Поделиться через

Контрольный список. Настройка доступа экстрасети для AD FS в устаревших версиях Windows Server

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

Следующий контрольный список включает задачи развертывания, необходимые для развертывания двух прокси-серверов федерации, которые перенаправят запросы проверки подлинности на сервер федерации в новой ферме серверов федерации.

Контрольный список контрольный список: развертывание прокси-серверов федерации

Задача развертывания Ссылки на разделы в этом разделе Завершённый

1. Установите программное обеспечение AD FS на компьютере, который станет прокси-сервером федерации.

установите программное обеспечение AD FS на прокси-компьютере

 флажок

2. Настройте программное обеспечение AD FS на компьютере, чтобы действовать в роли прокси-сервера федерации с помощью мастера настройки прокси-сервера федерации AD FS.

Настройка компьютера для роли прокси-сервера федерации

 флажок

3. С помощью средства просмотра событий убедитесь, что служба прокси-сервера федерации запущена.

Убедитесь, что прокси-сервер федерации работает

 флажок

4. Необязательный шаг -Optimize параметры управления перегрузкой между прокси-сервером веб-приложения и серверами AD FS.

Прокси-сервер федерации с экстрасетью может регулировать запросы из экстрасети, если задержка между прокси-сервером федерации и сервером федерации увеличивается за пределы определенного порогового значения. В зависимости от этой функции прокси-сервер федерации отклонит запросы на проверку подлинности внешнего клиента, если сервер федерации перегружен, как обнаружено задержкой между прокси-сервером федерации и сервером федерации для запросов проверки подлинности службы. Он тесно связан с аналогичным алгоритмом, используемым для контроля перегрузки в TCP, известном как умножение кратного увеличения (AIMD). Решение работает с помощью окна перегрузки, представленного пулом маркеров, которые он арендует для каждого входящего запроса прокси-сервера федерации.

В сети dmZ с высокой задержкой или прокси-сервере федерации с высокой нагрузкой можно отклонять запросы проверки подлинности, даже если сервер федерации может успешно удовлетворить эти запросы на основе параметров по умолчанию, которые управляют этим алгоритмом. В такой среде настоятельно рекомендуется изменить параметры, чтобы быть менее агрессивными, выполнив следующие действия.

  1. На прокси-компьютере сервера федерации запустите командное окно с повышенными привилегиями.

  2. Перейдите в каталог ADFS. Для Windows Server 2012 он находится в %windir%\ADFS. Для Windows Server 2008 и Windows Server 2008 R2 он находится в %programfiles%\Active Directory Federation Services 2.0.

  3. Измените параметры элемента управления перегрузкой с значений по умолчанию на '<задержки congestionControlThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Сохраните и закройте файл.

  5. Перезапустите службу AD FS, выполнив "net stop adfssrv", а затем "net start adfssrv".

См. также

Концепции

контрольный список . Использование AD FS для реализации единого входа и управления ими