Freigeben über


Konfigurieren eines Computers für die Verbundserverproxy-Rolle

Nachdem Sie einen Computer mit den erforderlichen Zertifikaten konfiguriert und den Verbunddienstproxy-Rollendienst installiert haben, können Sie den Computer als Verbundserverproxy konfigurieren. Sie können die folgende Prozedur verwenden, um den Computer für die Verbundserverproxy-Rolle einzurichten.

Wichtig

Bevor Sie dieses Verfahren zum Konfigurieren des Verbundserverproxycomputers verwenden, stellen Sie sicher, dass Sie alle Schritte in der Prüfliste befolgt haben: Einrichten eines Verbundserverproxys in der Reihenfolge, in der sie aufgeführt sind. Stellen Sie sicher, dass mindestens ein Verbundserver bereitgestellt wurde und alle erforderlichen Anmeldeinformationen für die Autorisierung einer Verbundserverproxy-Konfiguration implementiert sind. Sie müssen außerdem Secure Sockets Layer (SSL)-Bindungen konfigurieren, da dieser Assistent andernfalls nicht gestartet wird. Alle genannten Aufgaben müssen abgeschlossen sein, damit dieser Verbundserverproxy ordnungsgemäß verwendet werden kann.

Wenn Sie das Einrichten des Computers fertig gestellt haben, überprüfen Sie, ob die Funktionsweise des Verbundserverproxys den Erwartungen entspricht. Weitere Informationen finden Sie unter Überprüfen, ob ein Verbundserverproxy betriebsbereit ist.

Die Mitgliedschaft in Administratoren oder gleichwertig auf dem lokalen Computer ist mindestens erforderlich, um dieses Verfahren abzuschließen. Überprüfen Sie Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften bei lokalen und Domänenstandardgruppen.

So konfigurieren Sie einen Computer für die Verbundserverproxy-Rolle

  1. Es gibt zwei Möglichkeiten, den AD FS-Assistenten für die Konfiguration des Verbundservers zu starten. Führen Sie zum Starten des Assistenten eine der folgenden Aktionen aus:

    • Geben Sie auf dem Startbildschirm Konfigurations-Assistent für den AD FS-Verbundserverproxy ein, und drücken Sie dann die EINGABETASTE.

    • Öffnen Sie jederzeit nach Abschluss des Setup-Assistenten den Windows-Explorer, navigieren Sie zum Ordner C:\Windows\ADFS, und doppelklicken Sie dann auf FspConfigWizard.exe.

  2. Starten Sie mit beiden Methoden den Assistenten, und klicken Sie auf der Willkommensseite auf "Weiter".

  3. Geben Sie auf der Seite " Verbunddienstnamen angeben " unter dem Namen des Verbunddiensts den Namen ein, der den Verbunddienst darstellt, für den dieser Computer in der Proxyrolle fungiert.

  4. Legen Sie basierend auf Ihren bestimmten Netzwerkanforderungen fest, ob Sie einen HTTP-Proxyserver verwenden müssen, um Anforderungen an den Verbunddienst weiterzuleiten. Wenn dies der Fall ist, aktivieren Sie das Kontrollkästchen " HTTP-Proxyserver verwenden", wenn Anforderungen an diesen Verbunddienst gesendet werden, klicken Sie unter HTTP-Proxyserveradresse die Adresse des Proxyservers auf " Verbindung testen", um die Verbindung zu überprüfen, und klicken Sie dann auf "Weiter".

  5. Wenn Sie dazu aufgefordert werden, geben Sie die zum Einrichten einer Vertrauensstellung zwischen diesem Verbundserverproxy und dem Verbunddienst erforderlichen Anmeldeinformationen an.

    Standardmäßig kann nur das vom Verbunddienst verwendete Dienstkonto oder ein Mitglied der lokalen Gruppe VORDEFINIERT\Administratoren einen Verbundserverproxy autorisieren.

  6. Überprüfen Sie auf der Seite "Bereit zum Anwenden von Einstellungen" die Details. Wenn die Einstellungen korrekt erscheinen, klicken Sie auf "Weiter" , um mit der Konfiguration dieses Computers mit diesen Proxyeinstellungen zu beginnen.

  7. Überprüfen Sie auf der Seite "Konfigurationsergebnisse " die Ergebnisse. Wenn alle Konfigurationsschritte abgeschlossen sind, klicken Sie auf "Schließen ", um den Assistenten zu beenden.

    Zum Verwalten von Verbundserverproxys ist kein MMC-Snap-In (Microsoft Management Console) verfügbar. Verwenden Sie zum Konfigurieren von Einstellungen für jeden Verbundserverproxy in Ihrer Organisation Windows PowerShell-Cmdlets.

Konfigurieren eines alternativen TCP/IP-Ports für den Proxybetrieb

Standardmäßig wird der Verbundserverproxy-Dienst für die Verwendung von TCP-Port 443 für HTTPS-Datenverkehr und von Port 80 für HTTP-Datenverkehr bei der Kommunikation mit dem Verbundserver konfiguriert. Wenn Sie andere Ports, beispielsweise TCP-Port 444 für HTTPS und Port 81 für HTTP, konfigurieren möchten, müssen Sie die folgenden Aufgaben durchführen.

