Requisiti per ADFSAD FS Requirements

Di seguito sono indicati i requisiti per la distribuzione di ADFS:The following are the requirements for deploying AD FS:

Requisiti dei certificatiCertificate requirements

Certificati SSLSSL Certificates

Ogni server ADFS e Proxy applicazione Web dispone di un certificato SSL per soddisfare le richieste HTTPS per il servizio federativo.Each AD FS and Web Application Proxy server has an SSL certificate to service HTTPS requests to the federation service. Il Proxy dell'applicazione Web può avere altri certificati SSL per soddisfare le richieste alle applicazioni pubblicate.The Web Application Proxy can have additional SSL certificates to service requests to published applications.

Raccomandazione: Usare lo stesso certificato SSL per tutti i server federativi AD FS e proxy applicazione Web.Recommendation: Use the same SSL certificate for all AD FS federation servers and Web Application proxies.

Requisiti:Requirements:

I certificati SSL nei server federativi devono soddisfare i requisiti seguentiSSL certificates on federation servers must meet the following requirements

  • Certificato è attendibile pubblicamente (per le distribuzioni di produzione)Certificate is publicly trusted (for production deployments)
  • Certificato contiene il valore Server autenticazione chiavi avanzato (EKU)Certificate contains the Server Authentication Enhanced Key Usage (EKU) value
  • Certificato contiene il nome del servizio federativo, ad esempio "fs.contoso.com" nell'oggetto o nome alternativo soggetto (SAN)Certificate contains the federation service name, such as "fs.contoso.com" in the Subject or Subject Alternative Name (SAN)
  • Per l'autenticazione del certificato utente sulla porta 443, certificato contiene "certauth.<nome del servizio federativo>", ad esempio"certauth.fs.contoso.com"nella rete SANFor user certificate authentication on port 443, certificate contains "certauth.<federation service name>", such as "certauth.fs.contoso.com" in the SAN
  • Per la registrazione del dispositivo o per l'autenticazione moderna per le risorse locali tramite i client precedenti a Windows 10, la SAN deve contenere "enterpriseregistration.<suffisso UPN>"per ogni suffisso UPN in uso nell'organizzazione.For device registration or for modern authentication to on premises resources using pre-Windows 10 clients, the SAN must contain "enterpriseregistration.<upn suffix>" for each UPN suffix in use in your organization.

I certificati SSL sul Proxy di applicazione Web devono soddisfare i requisiti seguentiSSL certificates on the Web Application Proxy must meet the following requirements

  • Se viene utilizzato il proxy per le richieste proxy ADFS che utilizzano l'autenticazione integrata di Windows, il certificato SSL del proxy devono corrispondere il (utilizzare la stessa chiave) il certificato SSL del server federativoIf the proxy is used to proxy AD FS requests that use Windows Integrated Authentication, the proxy SSL certificate must be the same (use the same key) as the federation server SSL certificate
  • Se la proprietà di AD FS "ExtendedProtectionTokenCheck" è abilitata (l'impostazione predefinita in AD FS), il certificato SSL del proxy deve essere lo stesso (utilizzare la stessa chiave) come il certificato SSL del server federativoIf the AD FS property "ExtendedProtectionTokenCheck" is enabled (the default setting in AD FS), the proxy SSL certificate must be the same (use the same key) as the federation server SSL certificate
  • In caso contrario, i requisiti per il certificato SSL del proxy sono identici a quelli per il certificato SSL del server federativoOtherwise, the requirements for the proxy SSL certificate are the same as those for the federation server SSL certificate

Certificato di comunicazione del servizioService Communication Certificate

Questo certificato non è necessario per la maggior parte degli scenari di ADFS, tra cui Azure AD e Office 365.This certificate is not required for most AD FS scenarios including Azure AD and Office 365. Per impostazione predefinita, ADFS consente di configurare il certificato SSL fornito subito dopo la configurazione iniziale come certificato di comunicazione del servizio.By default, AD FS configures the SSL certificate provided upon initial configuration as the service communication certificate.

