Delen via

Een computer configureren voor de rol van federatieserverproxy

Nadat u een computer met de vereiste certificaten hebt geconfigureerd en de functieservice Federation Service Proxy hebt geïnstalleerd, kunt u de computer configureren om een federatieserverproxy te worden. U kunt de volgende procedure gebruiken, zodat de computer in de federatieserverproxyfunctie werkt.

Belangrijk

Voordat u deze procedure gebruikt om de federatieserverproxycomputer te configureren, moet u ervoor zorgen dat u alle stappen in Controlelijst hebt gevolgd: Een federatieserverproxy instellen in de volgorde waarin ze worden vermeld. Zorg ervoor dat ten minste één federatieserver is geïmplementeerd en dat alle benodigde referenties voor het autoriseren van een federatieserverproxyconfiguratie zijn geïmplementeerd. U moet ook SSL-bindingen (Secure Sockets Layer) configureren op de standaardwebsite, anders wordt deze wizard niet gestart. Al deze taken moeten worden voltooid voordat deze federatieserverproxy kan functioneren.

Nadat u klaar bent met het instellen van de computer, controleert u of de federatieserverproxy werkt zoals verwacht. Zie Controleren of een federatieserverproxy operationeel is voor meer informatie.

Lidmaatschap van administratorsof gelijkwaardig, op de lokale computer is de minimale vereiste om deze procedure te voltooien. Bekijk details over het gebruik van de juiste accounts en groepslidmaatschappen op Lokale en Domeinstandaardgroepen.

Een computer configureren voor de federatieserverproxyfunctie

  1. Er zijn twee manieren om de AD FS-federatieserverconfiguratiewizard te starten. Ga op een van de volgende manieren te werk om de wizard te starten:

    • Typ op het startscherm de AD FS-federatieserverproxyconfiguratiewizard en druk vervolgens op Enter.

    • Wanneer de installatiewizard is voltooid, opent u Windows Verkenner, gaat u naar de map C:\Windows\ADFS en dubbelklikt u op FspConfigWizard.exe.

  2. Start de wizard met een van beide methoden en klik op de welkomstpagina op Volgende.

  3. Typ op de pagina Naam van Federation-service opgeven onder de naam van de Federation-service de naam die de Federation-service vertegenwoordigt waarvoor deze computer in de proxyrol zal handelen.

  4. Bepaal op basis van uw specifieke netwerkvereisten of u een HTTP-proxyserver moet gebruiken om aanvragen door te sturen naar de Federation-service. Als dit het volgende is, schakelt u het selectievakje Een HTTP-proxyserver gebruiken in bij het verzenden van aanvragen naar deze Federation Service , klikt u onder HET adres van de HTTP-proxyserver op Het adres van de proxyserver, klikt u op Verbinding testen om de verbinding te controleren en klikt u vervolgens op Volgende.

  5. Wanneer u hierom wordt gevraagd, geeft u de referenties op die nodig zijn om een vertrouwensrelatie tot stand te brengen tussen deze federatieserverproxy en de Federation-service.

    Standaard kan alleen het serviceaccount dat door de federatieservice wordt gebruikt of een lid van de lokale groep Administrators een federatieserverproxy autoriseren.

  6. Bekijk de details op de pagina "Gereed om instellingen toe te passen". Als de instellingen correct lijken te zijn, klikt u op Volgende om te beginnen met het configureren van deze computer met deze proxyinstellingen.

  7. Bekijk de resultaten op de pagina Configuratieresultaten. Wanneer alle configuratiestappen zijn voltooid, klikt u op sluiten om de wizard af te sluiten.

    Er is geen Microsoft Management Console (MMC)-module beschikbaar voor het beheren van federatieserverproxy's. Als u instellingen wilt configureren voor elk van de federatieserverproxy's in uw organisatie, gebruikt u Windows PowerShell-cmdlets.

Een alternatieve TCP/IP-poort configureren voor proxybewerkingen

De federatieserverproxyservice is standaard geconfigureerd voor het gebruik van TCP-poort 443 voor HTTPS-verkeer en poort 80 voor HTTP-verkeer voor communicatie met de federatieserver. Als u verschillende poorten wilt configureren, zoals TCP-poort 444 voor HTTPS en poort 81 voor HTTP, moeten de volgende taken worden uitgevoerd.

