Compartir a través de

Configurar acceso a extranet para AD FS en Windows Server 2012 R2

  • Artículo

Se aplica a: Azure, Office 365, Power BI, Windows Intune

En este tema se describe cómo instalar el rol de acceso remoto con el servicio de rol de proxy de aplicación web y cómo configurar el servidor proxy de aplicación web para conectarse a un servidor de los Servicios de federación de Active Directory (AD FS).

2.2. Instalar el rol de acceso remoto

Para implementar el proxy de aplicación web, debes instalar el rol de acceso remoto con el servicio de rol de proxy de aplicación web en un servidor que funcionará como servidor proxy de aplicación web.

Repite este procedimiento para todos los servidores que quieres implementar como servidores proxy de aplicación web.

Para instalar el servicio de rol de proxy de aplicación web a través de la interfaz de usuario

  1. En el servidor proxy de aplicación web, en la consola del Administrador de servidores, en el Panel, haz clic en Agregar roles y características.

  2. En el Asistente para agregar roles y características, haz clic en Siguiente tres veces para ir a la pantalla de selección de roles de servidor.

  3. En el cuadro de diálogo Seleccionar roles de servidor, seleccione Acceso remoto y, a continuación, haga clic en Siguiente.

  4. Haga clic en Siguiente dos veces.

  5. En el cuadro de diálogo Seleccionar servicios de rol, selecciona Proxy de aplicación web, haz clic en Agregar características y luego en Siguiente.

  6. En el cuadro de diálogo Confirmar selecciones de instalación, haga clic en Instalar.

  7. En el cuadro de diálogo Progreso de la instalación, compruebe que la instalación se ha realizado correctamente y, a continuación, haga clic en Cerrar.

Para instalar el servicio de rol de proxy de aplicación web a través de Windows PowerShell

  1. Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

    Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Configurar el Proxy de aplicación web

Debes configurar el proxy de aplicación web para que se conecte a un servidor AD FS.

Repite este procedimiento para todos los servidores que quieres implementar como servidores proxy de aplicación web.

Para configurar el proxy de aplicación web a través de la interfaz de usuario

  1. En el servidor web Application Proxy, abra la consola de administración de acceso remoto: RAMgmtUI.exey presione ENTRAR. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en .

  2. En el panel de navegación, haz clic en Proxy de aplicación web.

  3. En la consola de administración de acceso remoto, en el panel central, haz clic en Ejecutar el asistente para la configuración del proxy de aplicación web.

  4. En el asistente para la configuración del proxy de aplicación web, en el cuadro de diálogo Bienvenida, haz clic en Siguiente.

  5. En el cuadro de diálogo Servidor de federación, realice lo siguiente y, a continuación, haga clic en Siguiente:

    • En el cuadro Nombre del servicio de federación, escribe el nombre de dominio completo (FQDN) del servidor de AD FS; por ejemplo, fs.fabrikam.com.

    • En los cuadros Nombre de usuario y Contraseña, escribe las credenciales de una cuenta de administrador local de los servidores de AD FS.

  6. En el cuadro de diálogo Certificado de proxy de AD FS, en la lista de certificados instalados actualmente en el servidor proxy de aplicación web, seleccione el certificado que utilizará el proxy de aplicación web para la funcionalidad de proxy de AD FS y luego haz clic en Siguiente.

    El certificado que eliges aquí debe ser uno cuyo sujeto sea el nombre del servicio de federación, por ejemplo, fs.fabrikam.com.

  7. En el cuadro de diálogo Confirmación, revisa la configuración. Si es necesario, puede copiar el cmdlet de PowerShell para automatizar instalaciones adicionales. Haga clic en Configurar.

  8. En el cuadro de diálogo Resultados, comprueba que la configuración sea correcta y, a continuación, haz clic en Cerrar.

Para configurar el proxy de aplicación web a través de Windows PowerShell

  1. Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

    El comando siguiente te pedirá que introduzcas las credenciales de una cuenta de administrador local en los servidores de AD FS.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Optimiza la configuración del control de congestión entre el proxy de aplicación web y los servidores de AD FS (paso opcional).

El proxy de aplicación web de acceso desde extranet es capaz de limitar las solicitudes desde la extranet si la latencia entre el proxy de aplicación web y el servidor de federación aumenta más allá de un umbral determinado. En función de esta característica, el proxy de aplicación web rechazará las solicitudes de autenticación de clientes externos si el servidor de federación está sobrecargado, según lo detecte la latencia entre el proxy de aplicación web y el servidor de federación ante las solicitudes de autenticación del servicio. Se relaciona estrechamente con un algoritmo similar empleado para el control de congestión en TCP, conocido como AIMD (incremento aditivo/decremento multiplicativo). La solución funciona mediante una ventana de congestión representada por un conjunto de tokens que concede a cada solicitud entrante al proxy de autenticación web.

En una red DMZ de alta latencia o en un proxy de aplicación web muy cargado, es posible que se rechacen las solicitudes de autenticación, incluso si el servidor de federación puede cumplir con estas solicitudes correctamente según la configuración predeterminada que controla este algoritmo. En un entorno como este, se recomienda encarecidamente seguir los pasos siguientes para modificar la configuración a fin de que sea menos agresiva.

  1. En el equipo del proxy de aplicación web, inicia una ventana de comando con privilegios elevados.

  2. Vaya al directorio ADFS, en %WINDIR%\adfs\config.

  3. Cambie la configuración del control de congestión de sus valores predeterminados a '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Guarde y cierre el archivo.

  5. Reinicie el servicio AD FS ejecutando "net stop adfssrv" y luego "net start adfssrv".

Paso siguiente

Ahora que ha comprobado que ha configurado equipos de Application Proxy web, el siguiente paso es Instalar Windows PowerShell para el inicio de sesión único con AD FS.

Consulte también

Conceptos

Preparar tu infraestructura de red para configurar el acceso a extranet
Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único