Udostępnij za pośrednictwem

Konfigurowanie dostępu ekstranetu dla usług AD FS w Windows Server 2012 R2

  • Artykuł

Dotyczy: Azure, Office 365, Power BI, Windows Intune

W tym temacie opisano sposób instalowania roli dostępu zdalnego za pomocą usługi roli serwer proxy aplikacji sieci Web oraz sposobu konfigurowania serwera serwer proxy aplikacji sieci Web w celu nawiązania połączenia z serwerem Active Directory Federation Services (AD FS).

2.2. Instalowanie roli Dostęp zdalny

Aby wdrożyć serwer proxy aplikacji sieci Web, musisz zainstalować rolę dostępu zdalnego z usługą roli serwer proxy aplikacji sieci Web na serwerze, który będzie działać jako serwer serwer proxy aplikacji sieci Web.

Powtórz tę procedurę dla wszystkich serwerów, które chcesz wdrożyć jako serwery serwer proxy aplikacji sieci Web.

Aby zainstalować usługę roli serwer proxy aplikacji sieci Web za pośrednictwem interfejsu użytkownika

  1. Na serwerze serwer proxy aplikacji sieci Web w konsoli Menedżer serwera na pulpicie nawigacyjnym kliknij pozycję Dodaj role i funkcje.

  2. W Kreatorze dodawania ról i funkcji kliknij przycisk Dalej trzy razy, aby przejść do ekranu wyboru roli serwera.

  3. W oknie dialogowym Wybieranie ról serwera wybierz pozycję Dostęp zdalny, a następnie kliknij przycisk Dalej.

  4. Kliknij przycisk Dalej dwa razy.

  5. W oknie dialogowym Wybieranie usług ról wybierz pozycję Internet serwer proxy aplikacji, kliknij pozycję Dodaj funkcje, a następnie kliknij przycisk Dalej.

  6. W oknie dialogowym Potwierdzanie opcji instalacji kliknij przycisk Zainstaluj.

  7. W oknie dialogowym Postęp instalacji sprawdź, czy instalacja powiodła się, a następnie kliknij przycisk Zamknij.

Aby zainstalować usługę roli serwer proxy aplikacji sieci Web za pośrednictwem Windows PowerShel

  1. Poniższe polecenia cmdlet środowiska Windows PowerShell pełnią taką samą funkcję jak wcześniejsza procedura. Wprowadź każde polecenie cmdlet w jednym wierszu, nawet jeśli wiersze są zawijane ze względu na ograniczenia związane z formatowaniem.

    Poniższe polecenia cmdlet środowiska Windows PowerShell pełnią taką samą funkcję jak wcześniejsza procedura. Wprowadź każde polecenie cmdlet w jednym wierszu, nawet jeśli wiersze są zawijane ze względu na ograniczenia związane z formatowaniem.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Konfigurowanie serwera proxy aplikacji internetowej

Aby nawiązać połączenie z serwerem usług AD FS, należy skonfigurować serwer proxy aplikacji sieci Web.

Powtórz tę procedurę dla wszystkich serwerów, które chcesz wdrożyć jako serwery serwer proxy aplikacji sieci Web.

Aby skonfigurować serwer proxy aplikacji sieci Web za pośrednictwem interfejsu użytkownika

  1. Na serwerze serwer proxy aplikacji sieci Web otwórz konsolę zarządzania dostępem zdalnym: RAMgmtUI.exe, a następnie naciśnij klawisz ENTER. Jeśli zostanie wyświetlone okno dialogowe Kontrola konta użytkownika, potwierdź chęć wykonania wyświetlonej akcji, a następnie kliknij przycisk Tak.

  2. W okienku nawigacji kliknij pozycję Serwer proxy aplikacji sieci Web.

  3. W konsoli zarządzania dostępem zdalnym w środkowym okienku kliknij pozycję Uruchom Kreatora konfiguracji serwer proxy aplikacji sieci Web.

  4. W Kreatorze konfiguracji serwer proxy aplikacji sieci Web w oknie dialogowym Powitanie kliknij przycisk Dalej.

  5. W oknie dialogowym Serwer federacyjny wykonaj następujące czynności, a następnie kliknij przycisk Dalej:

    • W polu Nazwa usługi federacyjnej wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) serwera usług AD FS; na przykład fs.fabrikam.com.

