Share via

Extranettoegang configureren voor AD FS op Windows Server 2012 R2

  • Artikel

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

In dit onderwerp wordt beschreven hoe u de rasfunctie installeert met de functieservice Web toepassingsproxy en hoe u de web-toepassingsproxy-server configureert om verbinding te maken met een Active Directory Federation Services -server (AD FS).

2.2. De RAS-functie installeren

Als u web-toepassingsproxy wilt implementeren, moet u de rol Externe toegang installeren met de functieservice Web toepassingsproxy op een server die fungeert als de web-toepassingsproxy-server.

Herhaal deze procedure voor alle servers die u wilt implementeren als web-toepassingsproxy-servers.

De web-toepassingsproxy-functieservice installeren via de gebruikersinterface

  1. Klik op de web-toepassingsproxy-server in de Serverbeheer-console in het dashboard op Functies en onderdelen toevoegen.

  2. Klik in de wizard Functies en onderdelen toevoegen drie keer op Volgende om naar het selectiescherm van de serverfunctie te gaan.

  3. Op de Serverfuncties selecteren dialoogvenster RAS, en klik vervolgens op volgende.

  4. Klik op volgende twee keer.

  5. Selecteer in het dialoogvenster Functieservices selecteren de web-toepassingsproxy, klik op Onderdelen toevoegen en klik vervolgens op Volgende.

  6. Klik in het dialoogvenster Installatieselecties bevestigen op Installeren.

  7. Controleer in het dialoogvenster Installatievoortgang of de installatie is geslaagd en klik vervolgens op Sluiten.

De functieservice Web toepassingsproxy installeren via Windows PowerShel

  1. De volgende Windows PowerShell-cmdlet of cmdlets voeren dezelfde functie uit als de vorige procedure. Voer elke cmdlet in op één regel, ondanks dat ze hier mogelijk op meerdere regels staan dankzij de woordafbreking die te maken heeft met beperkingen in de opmaak van dit document.

    De volgende Windows PowerShell-cmdlet of cmdlets voeren dezelfde functie uit als de vorige procedure. Voer elke cmdlet in op één regel, ondanks dat ze hier mogelijk op meerdere regels staan dankzij de woordafbreking die te maken heeft met beperkingen in de opmaak van dit document.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Webtoepassingsproxy configureren

U moet web-toepassingsproxy configureren om verbinding te maken met een AD FS-server.

Herhaal deze procedure voor alle servers die u wilt implementeren als web-toepassingsproxy-servers.

Web-toepassingsproxy configureren via de gebruikersinterface

  1. Open op de web-toepassingsproxy server de beheerconsole voor externe toegang: RAMgmtUI.exeen druk vervolgens op Enter. Als het dialoogvenster Gebruikersaccountbeheer verschijnt, bevestigt u dat de weergegeven actie is wat u wilt doen en klikt u op Ja.

  2. Klik in het navigatiedeelvenster op Web toepassingsproxy.

  3. Klik in de beheerconsole voor externe toegang in het middelste deelvenster op De wizard Web toepassingsproxy Configureren uitvoeren.

  4. Klik in het dialoogvenster Welkom op Volgende in de wizard Web toepassingsproxy Configuratie.

  5. Ga als volgt te werk in het dialoogvenster Federatieserver en klik vervolgens op Volgende:

    • Voer in het vak Federation-servicenaam de FQDN (Fully Qualified Domain Name) van de AD FS-server in; Bijvoorbeeld fs.fabrikam.com.

    • Voer in de vakken Gebruikersnaam en Wachtwoord de referenties in van een lokaal beheerdersaccount op de AD FS-servers.

  6. Selecteer in het dialoogvenster AD FS-proxycertificaat in de lijst met certificaten die momenteel op de web-toepassingsproxy-server zijn geïnstalleerd, een certificaat dat moet worden gebruikt door web-toepassingsproxy voor AD FS-proxyfunctionaliteit en klik vervolgens op Volgende.

    Het certificaat dat u hier kiest, moet het certificaat zijn waarvan het onderwerp de naam van de Federation-service is, bijvoorbeeld fs.fabrikam.com.

  7. Controleer de instellingen in het dialoogvenster Bevestiging . Indien nodig kunt u de PowerShell-cmdlet kopiëren om extra installaties te automatiseren. Klik op Configureren

  8. Controleer in het dialoogvenster Resultaten of de configuratie is geslaagd en klik vervolgens op Sluiten.

Web-toepassingsproxy configureren via Windows PowerShell

  1. De volgende Windows PowerShell-cmdlet of cmdlets voeren dezelfde functie uit als de vorige procedure. Voer elke cmdlet in op één regel, ondanks dat ze hier mogelijk op meerdere regels staan dankzij de woordafbreking die te maken heeft met beperkingen in de opmaak van dit document.

    Met de volgende opdracht wordt u gevraagd referenties in te voeren van een lokaal beheerdersaccount op de AD FS-servers.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Instellingen voor congestiebeheer optimaliseren tussen web-toepassingsproxy en de AD FS-servers - optionele stap

Het extranet voor web-toepassingsproxy kan aanvragen van het extranet beperken als de latentie tussen de web-toepassingsproxy en de federatieserver hoger is dan een bepaalde drempelwaarde. Op basis van deze functie weigert de web-toepassingsproxy aanvragen voor externe clientverificatie als de federatieserver overbelast is zoals gedetecteerd door de latentie tussen het web toepassingsproxy en de federatieserver voor serviceverificatieaanvragen. Het is nauw verwant aan een vergelijkbaar algoritme dat wordt gebruikt voor congestiecontrole in TCP, ook wel Additieve Toename Multiplicative Decrease (AIMD) genoemd. De oplossing werkt met behulp van een congestievenster dat wordt vertegenwoordigd door een groep tokens die worden geleased naar elke binnenkomende aanvraag naar het web toepassingsproxy.

In een DMZ-netwerk met hoge latentie of een zeer geladen web-toepassingsproxy is het mogelijk dat verificatieaanvragen worden geweigerd, zelfs als de federatieserver aan deze aanvragen kan voldoen op basis van de standaardinstellingen die dit algoritme beheren. In een dergelijke omgeving raden we u ten zeerste aan om de instellingen minder agressief te wijzigen door de volgende stappen uit te voeren.

  1. Start op uw web-toepassingsproxy computer een opdrachtvenster met verhoogde bevoegdheid.

  2. Navigeer naar de ADFS-map op %WINDIR%\adfs\config.

  3. Wijzig de instellingen voor congestiebeheer van de standaardwaarden in '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Sla het bestand op en sluit het.

  5. Start de AD FS-service opnieuw door 'net stop adfssrv' uit te voeren en vervolgens 'net start adfssrv'.

Volgende stap

Nu u hebt geverifieerd dat u Web toepassingsproxy-computers hebt geconfigureerd, is de volgende stap het installeren van Windows PowerShell voor eenmalige aanmelding met AD FS.

Zie ook

Concepten

Uw netwerkinfrastructuur voorbereiden voor het configureren van extranettoegang
Controlelijst: AD FS gebruiken om eenmalige aanmelding te implementeren en beheren