Raccomandazione:Recommendation:

  • Utilizzare lo stesso certificato quando si utilizza per SSL.Use the same certificate as you use for SSL.

Certificato di firma di tokenToken Signing Certificate

Questo certificato viene usato per firmare i token emessi per le relying party, quindi applicazioni relying party devono riconoscere il certificato è associata una chiave di conosciuto e attendibile.This certificate is used to sign issued tokens to relying parties, so relying party applications must recognize the certificate and it's associated key as known and trusted. Quando il token modifiche certificato firma, ad esempio quando scade e si configurano un nuovo certificato, è necessario aggiornare tutte le relying party.When the token signing certificate changes, such as when it expires and you configure a new certificate, all relying parties must be updated.

Raccomandazione: Usare il valore predefinito di ADFS, i certificati di firma di token autofirmati, generati internamente.Recommendation: Use the AD FS default, internally generated, self-signed token signing certificates.

Requisiti:Requirements:

  • Se l'organizzazione richiede l'utilizzo di certificati emessi da PKI dell'azienda per la firma di token, questa operazione può essere eseguita utilizzando il parametro SigningCertificateThumbprint del cmdlet Install-AdfsFarm.If your organization requires that certificates from the enterprise PKI be used for token signing, this can be done using the SigningCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
  • Se si desidera utilizza i certificati predefiniti generati internamente o esternamente registrati certificati, quando viene modificato il certificato di firma di token è necessario verificare che tutti i componenti vengono aggiornati con le nuove informazioni del certificato.Whether you use the default internally generated certificates or externally enrolled certificates, when the token signing certificate is changed you must ensure all relying parties are updated with the new certificate information. In caso contrario, gli accessi a qualsiasi relying party non aggiornato avrà esito negativo.Otherwise, logons to any relying parties not updated will fail.

Certificato di crittografia/decrittografia dei tokenToken Encrypting/Decrypting Certificate

Questo certificato viene utilizzato dai provider di attestazioni che crittografare i token emessi per ADFS.This certificate is used by claims providers who encrypt tokens issued to AD FS.

Raccomandazione: Usare il valore predefinito di ADFS, i certificati di decrittografia di token autofirmati, generati internamente.Recommendation: Use the AD FS default, internally generated, self-signed token decrypting certificates.

Requisiti:Requirements:

  • Se l'organizzazione richiede l'utilizzo di certificati emessi da PKI dell'azienda per la firma di token, questa operazione può essere eseguita utilizzando il parametro DecryptingCertificateThumbprint del cmdlet Install-AdfsFarm.If your organization requires that certificates from the enterprise PKI be used for token signing, this can be done using the DecryptingCertificateThumbprint parameter of the Install-AdfsFarm cmdlet.
  • Se si desidera utilizza i certificati predefiniti generati internamente o esternamente registrati certificati, quando viene modificato il token di decrittografia di certificato è necessario verificare che tutti i provider di attestazioni vengono aggiornati con le nuove informazioni del certificato.Whether you use the default internally generated certificates or externally enrolled certificates, when the token decrypting certificate is changed you must ensure all claims providers are updated with the new certificate information. In caso contrario, gli accessi tramite qualsiasi provider non aggiornato di attestazioni avrà esito negativo.Otherwise, logons using any claims providers not updated will fail.

Attenzione

I certificati utilizzati per token-firma e il token-decrittografia/la crittografia sono fondamentali per la stabilità del servizio federativo.Certificates that are used for token-signing and token-decrypting/encrypting are critical to the stability of the Federation Service. I clienti di gestire i propri token-firma & token-decrittografia/crittografare i certificati devono assicurarsi che questi certificati vengono sottoposti a backup e sono disponibili in modo indipendente durante un evento di ripristino.Customers managing their own token-signing & token-decrypting/encrypting certificates should ensure that these certificates are backed up and are available independently during a recovery event.

