Konfigurieren eines Computers für die Verbundserverproxy-Rolle
Nachdem Sie einen Computer mit den erforderlichen Zertifikaten konfiguriert und den Verbunddienstproxy-Rollendienst installiert haben, können Sie den Computer als Verbundserverproxy konfigurieren. Sie können die folgende Prozedur verwenden, um den Computer für die Verbundserverproxy-Rolle einzurichten.
Wichtig
Stellen Sie vor dem Konfigurieren des Verbundserverproxy-Computers mit dieser Prozedur sicher, dass Sie alle Schritte in der Checkliste: Einrichten eines Verbundserverproxys in der dort angegebenen Reihenfolge ausgeführt haben. Stellen Sie sicher, dass mindestens ein Verbundserver bereitgestellt wurde und alle erforderlichen Anmeldeinformationen für die Autorisierung einer Verbundserverproxy-Konfiguration implementiert sind. Sie müssen außerdem Secure Sockets Layer (SSL)-Bindungen konfigurieren, da dieser Assistent andernfalls nicht gestartet wird. Alle genannten Aufgaben müssen abgeschlossen sein, damit dieser Verbundserverproxy ordnungsgemäß verwendet werden kann.
Wenn Sie das Einrichten des Computers fertig gestellt haben, überprüfen Sie, ob die Funktionsweise des Verbundserverproxys den Erwartungen entspricht. Weitere Informationen finden Sie unter Überprüfen der Betriebsbereitschaft eines Verbundserverproxys.
Zum Ausführen dieses Verfahrens ist mindestens die Mitgliedschaft in der Gruppe Administratoren oder eine gleichwertige Berechtigung auf dem lokalen Computer erforderlich. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).
So konfigurieren Sie einen Computer für die Verbundserverproxy-Rolle
Es gibt zwei Möglichkeiten, den AD FS-Assistenten für die Konfiguration des Verbundservers zu starten. Führen Sie zum Starten des Assistenten eine der folgenden Aktionen aus:
Geben Sie auf dem Startbildschirm Konfigurations-Assistent für den AD FS-Verbundserverproxy ein, und drücken Sie dann die EINGABETASTE.
Nachdem der Installations-Assistent abgeschlossen wurde, öffnen Sie Windows-Explorer, navigieren zum Ordner C:\Windows\ADFS und doppelklicken dann auf FspConfigWizard.exe.
Starten Sie den Assistenten mit einer der beiden Methoden, und klicken Sie dann auf der Seite Willkommen auf Weiter.
Geben Sie auf der Seite Verbunddienstname angeben unter Verbunddienstname den Namen ein, der den Verbunddienst darstellt, für den dieser Computer die Proxyrolle übernimmt.
Legen Sie basierend auf Ihren bestimmten Netzwerkanforderungen fest, ob Sie einen HTTP-Proxyserver verwenden müssen, um Anforderungen an den Verbunddienst weiterzuleiten. Wenn dies der Fall ist, aktivieren Sie das Kontrollkästchen HTTP-Proxyserver beim Senden von Anforderungen an diesen Verbunddienst verwenden, geben Sie unter Adresse des HTTP-Proxyservers die Adresse des Proxyservers ein, klicken Sie auf Verbindung testen, um die Verbindung zu überprüfen, und klicken Sie dann auf Weiter.
Wenn Sie dazu aufgefordert werden, geben Sie die zum Einrichten einer Vertrauensstellung zwischen diesem Verbundserverproxy und dem Verbunddienst erforderlichen Anmeldeinformationen an.
Standardmäßig kann nur das vom Verbunddienst verwendete Dienstkonto oder ein Mitglied der lokalen Gruppe VORDEFINIERT\Administratoren einen Verbundserverproxy autorisieren.
Überprüfen Sie auf der Seite Bereit zum Übernehmen der Einstellungen die Details. Wenn die Einstellungen richtig sind, klicken Sie auf Weiter, um diesen Computer mit diesen Proxyeinstellungen zu konfigurieren.
Überprüfen Sie die Ergebnisse auf der Seite Konfigurationsergebnisse. Nachdem alle Konfigurationsschritte abgeschlossen wurden, klicken Sie auf Schließen, um den Assistenten zu beenden.
Zum Verwalten von Verbundserverproxys ist kein MMC-Snap-In (Microsoft Management Console) verfügbar. Verwenden Sie zum Konfigurieren von Einstellungen für jeden Verbundserverproxy in Ihrer Organisation Windows PowerShell-Cmdlets.