    • W polach Nazwa użytkownika i Hasło wprowadź poświadczenia konta administratora lokalnego na serwerach usług AD FS.

  6. W oknie dialogowym Certyfikat serwera proxy usług AD FS na liście certyfikatów aktualnie zainstalowanych na serwerze serwer proxy aplikacji sieci Web wybierz certyfikat, który ma być używany przez usługę Web serwer proxy aplikacji dla funkcji serwera proxy usług AD FS, a następnie kliknij przycisk Dalej.

    Wybrany w tym miejscu certyfikat powinien być tym, którego podmiotem jest nazwa usługi federacyjnej, na przykład fs.fabrikam.com.

  7. W oknie dialogowym Potwierdzenie przejrzyj ustawienia. W razie potrzeby możesz skopiować polecenie cmdlet programu PowerShell, aby zautomatyzować dodatkowe instalacje. Kliknij pozycję Konfiguruj.

  8. W oknie dialogowym Wyniki sprawdź, czy konfiguracja zakończyła się pomyślnie, a następnie kliknij przycisk Zamknij.

Aby skonfigurować serwer proxy aplikacji sieci Web za pośrednictwem Windows PowerShell

  1. Poniższe polecenia cmdlet środowiska Windows PowerShell pełnią taką samą funkcję jak wcześniejsza procedura. Wprowadź każde polecenie cmdlet w jednym wierszu, nawet jeśli wiersze są zawijane ze względu na ograniczenia związane z formatowaniem.

    Następujące polecenie wyświetli monit o wprowadzenie poświadczeń konta administratora lokalnego na serwerach usług AD FS.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Optymalizowanie ustawień kontroli przeciążenia między serwer proxy aplikacji sieci Web a serwerami usług AD FS — opcjonalny krok

Ekstranet ma dostęp do sieci Web serwer proxy aplikacji może ograniczać żądania z ekstranetu, jeśli opóźnienie między serwer proxy aplikacji sieci Web a serwerem federacyjnym zwiększa się poza określony próg. W oparciu o tę funkcję serwer proxy aplikacji sieci Web odrzuci żądania uwierzytelniania klienta zewnętrznego, jeśli serwer federacyjny jest przeciążony przez opóźnienie między serwer proxy aplikacji sieci Web a serwerem federacyjnym do obsługi żądań uwierzytelniania. Jest on ściśle związany z podobnym algorytmem stosowanym do kontroli przeciążenia w protokole TCP znanym jako Add Add Increase Multiplicative Decrease (AIMD). Rozwiązanie działa przy użyciu okna przeciążenia reprezentowanego przez pulę tokenów, które dzierżawi do każdego przychodzącego żądania do serwer proxy aplikacji sieci Web.

W sieci DMZ o dużym opóźnieniu lub wysoce załadowanej sieci Web serwer proxy aplikacji można odrzucić żądania uwierzytelniania, nawet jeśli serwer federacyjny może pomyślnie spełnić te żądania na podstawie ustawień domyślnych, które kontrolują ten algorytm. W takim środowisku zdecydowanie zalecamy zmodyfikowanie ustawień tak, aby było mniej agresywne, wykonując następujące kroki.

  1. Na komputerze serwer proxy aplikacji sieci Web uruchom okno polecenia z podwyższonym poziomem uprawnień.

  2. Przejdź do katalogu usług ADFS w lokalizacji %WINDIR%\adfs\config.

  3. Zmień ustawienia kontrolki przeciążenia z wartości domyślnych na "<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Zapisz i zamknij plik.

  5. Uruchom ponownie usługę AD FS, uruchamiając polecenie "net stop adfssrv", a następnie "net start adfssrv".

Następny krok

Po zweryfikowaniu, że skonfigurowano komputery serwer proxy aplikacji sieci Web, następnym krokiem jest zainstalowanie Windows PowerShell na potrzeby logowania jednokrotnego przy użyciu usług AD FS.

Zobacz też

Pojęcia

Przygotowywanie infrastruktury sieciowej do konfigurowania dostępu ekstranetu
Lista kontrolna: implementowanie logowania jednokrotnego i zarządzanie nim przy użyciu usług AD FS