Certificati utenteUser Certificates

  • Quando si utilizza l'autenticazione del certificato utente con AD FS, tutti i certificati utente deve essere concatenato a un'autorità di certificazione radice considerata attendibile dal server ADFS e Proxy applicazione Web x509.When using x509 user certificate authentication with AD FS, all user certificates must chain up to a root certification authority that is trusted by the AD FS and Web Application Proxy servers.

Requisiti hardwareHardware requirements

Requisiti hardware ADFS e Proxy applicazione Web (fisici o virtuali) sono gestiti su CPU, pertanto è necessario adattare le dimensioni della farm per la capacità di elaborazione.AD FS and Web Application Proxy hardware requirements (physical or virtual) are gated on CPU, so you should size your farm for processing capacity.

I requisiti di memoria e disco per ADFS sono abbastanza statici, vedere la tabella riportata di seguito:The memory and disk requirements for AD FS are fairly static, see the table below:

Requisito hardwareHardware requirement Requisito minimoMinimum requirement Requisito consigliatoRecommended requirement
RAMRAM 2 GB2 GB 4 GB4 GB
Spazio su discoDisk space 32 GB32 GB 100 GB100 GB

Requisiti Hardware del Server SQLSQL Server Hardware Requirements

Se si utilizza SQL Server per il database di configurazione di ADFS, le dimensioni di SQL Server in base alle raccomandazioni di base di SQL Server.If you are using SQL Server for your AD FS configuration database, size the SQL Server according to the most basic SQL Server recommendations. Le dimensioni del database di ADFS sono molto piccola e ADFS non impone un notevole carico di elaborazione all'istanza del database.The AD FS database size is very small, and AD FS does not put a significant processing load on the database instance. AD FS, tuttavia, connettersi al database più volte durante l'autenticazione, pertanto la connessione di rete deve essere affidabile.AD FS does, however, connect to the database multiple times during an authentication, so the network connection should be robust. Sfortunatamente, SQL Azure non è supportato per il database di configurazione di ADFS.Unfortunately, SQL Azure is not supported for the AD FS configuration database.

Requisiti di proxyProxy requirements

  • Per l'accesso extranet, è necessario distribuire il servizio ruolo Proxy applicazione Web - fa parte del ruolo del server di accesso remoto.For extranet access, you must deploy the Web Application Proxy role service - part of the Remote Access server role.

  • Proxy di terze parti deve supportare il protocollo MS-ADFSPIP devono essere supportati come un proxy ADFS.Third party proxies must support the MS-ADFSPIP protocol to be supported as an AD FS proxy. Per un elenco di parti 3rd i fornitori di vedere le domande frequenti su.For a list of 3rd party vendors see the FAQ.

  • AD FS 2016 richiede il server Proxy applicazione Web in Windows Server 2016.AD FS 2016 requires Web Application Proxy servers on Windows Server 2016. Un proxy di livello inferiore non può essere configurato per una farm di AD FS 2016 in esecuzione a livello di comportamento 2016 farm.A downlevel proxy cannot be configured for an AD FS 2016 farm running at the 2016 farm behavior level.

  • Impossibile installare un server federativo e il servizio ruolo Proxy applicazione Web nello stesso computer.A federation server and the Web Application Proxy role service cannot be installed on the same computer.

Requisiti di Active Directory Domain ServicesAD DS requirements

Requisiti del controller di dominioDomain controller requirements

  • ADFS richiede che i controller di dominio che esegue Windows Server 2008 o versione successiva.AD FS requires Domain controllers running Windows Server 2008 or later.

  • Almeno un controller di dominio di Windows Server 2016 è necessario per Microsoft Passport for Work.At least one Windows Server 2016 domain controller is required for Microsoft Passport for Work.

Nota

Tutto il supporto per gli ambienti con controller di dominio di Windows Server 2003 è stata terminata.All support for environments with Windows Server 2003 domain controllers has ended. Visitare questa pagina Per ulteriori informazioni sulla disponibilità del supporto Microsoft.Visit this page for additional information on the Microsoft Support Lifecycle.

