló teljes tartománynevét (FQDN). például fs.fabrikam.com.

    • A Felhasználónév és a Jelszó mezőben adja meg egy helyi rendszergazdai fiók hitelesítő adatait az AD FS-kiszolgálókon.

  6. Az AD FS proxytanúsítvány párbeszédpanelen, a webes alkalmazásproxy-kiszolgálón jelenleg telepített tanúsítványok listájában válassza ki azt a tanúsítványt, amelyet a webes alkalmazásproxy használ az AD FS proxyfunkciókhoz, majd kattintson a Tovább gombra.

    Az itt kiválasztott tanúsítványnak kell lennie annak, amelynek tárgya az összevonási szolgáltatás neve, például fs.fabrikam.com.

  7. A Megerősítés párbeszédpanelen tekintse át a beállításokat. Szükség esetén átmásolhatja a PowerShell-parancsmagot a további telepítések automatizálásához. Kattintson a Configure (Konfigurálás) elemre.

  8. Az Eredmények párbeszédpanelen ellenőrizze, hogy a konfiguráció sikeres volt-e, majd kattintson a Bezárás gombra.

Webes alkalmazásproxy konfigurálása Windows PowerShell

  1. Az alábbi Windows PowerShell-parancsmag(ok) az előző eljárással megegyező művelet végrehajtására szolgál(nak). Minden parancsmagot külön sorba írjon be, akkor is, ha a formázási megkötések miatt több sorba tördelve jelennek meg.

    A következő parancs kérni fogja, hogy adja meg egy helyi rendszergazdai fiók hitelesítő adatait az AD FS-kiszolgálókon.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Torlódás-vezérlési beállítások optimalizálása a webes alkalmazásproxy és az AD FS-kiszolgálók között – választható lépés

Az extranetes webes alkalmazásproxy képes szabályozni az extranetről érkező kéréseket, ha a webes alkalmazásproxy és az összevonási kiszolgáló közötti késés meghaladja a megadott küszöbértéket. Ezen funkció alapján a webes alkalmazásproxy elutasítja a külső ügyfél-hitelesítési kéréseket, ha az összevonási kiszolgáló túlterhelt, amint azt a webes alkalmazásproxy és az összevonási kiszolgáló közötti késés észleli a szolgáltatáshitelesítési kérések között. Szorosan kapcsolódik a TCP-ben a torlódás-vezérléshez használt hasonló algoritmushoz, amelyet additív növekedés multiplicatív csökkenésnek (AIMD) nevezünk. A megoldás egy torlódási ablak használatával működik, amelyet egy tokenkészlet képvisel, amelyet a webes alkalmazásproxy minden bejövő kéréshez kibérel.

Nagy késésű DMZ-hálózatban vagy nagy terhelésű webes alkalmazásproxy esetén a hitelesítési kérések akkor is elutasíthatók, ha az összevonási kiszolgáló az algoritmust vezérlő alapértelmezett beállítások alapján sikeresen teljesíti ezeket a kéréseket. Ilyen környezetben erősen javasoljuk, hogy módosítsa a beállításokat, hogy kevésbé agresszívek legyenek az alábbi lépések végrehajtásával.

  1. A webes alkalmazásproxy számítógépen indítsa el az emelt szintű parancsablakot.

  2. Lépjen az ADFS könyvtárra a %WINDIR%\adfs\config helyen.

  3. Módosítsa a torlódás-vezérlési beállításokat az alapértelmezett értékekről a "<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />" értékre.

  4. Mentse és zárja be a fájlt.

  5. Indítsa újra az AD FS szolgáltatást a "net stop adfssrv" , majd a "net start adfssrv" parancs futtatásával.

Következő lépés

Most, hogy meggyőződett arról, hogy konfigurálta a webes alkalmazásproxy számítógépeket, a következő lépés a Windows PowerShell telepítése egyszeri bejelentkezéshez az AD FS-sel.

Lásd még:

Alapelvek

A hálózati infrastruktúra előkészítése az extranetes hozzáférés konfigurálására
Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez