Delen via

Controlelijst: extranettoegang configureren voor AD FS op oudere versies van Windows Server

  • Artikel

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

De volgende controlelijst bevat de implementatietaken die nodig zijn voor het implementeren van twee federatieserverproxy's waarmee verificatieaanvragen worden omgeleid naar een federatieserver in uw nieuwe federatieserverfarm.

Checklist Checklist: Uw federatieserverproxy's implementeren

Implementatietaak Koppelingen naar onderwerpen in deze sectie Volbracht

1. Installeer de AD FS-software op de computer die de federatieserverproxy wordt.

de AD FS-software installeren op de proxycomputer

 selectievakje

2. Configureer de AD FS-software op de computer om te handelen in de federatieserverproxyfunctie met behulp van de ad FS-wizard Federatieserverproxyconfiguratie.

een computer configureren voor de proxyfunctie van de federatieserver

 selectievakje

3. Controleer met Logboeken of de proxyservice van de federatieserver is gestart.

Controleren of de proxy van de federatieserver operationeel is

 selectievakje

4. Optionele stap -Optimize instellingen voor congestiebeheer tussen webtoepassingsproxy en de AD FS-servers.

De extranetgerichte federatieserverproxy kan aanvragen van het extranet beperken als de latentie tussen de federatieserverproxy en de federatieserver hoger is dan een bepaalde drempelwaarde. Op basis van deze functie weigert de federatieserverproxy aanvragen voor externe clientverificatie als de federatieserver overbelast is zoals gedetecteerd door de latentie tussen de federatieserverproxy en de federatieserver voor serviceverificatieaanvragen. Het is nauw verwant aan een vergelijkbaar algoritme dat wordt gebruikt voor congestiecontrole in TCP, bekend als Additieve Toename Multiplicative Decrease (AIMD). De oplossing werkt met behulp van een congestievenster dat wordt vertegenwoordigd door een groep tokens die wordt geleased naar elke binnenkomende aanvraag naar de federatieserverproxy.

In een DMZ-netwerk met hoge latentie of een maximaal geladen federatieserverproxy kan verificatieaanvragen worden geweigerd, zelfs als de federatieserver aan deze aanvragen kan voldoen op basis van de standaardinstellingen waarmee dit algoritme wordt bepaald. In een dergelijke omgeving raden we u ten zeerste aan om de instellingen minder agressief te wijzigen door de volgende stappen uit te voeren.

  1. Start op de proxycomputer van de federatieserver een opdrachtvenster met verhoogde bevoegdheid.

  2. Navigeer naar de ADFS-map. Voor Windows Server 2012 bevindt het zich op %windir%\ADFS-. Voor Windows Server 2008 en Windows Server 2008 R2 bevindt het zich op %programfiles%\Active Directory Federation Services 2.0.

  3. Wijzig de instellingen voor congestiebeheer van de standaardwaarden in '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Sla het bestand op en sluit het.

  5. Start de AD FS-service opnieuw door 'net stop adfssrv' uit te voeren en 'net start adfssrv'.

Zie ook

Concepten

Checklist: AD FS gebruiken voor het implementeren en beheren van eenmalige aanmelding