Funzionalità del dominio-requisiti di livelloDomain functional-level requirements

  • Tutti i domini di account utente e il dominio a cui sono stati aggiunti i server ADFS deve funzionare a livello funzionale di dominio di Windows Server 2003 o versione successiva.All user account domains and the domain to which the AD FS servers are joined must be operating at the domain functional level of Windows Server 2003 or higher.

  • Una funzionalità del dominio Windows Server 2008 livello o versione successiva è richiesto per l'autenticazione del certificato client se il certificato è mappato in modo esplicito a un account utente in Active Directory.A Windows Server 2008 domain functional level or higher is required for client certificate authentication if the certificate is explicitly mapped to a user's account in AD DS.

Requisiti dello schemaSchema requirements

  • Le nuove installazioni di AD FS 2016 richiedono lo schema di Active Directory 2016 (versione minima 85).New installations of AD FS 2016 require the Active Directory 2016 schema (minimum version 85).

  • Aumentare il livello di comportamento di farm di ADFS (FBL) a livello di 2016 richiede lo schema di Active Directory 2016 (versione minima 85).Raising the AD FS farm behavior level (FBL) to the 2016 level requires the Active Directory 2016 schema (minimum version 85).

Requisiti dell'account di servizioService account requirements

  • Qualsiasi account di dominio standard può essere utilizzato come account del servizio per ADFS.Any standard domain account can be used as a service account for AD FS. Sono supportati anche gli account del servizio gestito di gruppo.Group Managed Service accounts are also supported. Le autorizzazioni necessarie in fase di esecuzione verranno aggiunto automaticamente quando si configura ADFS.The permissions required at runtime will be added automatically when you configure AD FS.

  • L'assegnazione di diritti utente necessari per l'account del servizio Active Directory è 'Accedi come servizio'The User Rights Assignment required for the AD service account is 'Log on as a Service'

  • L'assegnazione di diritti utente necessari per la 'NT Service\adfssrv' e 'NT Service\drs' sono 'Generazione controlli di sicurezza' e 'Accedi come servizio'.The User Rights Assignments required for the 'NT Service\adfssrv' and 'NT Service\drs' are 'Generate Security Audits' and 'Log on as a Service'.

  • Account del servizio gestito gruppo richiedono almeno un controller di dominio che esegue Windows Server 2012 o versione successiva.Group Managed service accounts require at least one domain controller running Windows Server 2012 or higher. GMSA deve risiedere sotto il valore predefinito ' CN = contenitore degli account del servizio gestito.The GMSA must live under the default 'CN=Managed Service Accounts' container.

  • Per l'autenticazione Kerberos, il nome dell'entità servizio 'HOST/<adfs\_service\_name>' deve essere registrato nell'account del servizio AD FS.For Kerberos authentication, the service principal name ‘HOST/<adfs\_service\_name>’ must be registered on the AD FS service account. Per impostazione predefinita, ADFS configurerà questo quando si crea una nuova farm ADFS.By default, AD FS will configure this when creating a new AD FS farm. In caso di errore, ad esempio nel caso di conflitto o di autorizzazioni sufficienti, verrà visualizzato un avviso ed è necessario aggiungerla manualmente.If this fails, such as in the case of a collision or insufficient permissions, you'll see a warning and you should add it manually.

Requisiti di dominioDomain Requirements

  • Tutti i server ADFS devono essere di un dominio di Active Directory.All AD FS servers must be a joined to an AD DS domain.

  • Tutti i server ADFS all'interno di una farm devono essere distribuiti nello stesso dominio.All AD FS servers within a farm must be deployed in the same domain.

Requisiti di più foresteMulti Forest Requirements

  • Ogni dominio o foresta che contiene gli utenti l'autenticazione per il servizio ADFS, deve considerare attendibile il dominio a cui sono stati aggiunti i server ADFS.The domain to which the AD FS servers are joined must trust every domain or forest that contains users authenticating to the AD FS service.

