Share via

Controlelijst: extranettoegang configureren voor AD FS op verouderde versies van Windows Server

  • Artikel

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

De volgende controlelijst bevat de implementatietaken die nodig zijn voor het implementeren van twee federatieserverproxy's waarmee verificatieaanvragen worden omgeleid naar een federatieserver in uw nieuwe federatieserverfarm.

ChecklistControlelijst: uw federatieserverproxy's implementeren

Implementatietaak Koppelingen naar onderwerpen in deze sectie Voltooid

1. Installeer de AD FS-software op de computer die de federatieserverproxy wordt.

De AD FS-software installeren op de proxycomputer

 Checkbox

2. Configureer de AD FS-software op de computer om te handelen in de federatieserverproxyfunctie met behulp van de ad FS-wizard Federatieserverproxyconfiguratie.

Een computer configureren voor de federation-serverproxyfunctie

 Checkbox

3. Controleer met behulp van Logboeken of de proxyservice van de federatieserver is gestart.

Controleer of de federatieserverproxy operationeel is

 Checkbox

4. Optionele stap: instellingen voor congestiebeheer optimaliseren tussen web-toepassingsproxy en de AD FS-servers.

De extranetgerichte federatieserverproxy kan aanvragen van het extranet beperken als de latentie tussen de federatieserverproxy en de federatieserver hoger wordt dan een bepaalde drempelwaarde. Op basis van deze functie weigert de federatieserverproxy aanvragen voor externe clientverificatie als de federatieserver overbelast is, zoals gedetecteerd door de latentie tussen de federatieserverproxy en de federatieserver voor serviceverificatieaanvragen. Het is nauw verwant aan een vergelijkbaar algoritme dat wordt gebruikt voor congestiecontrole in TCP, bekend als Additieve Toename Multiplicative Decrease (AIMD). De oplossing werkt met behulp van een congestievenster dat wordt vertegenwoordigd door een groep tokens die wordt geleased aan elke binnenkomende aanvraag naar de federatieserverproxy.

In een DMZ-netwerk met hoge latentie of een federatieserverproxy met hoge latentie is het mogelijk om verificatieaanvragen te weigeren, zelfs als de federatieserver aan deze aanvragen kan voldoen op basis van de standaardinstellingen die dit algoritme beheren. In een dergelijke omgeving raden we u ten zeerste aan om de instellingen minder agressief te wijzigen door de volgende stappen uit te voeren.

  1. Start op uw federatieserverproxycomputer een opdrachtvenster met verhoogde bevoegdheid.

  2. Navigeer naar de ADFS-map. Voor Windows Server 2012 is dit %windir%\ADFS. Voor Windows Server 2008 en Windows Server 2008 R2 bevindt het zich op %programfiles%\Active Directory Federation Services 2.0.

  3. Wijzig de instellingen voor congestiebeheer van de standaardwaarden in <'congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Sla het bestand op en sluit het.

  5. Start de AD FS-service opnieuw door 'net stop adfssrv' uit te voeren en vervolgens 'net start adfssrv'.

Zie ook

Concepten

Controlelijst: AD FS gebruiken voor het implementeren en beheren van eenmalige aanmelding