Notitie

Als u van plan bent om AD FS in eerste instantie te implementeren voor gebruik onder alternatieve TCP/IP-poorten, moet u eerst poorten in uw IIS-protocolbindingen voor HTTP en HTTPS wijzigen op zowel de federatieserver als de federatieserverproxycomputers. Dit moet gebeuren voordat u de AD FS-configuratiewizards uitvoert voor de eerste configuratie. Als u IIS (Internet Information Services) eerst configureert, worden uw alternatieve TCP/IP-poortinstellingen gedetecteerd wanneer configuratie op basis van de wizard plaatsvindt in AD FS en de volgende procedure niet nodig is. Als u de poortinstellingen later wilt wijzigen, werkt u eerst IIS-protocolbindingen bij en gebruikt u vervolgens de volgende procedure om poortinstellingen op de juiste manier bij te werken. Zie het artikel 149605 in de Microsoft Knowledge Base voor meer informatie over het bewerken van IIS-bindingen.

Alternatieve TCP/IP-poorten configureren voor de federatieserverproxy die moet worden gebruikt

  1. Configureer de federatieserver voor het gebruik van de niet-standaardpoorten.

    Geef hiervoor het niet-standaardpoortnummer op door dit op te nemen met de httpsport - en HttpPort-opties als onderdeel van de cmdlet Set-ADFSProperties . Als u deze poorten bijvoorbeeld wilt configureren, gebruikt u de volgende opdrachten in de Windows PowerShell-sessie op de federatieservercomputer:

    Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81

  2. Configureer de federatieserverproxy om de niet-standaardpoort te gebruiken.

    Geef hiervoor het niet-standaardpoortnummer op door dit op te nemen met de httpsport - en HttpPort-opties als onderdeel van de cmdlet Set-ADFSProxyProperties . Als u deze poorten bijvoorbeeld wilt configureren, gebruikt u de volgende opdrachten in de Windows PowerShell-sessie op de federatieservercomputer:

    Set-ADFSProxyProperties -HttpsPort 444
Set-ADFSProxyProperties -HttpPort 81

    Notitie

    Eindpunt-URL's zijn niet standaard ingeschakeld voor de federation-serverproxy-service. Als u een nieuwe federatieserverinstallatie configureert, moet u eerst proxyservice-eindpunten voor federatieservers inschakelen. Er wordt bijvoorbeeld van uitgegaan dat u alle eindpunten waarnaar het voorbeeld in deze procedure verwijst, hebt ingeschakeld voor proxy door ze te selecteren in AD FS-beheer en vervolgens Inschakelen op proxy te selecteren.

  3. Werk de IIS-installatie bij op de federatieserverproxy, zodat Security Assertion Markup Language (SAML) en WS-Trust-eindpunten zijn geconfigureerd om het bijgewerkte poortnummer weer te geven. Hiervoor kunt u Kladblok gebruiken om het volgende te wijzigen in het bestand Web.config, dat zich bevindt op systemdrive%\inetpub\adfs\ls\ op de proxycomputer van de federatieserver. Als u bijvoorbeeld een federatieserver hebt met de naam sts1.contoso.com en het nieuwe poortnummer 444 is, bladert en opent u het bestand Web.config in Kladblok op de proxycomputer van de federatieserver, zoekt u de volgende sectie, wijzigt u het poortnummer zoals hieronder is gemarkeerd en slaat u Kladblok op en sluit u dit af.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
      wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />

  4. Voeg het proxyservicegebruikersaccount van de federatieserver toe aan de toegangsbeheerlijst (ACL) voor de gerelateerde eindpunt-URL's. Als het poortnummer bijvoorbeeld 1234 is en het gebruikersaccount waarmee de AD FSfederation-serverproxyservice wordt uitgevoerd, het ingebouwde netwerkserviceaccount is, typt u de volgende opdracht bij een opdrachtprompt:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"

netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"

    De vorige opdrachten moeten worden uitgevoerd op zowel de federatieserver als de proxycomputers van de federatieserver.

Aanvullende verwijzingen

Controlelijst: Een federation-serverproxy instellen