  • La foresta, che l'account del servizio ADFS sia un membro, deve appurare di tutte le foreste di account di accesso utente.The forest, that the AD FS service account is a member of, must trust all user login forests.

  • L'account del servizio ADFS deve disporre delle autorizzazioni per leggere gli attributi utente in ogni dominio che contiene gli utenti l'autenticazione per il servizio ADFS.The AD FS service account must have permissions to read user attributes in every domain that contains users authenticating to the AD FS service.

Requisiti di database di configurazioneConfiguration database requirements

In questa sezione vengono descritti i requisiti e restrizioni per le farm di ADFS che utilizza rispettivamente la Database interno di Windows (WID) o SQL Server del database:This section describes the requirements and restrictions for AD FS farms that use respectively the Windows Internal Database (WID) or SQL Server as the database:

WIDWID

  • Il profilo di risoluzione dell'elemento di SAML 2.0 non è supportato in una farm database interno di Windows.The artifact resolution profile of SAML 2.0 is not supported in a WID farm.

  • Rilevamento riproduzione token non è supportata una farm database interno di Windows.Token replay detection is not supported a WID farm. (Questa funzionalità viene utilizzata soltanto solo in scenari in cui ADFS è funge da provider di federazione e l'utilizzo di token di sicurezza da provider di attestazioni esterno).(This functionality is only used only in scenarios where AD FS is acting as the federation provider and consuming security tokens from external claims providers.)

Nella tabella seguente viene fornito un riepilogo di quanti server ADFS sono supportati in Visual Studio un WID una farm SQL Server.The following table provides a summary of how many AD FS servers are supported in a WID vs a SQL Server farm.

1 - 100 trust della relying party (RP) configurato in AD FS1 - 100 relying party (RP) trusts configured in AD FS Più di 100 attendibilità della relying Party configuratoMore than 100 RP trusts configured
1-30 server ADFS1 - 30 AD FS servers Database interno di Windows supportatiWID Supported Non supportato utilizzando WID: SQL Server necessarieNot supported using WID - SQL Server required
Più di 30 server ADFSMore than 30 AD FS servers Non supportato utilizzando WID: SQL Server necessarieNot supported using WID - SQL Server required Non supportato utilizzando WID: SQL Server necessarieNot supported using WID - SQL Server required

SQL ServerSQL Server

  • Per ADFS in Windows Server 2016, SQL Server 2008 e versioni successive sono supportate.For AD FS in Windows Server 2016, SQL Server 2008 and higher versions are supported.

  • Risoluzione artefatto SAML sia il rilevamento riproduzione token sono supportati in una farm di SQL Server.Both SAML artifact resolution and token replay detection are supported in a SQL Server farm.

Requisiti del browserBrowser requirements

Quando viene eseguita l'autenticazione di ADFS tramite un browser o un controllo browser, il browser deve essere conforme ai requisiti seguenti:When AD FS authentication is performed via a browser or browser control, your browser must comply to the following requirements:

  • È necessario abilitare JavaScriptJavaScript must be enabled

  • Per single sign-on, il browser client deve essere configurato per consentire i cookieFor single sign on, the client browser must be configured to allow cookies

  • Indicazione del nome del server (SNI) devono essere supportateServer Name Indication (SNI) must be supported

  • Per certificato & dispositivo autenticazione dei certificati utente, il browser deve supportare l'autenticazione del certificato client SSLFor user certificate & device certificate authentication, the browser must support SSL client certificate authentication

  • Per l'accesso trasparente utilizzando l'autenticazione integrata di Windows, il nome del servizio federativo (ad esempio https://fs.contoso.com) devono essere configurate nella zona intranet locale o siti attendibili.For seamless sign on using Windows Integrated Authentication, the federation service name (such as https://fs.contoso.com) must be configured in local intranet zone or trusted sites zone.