Konfigurieren eines alternativen TCP/IP-Ports für den Proxybetrieb
Standardmäßig wird der Verbundserverproxy-Dienst für die Verwendung von TCP-Port 443 für HTTPS-Datenverkehr und von Port 80 für HTTP-Datenverkehr bei der Kommunikation mit dem Verbundserver konfiguriert. Wenn Sie andere Ports, beispielsweise TCP-Port 444 für HTTPS und Port 81 für HTTP, konfigurieren möchten, müssen Sie die folgenden Aufgaben durchführen.
Hinweis
Wenn Sie beabsichtigen, AD FS anfänglich für den Betrieb unter alternativen TCP/IP-Ports bereitzustellen, sollten Sie zuerst die Ports in Ihren IIS-Protokollbindungen für HTTP und HTTPS auf den Computern mit dem Verbundserver und dem Verbundserverproxy ändern. Sie sollten diese Aufgabe durchführen, bevor Sie die Assistenten für die Konfiguration von AD FS für die erste Konfiguration ausführen. Wenn Sie zuerst die Internetinformationsdienste (IIS) konfigurieren, werden Ihre alternativen TCP/IP-Porteinstellungen erkannt, wenn die assistentenbasierte Konfiguration in AD FS erfolgt, und das folgenden Verfahren ist nicht erforderlich. Wenn Sie die Porteinstellungen später ändern möchten, aktualisieren Sie zuerst die IIS-Protokollbindungen, und verwenden Sie dann das folgende Verfahren, um die Porteinstellungen entsprechend zu aktualisieren. Weitere Informationen zum Bearbeiten von ISS-Bindungen finden Sie in der Microsoft Knowledge Base in Artikel 149605.
So konfigurieren Sie alternative TCP/IP-Ports zur Verwendung durch den Verbundserverproxy
Konfigurieren Sie den Verbundserver zur Verwendung der Nichtstandardports.
Geben Sie dafür die Nichtstandardportnummer an, imden Sie diese in die Optionen HttpsPort und HttpPort als Teil des Cmdlets Set-ADFSProperties einschließen. Wenn Sie beispielsweise die folgenden Ports konfigurieren möchten, verwenden Sie die folgenden Befehle in der Windows PowerShell-Sitzung auf dem Verbundservercomputer:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81
Konfigurieren Sie den Verbundserverproxy zur Verwendung der Nichtstandardports.
Geben Sie dafür die Nichtstandardportnummer an, indem Sie diese in die Optionen HttpsPort und HttpPort als Teil des Cmdlets Set-ADFSProperties einschließen. Wenn Sie beispielsweise die folgenden Ports konfigurieren möchten, verwenden Sie die folgenden Befehle in der Windows PowerShell-Sitzung auf dem Verbundservercomputer:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81
Hinweis
Für den Verbundserverproxy-Dienst sind standardmäßig keine Endpunkt-URLs aktiviert. Wenn Sie eine neue Verbundserverinstallation konfigurieren, müssen Sie zuerst Verbundserverproxy-Dienstendpunkte aktivieren. Es wird beispielsweise davon ausgegangen, dass Sie alle Endpunkte, auf die sich das Beispiel in diesem Verfahren bezieht, für Proxy aktiviert haben, indem Sie sie im AD FS-Verwaltungs-Snap-In ausgewählt und dann Auf Proxy aktivieren ausgewählt haben.
Aktualisieren Sie die IIS-Installation auf dem Verbundserverproxy, damit diese Security Assertion Markup Language (SAML)- und WS-Trust-Endpunkte in ihrer Konfiguration die aktualisierte Portnummer widerspiegeln. Dafür können Sie mithilfe von Notepad Folgendes in der Web.config-Datei ändern, die sich unter „systemdrive%\inetpub\adfs\ls\“ auf dem Verbundserverproxy-Computer befindet. Wenn Sie beispielsweise einen Verbundserver mit dem Namen „sts1.contoso.com“ haben und die neue Portnummer 444 ist, öffnen Sie die „Web.config“-Datei in Editor auf dem Verbundserverproxy-Computer, suchen nach dem folgenden Abschnitt, ändern die Portnummer wie unten hervorgehoben, speichern die Datei und beenden Editor.
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
Fügen Sie das Verbundserverproxy-Dienstbenutzerkonto zur Zugriffssteuerungsliste (ACL) für die entsprechenden Endpunkt-URLs hinzu. Wenn die Portnummer beispielsweise 1234 ist und das Benutzerkonto, unter dem der AD FS-Verbundserverproxy-Dienst ausgeführt wird, das integrierte Netzwerkdienstkonto ist, geben Sie den folgenden Befehl an einer Eingabeaufforderung ein:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
Die vorherigen Befehle müssen sowohl auf dem Verbundserver- als auch auf dem Verbundserverproxy-Computer ausgeführt werden.