Настройка компьютера для роли прокси-сервера сервера федерации
После настройки компьютера с необходимыми сертификатами и установки службы прокси-роли службы федерации можно настроить компьютер для создания прокси-сервера федерации. Чтобы назначить компьютеру роль прокси-сервера федерации, выполните указанные ниже действия.
Внимание
Прежде чем использовать эту процедуру для настройки прокси-компьютера сервера федерации, убедитесь, что вы выполнили все действия, описанные в контрольном списке: настройка прокси-сервера федерации в порядке их перечисления. Убедитесь, что развернут по крайней мере один сервер федерации и что реализованы все необходимые для создания конфигурации прокси-сервера федерации учетные данные. Также необходимо настроить привязки SSL на веб-сайте по умолчанию или этот мастер не запустится. Прежде чем данный прокси-сервер федерации сможет функционировать, все эти задачи должны быть выполнены.
После настройки компьютера проверьте работоспособность прокси-сервера федерации. Дополнительные сведения см. в статье "Проверка работы прокси-сервера федерации".
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
Настройка компьютера для роли прокси-сервера сервера федерации
Существует два способа запуска мастера настройки сервера федерации AD FS. Чтобы запустить мастер, выполните одно из следующих действий.
На начальном экране введите мастер настройки прокси-сервера федерации AD FS и нажмите клавишу ВВОД.
В любое время после завершения мастера установки откройте Windows Обозреватель, перейдите в папку C:\Windows\ADFS, а затем дважды щелкните FspConfigWizard.exe.
С помощью любого метода запустите мастер и на странице приветствия нажмите кнопку "Далее".
На странице "Указание имени службы федерации" в поле "Имя службы федерации" введите имя, представляющее службу федерации, для которой этот компьютер будет выступать в роли прокси-сервера.
С учетом конкретных сетевых требований определите, потребуется ли использовать прокси-сервер HTTP для пересылки запросов в службу федерации. Если это так, выберите http-прокси-сервер при отправке запросов в эту службу федерации проверка, в разделе адрес прокси-сервера HTTP введите адрес прокси-сервера, нажмите кнопку "Проверить Подключение", чтобы проверить подключение, а затем нажмите кнопку "Далее".
В ответ на соответствующий запрос укажите учетные данные, необходимые для установки отношений доверия между этим прокси-сервером федерации и службой федерации.
По умолчанию только учетная запись службы, используемая службой федерации или членом локальной группы BUILDIN\Администратор istrators, может авторизовать прокси-сервер федерации.
Просмотрите подробные сведения на странице Готовность к применению настроек. Если параметры, как представляется, правильны, нажмите кнопку "Далее ", чтобы начать настройку этого компьютера с этими параметрами прокси-сервера.
Просмотрите результаты на странице Результаты конфигурации. Завершив все действия по настройке конфигурации, щелкните Закрыть, чтобы выйти из мастера.
Для администрирования прокси-серверов федерации нет оснастки консоли управления Майкрософт (MMC). Чтобы настроить параметры для каждого прокси-сервера федерации в организации, используйте командлеты Windows PowerShell.
Настройка альтернативного порта TCP/IP для операций прокси-сервера
По умолчанию служба прокси-сервера федерации настроена на использование TCP-порта 443 для трафика HTTPS и порта 80 для трафика HTTP для связи с сервером федерации. Для настройки других портов, например TCP-порта 444 для HTTPS и порта 81 для HTTP, необходимо выполнить следующие действия.
Примечание.
Если вы планируете первоначально развернуть AD FS для работы с альтернативными портами TCP/IP, сначала следует изменить порты в привязках протокола IIS для HTTP и HTTPS на серверах федерации и прокси-сервера федерации. Это должно произойти перед запуском мастера конфигурации AD FS для начальной настройки. Если сначала настроить службы IIS (IIS), то параметры альтернативного порта TCP/IP обнаруживаются при возникновении конфигурации на основе мастера в AD FS, и следующая процедура не требуется. Если впоследствии требуется изменить параметры порта, сначала обновите IIS-привязки протокола, а затем с помощью следующей процедуры обновите параметры порта соответствующим образом. Дополнительные сведения об изменении привязок IIS см . в статье 149605 в базе знаний Майкрософт.
Настройка альтернативных портов TCP/IP для прокси-сервера федерации
Настройте сервер федерации для использования портов, отличных от портов по умолчанию.
Для этого укажите номер порта без учета, включив его с параметрами HttpsPort и HttpPort в рамках командлета Set-ADFSProperties. Например, чтобы настроить эти порты, используйте следующие команды в сеансе Windows PowerShell на компьютере сервера федерации:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81Настройте прокси-сервер федерации для использования порта, отличного от дефекторов.
Для этого укажите номер порта без учета, включив его с параметрами HttpsPort и HttpPort в рамках командлета Set-ADFSProxyProperties. Например, чтобы настроить эти порты, используйте следующие команды в сеансе Windows PowerShell на компьютере сервера федерации:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81Примечание.
URL-адреса конечных точек по умолчанию не включены для службы прокси-сервера федерации. Если вы настраиваете новую установку сервера федерации, сначала необходимо включить конечные точки прокси-службы сервера федерации. Например, предполагается, что для всех конечных точек, приведенных в примере этой процедуры, вы включили их для прокси-сервера, выбрав их в оснастке управления AD FS, а затем выбрав включить прокси-сервер.
Обновите установку IIS на прокси-сервере федерации, чтобы конечные точки SAML и WS-Trust соответствовали обновленному номеру порта. Для этого можно использовать Блокнот для изменения следующего в файле web.config, который находится в systemdrive%\inetpub\adfs\ls\ на прокси-компьютере сервера федерации. Например, если у вас есть сервер федерации с именем sts1.contoso.com, а новый номер порта равен 444, перейдите к файлу web.config в Блокнот на прокси-компьютере сервера федерации, найдите следующий раздел, измените номер порта, как показано ниже, а затем сохраните и закройте Блокнот.
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />Добавьте учетную запись пользователя службы прокси-службы федерации в список управления доступом (ACL) для связанных URL-адресов конечных точек. Например, если номер порта равен 1234, а учетная запись пользователя, используемая для запуска прокси-службы сервера AD FSfederation, находится в встроенной учетной записи сетевой службы, введите следующую команду в командной строке:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"Предыдущие команды должны выполняться как на сервере федерации, так и на прокси-компьютерах сервера федерации.