    Requisiti di reteNetwork requirements

Requisiti del firewallFirewall Requirements

Entrambi i firewall si trova tra il Proxy dell'applicazione Web e la server farm federativa e il firewall tra i client e il Proxy dell'applicazione Web deve avere la porta TCP 443 abilitato in ingresso.Both the firewall located between the Web Application Proxy and the federation server farm and the firewall between the clients and the Web Application Proxy must have TCP port 443 enabled inbound.

Inoltre, se l'autenticazione del certificato client utente (autenticazione clientTLS utilizzando X509 i certificati utente) è obbligatorio e l'endpoint certauth sulla porta 443 non è abilitato, AD FS 2016 richiede che sia attivato 49443 la porta TCP in ingresso nel firewall tra i client e il Proxy dell'applicazione Web.In addition, if client user certificate authentication (clientTLS authentication using X509 user certificates) is required and the certauth endpoint on port 443 is not enabled, AD FS 2016 requires that TCP port 49443 be enabled inbound on the firewall between the clients and the Web Application Proxy. Questa operazione non è necessaria nel firewall tra il Proxy di applicazione Web e i server federativi).This is not required on the firewall between the Web Application Proxy and the federation servers).

Per altre informazioni sulla porta ibrida requisiti, vedere protocolli e porte di identità ibrida.For additional information on hybrid port requirements see Hybrid Identity Ports and Protocols.

Per altre informazioni vedere procedure consigliate per la protezione di Active Directory Federation ServicesFor additional information see Best practices for securing Active Directory Federation Services

Requisiti DNSDNS Requirements

  • Per l'accesso intranet, tutti i client che accedono AD FS service all'interno della rete azienda interna (intranet) deve essere in grado di risolvere il nome del servizio ADFS al bilanciamento del carico per i server ADFS o il server ADFS.For intranet access, all clients accessing AD FS service within the internal corporate network (intranet) must be able to resolve the AD FS service name to the load balancer for the AD FS servers or the AD FS server.

  • Per l'accesso extranet, tutti i client che accedono AD FS service dall'esterno della rete aziendale (extranet/internet) deve essere in grado di risolvere il nome del servizio ADFS al bilanciamento del carico per il server Proxy applicazione Web o il server Proxy applicazione Web.For extranet access, all clients accessing AD FS service from outside the corporate network (extranet/internet) must be able to resolve the AD FS service name to the load balancer for the Web Application Proxy servers or the Web Application Proxy server.

  • Ogni server di Proxy applicazione Web nella rete Perimetrale deve essere in grado di risolvere il nome di servizio ADFS al bilanciamento del carico per i server ADFS o il server ADFS.Each Web Application Proxy server in the DMZ must be able to resolve AD FS service name to the load balancer for the AD FS servers or the AD FS server. Ciò può essere ottenuto tramite un server DNS alternativo nella rete Perimetrale o modificando la risoluzione del server locale utilizzando il file HOSTS.This can be achieved using an alternate DNS server in the DMZ network or by changing local server resolution using the HOSTS file.

  • Per l'autenticazione integrata di Windows, è necessario utilizzare un record DNS A (non CNAME) per il nome del servizio federativo.For Windows Integrated authentication, you must use a DNS A record (not CNAME) for the federation service name.

  • Per l'autenticazione del certificato utente sulla porta 443, "certauth.<nome del servizio federativo>"deve essere configurato in DNS per risolvere al proxy di applicazione web o server federativo.For user certificate authentication on port 443, "certauth.<federation service name>" must be configured in DNS to resolve to the federation server or web application proxy.

  • Per la registrazione del dispositivo o per l'autenticazione moderna per le risorse locali tramite i client precedenti a Windows 10, "enterpriseregistration.<suffisso UPN>", per ogni suffisso UPN in uso nell'organizzazione, deve essere configurato per risolvere il proxy di applicazione web o server federativo.For device registration or for modern authentication to on premises resources using pre-Windows 10 clients, "enterpriseregistration.<upn suffix>", for each UPN suffix in use in your organization, must be configured to resolve to the federation server or web application proxy.