Hinweis

Wenn Sie beabsichtigen, AD FS anfänglich für den Betrieb unter alternativen TCP/IP-Ports bereitzustellen, sollten Sie zuerst die Ports in Ihren IIS-Protokollbindungen für HTTP und HTTPS auf den Computern mit dem Verbundserver und dem Verbundserverproxy ändern. Sie sollten diese Aufgabe durchführen, bevor Sie die Assistenten für die Konfiguration von AD FS für die erste Konfiguration ausführen. Wenn Sie zuerst die Internetinformationsdienste (IIS) konfigurieren, werden Ihre alternativen TCP/IP-Porteinstellungen erkannt, wenn die assistentenbasierte Konfiguration in AD FS erfolgt, und das folgenden Verfahren ist nicht erforderlich. Wenn Sie die Porteinstellungen später ändern möchten, aktualisieren Sie zuerst die IIS-Protokollbindungen, und verwenden Sie dann das folgende Verfahren, um die Porteinstellungen entsprechend zu aktualisieren. Weitere Informationen zum Bearbeiten von IIS-Bindungen finden Sie im Artikel 149605 in der Microsoft Knowledge Base.

So konfigurieren Sie alternative TCP/IP-Ports zur Verwendung durch den Verbundserverproxy

  1. Konfigurieren Sie den Verbundserver zur Verwendung der Nichtstandardports.

    Geben Sie dafür die Portnummer an, die nicht dem Standard entspricht, imden Sie diese in die Optionen HttpsPort und HttpPort als Teil des Cmdlets Set-ADFSProperties einschließen. Wenn Sie beispielsweise die folgenden Ports konfigurieren möchten, verwenden Sie die folgenden Befehle in der Windows PowerShell-Sitzung auf dem Verbundservercomputer:

    Set-ADFSProperties -HttpsPort 444
    Set-ADFSProperties -HttpPort 81
    
  2. Konfigurieren Sie den Verbundserverproxy zur Verwendung der Nichtstandardports.

    Um dies zu tun, geben Sie die nicht standardmäßige Portnummer an, indem Sie sie mit den Optionen HttpsPort und HttpPort als Teil des Cmdlets Set-ADFSProxyProperties angeben. Wenn Sie beispielsweise die folgenden Ports konfigurieren möchten, verwenden Sie die folgenden Befehle in der Windows PowerShell-Sitzung auf dem Verbundservercomputer:

    Set-ADFSProxyProperties -HttpsPort 444
    Set-ADFSProxyProperties -HttpPort 81
    

    Hinweis

    Für den Verbundserverproxy-Dienst sind standardmäßig keine Endpunkt-URLs aktiviert. Wenn Sie eine neue Verbundserverinstallation konfigurieren, müssen Sie zuerst Verbundserverproxy-Dienstendpunkte aktivieren. Es wird beispielsweise angenommen, dass für alle Endpunkte, auf die sich das Beispiel in diesem Verfahren bezieht, sie für proxy aktiviert haben, indem Sie sie im AD FS-Verwaltungs-Snap-In auswählen und dann "Aktivieren" für den Proxy auswählen.

  3. Aktualisieren Sie die IIS-Installation auf dem Verbundserverproxy, damit diese Security Assertion Markup Language (SAML)- und WS-Trust-Endpunkte in ihrer Konfiguration die aktualisierte Portnummer widerspiegeln. Dafür können Sie mithilfe von Notepad Folgendes in der Web.config-Datei ändern, die sich unter „systemdrive%\inetpub\adfs\ls\“ auf dem Verbundserverproxy-Computer befindet. Wenn Sie beispielsweise einen Verbundserver mit dem Namen „sts1.contoso.com“ haben und die neue Portnummer 444 ist, öffnen Sie die „Web.config“-Datei in Editor auf dem Verbundserverproxy-Computer, suchen nach dem folgenden Abschnitt, ändern die Portnummer wie unten hervorgehoben, speichern die Datei und beenden Editor.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
          wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
    
  4. Fügen Sie das Verbundserverproxy-Dienstbenutzerkonto zur Zugriffssteuerungsliste (ACL) für die entsprechenden Endpunkt-URLs hinzu. Wenn die Portnummer beispielsweise 1234 ist und das Benutzerkonto, unter dem der AD FS-Verbundserverproxy-Dienst ausgeführt wird, das integrierte Netzwerkdienstkonto ist, geben Sie den folgenden Befehl an einer Eingabeaufforderung ein:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
    netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
    netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"
    
    netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
    

    Die vorherigen Befehle müssen sowohl auf dem Verbundserver- als auch auf dem Verbundserverproxy-Computer ausgeführt werden.

Weitere Referenzen

Prüfliste: Einrichten eines Verbundserverproxys