Requisiti del bilanciamento del caricoLoad Balancer requirements

  • Il bilanciamento del carico non deve interrompere la sessione SSL.The load balancer MUST NOT terminate SSL. ADFS supporta più casi di utilizzo con l'autenticazione del certificato che verrà interrotta quando terminazione SSL.AD FS supports multiple use cases with certificate authentication which will break when terminating SSL. Terminazione SSL al servizio di bilanciamento del carico non è supportata per qualsiasi caso d'uso.Terminating SSL at the load balancer is not supported for any use case.
  • È consigliabile usare un servizio di bilanciamento del carico che supporta SNI.It is recommended to use a load balancer that supports SNI. Nell'evento non le utilizza, usando la 0.0.0.0 fallback associazione su AD FS o server Proxy applicazione Web deve fornire una soluzione alternativa.In the event it does not, using the 0.0.0.0 fallback binding on your AD FS / Web Application Proxy server should provide a workaround.
  • È consigliabile usare l'endpoint del probe di integrità HTTP (non HTTPS) per eseguire controlli di integrità di load balancer per il routing del traffico.It is recommended to use the HTTP (not HTTPS) health probe endpoints to perform load balancer health checks for routing traffic. Questo evita qualsiasi problema relativo a SNI.This avoids any issues relating to SNI. La risposta a questi endpoint di probe è un messaggio HTTP 200 OK e viene gestita in locale con alcuna dipendenza dalla servizi back-end.The response to these probe endpoints is an HTTP 200 OK and is served locally with no dependence on back-end services. Il probe HTTP è accessibile su HTTP utilizzando il percorso probe/adfs /The HTTP probe can be accessed over HTTP using the path ‘/adfs/probe’
    • http://<nome del Proxy applicazione Web > /adfs/probehttp://<Web Application Proxy name>/adfs/probe
    • http://<nome del server ad FS > /adfs/probehttp://<ADFS server name>/adfs/probe
    • http://<indirizzo IP del Proxy applicazione Web > /adfs/probehttp://<Web Application Proxy IP address>/adfs/probe
    • http://<indirizzo IP di ADFS > /adfs/probehttp://<ADFS IP address>/adfs/probe
  • NON è consigliabile usare DNS round robin che consente di bilanciare il carico.It is NOT recommended to use DNS round robin as a way to load balance. Utilizzo di questo tipo di bilanciamento del carico non fornisce un metodo automatico per rimuovere un nodo dal servizio di bilanciamento del carico con probe di integrità.Using this type of load balancing does not provide an automated way to remove a node from the load balancer using health probes.
  • È consigliabile non usare l'affinità di sessione basata su IP o le sessioni permanenti per il traffico di autenticazione per AD FS all'interno di bilanciamento del carico.It is NOT recommended to use IP based session affinity or sticky sessions for authentication traffic to AD FS within the load balancer. Ciò può provocare un overload di alcuni nodi quando si usa il protocollo di autenticazione legacy per i client di posta elettronica per la connessione ai servizi di posta elettronica di Office 365 (Exchange Online).This can cause an overload of certain nodes when using legacy authentication protocol for mail clients to connect to Office 365 mail services (Exchange Online).

Requisiti di autorizzazionePermissions requirements

L'amministratore che esegue l'installazione e la configurazione iniziale di ADFS deve disporre delle autorizzazioni di amministratore locale sul server ADFS.The administrator that performs the installation and the initial configuration of AD FS must have local administrator permissions on the AD FS server. Se l'amministratore locale non dispone delle autorizzazioni per creare oggetti in Active Directory, è necessario innanzitutto disporre di un amministratore di dominio creare gli oggetti di Active Directory necessari, quindi configurare la farm di ADFS tramite il parametro AdminConfiguration.If the local administrator does not have permissions to create objects in Active Directory, they must first have a domain admin create the required AD objects, then configure the AD FS farm using the AdminConfiguration parameter.