Teljes tartománynevek és portok újrakonfigurálása Windows Azure Packben

Cikk
09/07/2016

Érintett kiadások: Windows Azure Pack

Windows Windows Serverhez készült Azure Pack jogcímalapú hitelesítési rendszert használ a felhasználók hitelesítéséhez és engedélyezéséhez. Ezt a hitelesítést egy külső identitásszolgáltató biztonsági jogkivonat-szolgáltatása (IdP-STS) végzi. A rendszer megbízik az IdP-STS-ben, hogy ellenőrizze a felhasználók identitását, és megbízható jogcímeket biztosítson az egyes felhasználókról. Kétirányú megbízhatósági kapcsolatot kell létesíteni az IdP-STS szolgáltatással Windows Azure Pack-konfiguráció során, hogy a végpont módosításai megfelelően kommunikáljanak az érintett összetevőkkel.

A megbízhatósági kapcsolat létrehozásához az alábbi Windows Azure Pack-összetevők metaadatokkal szolgálnak.

Felügyeleti portál bérlők számára
Felügyeleti portál rendszergazdáknak
Bérlői hitelesítési webhely
Rendszergazda hitelesítési hely

A közzétett adatok tartalmazzák az összes szükséges megbízhatósági információt, beleértve a különböző összetevők végpontadatait is. A végpontinformációk segítségével a rendszer átirányítja a felhasználókat az IdP-STS-hez, majd visszairányítja a felhasználókat Windows Azure Packbe.

Ezért minden alkalommal, amikor egy összetevő végpontkonfigurációja megváltozik, frissíteni kell a metaadatok adatait, és újra létre kell hozni a megbízhatósági kapcsolatot a frissített metaadatok használatával.

Windows Azure Pack telepítése és konfigurálása alapértelmezett értékeket biztosít a közzétett metaadatokhoz és végpontadatokhoz. Alapértelmezés szerint Windows Azure Pack az egyes összetevők teljes tartományneveként használja a gépet és a tartománynevet. Emellett előre definiált portszámokat is beállít az egyes összetevőkhöz.

Ha például a bérlői gép gazdaneve "mytenantmachine", a tartománya pedig "contoso.com", a bérlői portál alapértelmezett konfigurációja a következő lesz https://mytenantmachine.contoso.com:30081: .

Bizonyos esetekben az alapértelmezett végpontértékeket módosítani kell. Például:

Ha egy összetevő alapértelmezett önaláírt SSL-tanúsítványát valós tanúsítványra frissíti, az összetevő teljes tartománynevének meg kell egyeznie a tanúsítvány teljes tartománynevével.
Ha egy összetevő több példányában használ terheléselosztót, akkor a terheléselosztó végpontját kell használnia az egyes összetevőpéldányok végpontja helyett.
Ha módosítja az előre definiált portokat, frissítenie kell az Windows Azure Pack portbeállításokat. Ha például az alapértelmezett 443-os HTTPS-portra vált, frissítenie kell az Windows Azure Pack portbeállítását.

Ilyen esetekben a metaadatok adatait frissíteni kell, és a megbízhatósági kapcsolatot újra létre kell hozni az alábbi lépésekben leírtak szerint.

A teljes tartománynév és a port beállításainak frissítése

Futtassa a Set–MgmtSvcFqdn parancsmagot a frissíteni kívánt gépen.

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

Paraméter	Kötelező/nem kötelező	Részletek
-ConnectionString	Kötelező	Ez a paraméter határozza meg a Windows Azure Pack konfigurációs tárolóit üzemeltető SQL Server kapcsolati sztring. Nincs szükség adatbázisnévre (kezdeti katalógus). A sztringben szereplő hitelesítő adatoknak írási engedélyekkel kell rendelkezniük a konfigurációs tárolókhoz. Például: `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server – A felügyeleti portál konfigurációs adatbázisait üzemeltető SQL Server címe. $userId – A felügyeleti portál konfigurációs adatbázisaihoz írási engedéllyel rendelkező SQL-felhasználó. $password – A $userId-fiók jelszava.
-FQDN	Választható	Ez a paraméter a gép új teljes tartománynevének megadására szolgál. Cserélje le a $fqdn az új teljes tartománynévre, a protokollelőtag nélkül. Például mynewfqdn.contoso.com. Ezt a paramétert kihagyhatja, ha nem módosítja az FQDN-t.
-Névtér	Kötelező	Ez a paraméter jelzi, hogy melyik összetevőt kell konfigurálni. Lehetséges értékek: "AdminSite", "TenantSite", "AuthSite", "WindowsAuthSite".
-Port	Választható	Ez a paraméter határozza meg az új portot. Cserélje le $port az új portra. Például: 443. Megjegyzés: Az alapértelmezett 443-es HTTPS-port használatával eltávolítja a portszakaszt a végpontról. Ezt a paramétert kihagyhatja, ha nem módosítja a portot.

A Internet Information Services Managerben győződjön meg arról, hogy a teljes tartománynév és a portértékek frissültek. Győződjön meg arról is, hogy az FQDN megegyezik az SSL-tanúsítvánnyal.
A frissített teljes tartománynév és portértékek végül propagálva lesznek a megcélzott összetevőkre. Annak érdekében, hogy ez azonnal megtörténhessen, indítsa újra a webhelyet.
Ismételje meg a 2. és a 3. lépést az összetevőt üzemeltető összes gépen.
Szükség esetén állítsa be a DNS-t, hogy a kéréseket a megfelelő helyre továbbítsa.
A következő szakaszban leírtak szerint hozzon létre újra megbízhatóságot az összes érintett összetevő között.

Megbízhatóság újbóli létrehozása

Windows Azure Pack egy jogcímbarát alkalmazás, amely jogkivonatokat és jogcímeket használ a végfelhasználók hitelesítéséhez és engedélyezéséhez. Az ilyen alkalmazások nem használják a jogkivonat kiállítójának identitását, feltéve, hogy a jogkivonat megfelel bizonyos feltételeknek, például egy megbízható kulccsal van aláírva. További információ: Jogcímbarát alkalmazások.

A jogcímalapú hitelesítéssel a rendszer megbízik egy STS-ben, hogy kiadja a jogkivonatait. Ez azonban nem feltétlenül jelenti azt, hogy ez az STS ténylegesen elvégzi a felhasználói hitelesítést. Lehetséges, hogy az STS delegálja a felhasználói hitelesítési kérést (vagy összevonást) egy másik STS-nek, amelyet az első STS megbízhatónak tekint. Az STS-k ezen lánca, amely megbízik egymásban, és a kérések delegálása gyakori és rugalmas. A bizalmi kapcsolatoknak végtelen lehetséges topológiái vannak. A rendszergazdáknak ki kell választaniuk az üzleti követelményeknek leginkább megfelelő topológiát.

Konfigurálhat például Windows Azure Pack felügyeleti portálokat úgy, hogy megbízzanak az AD FS-ben a felhasználók hitelesítéséhez. Az AD FS konfigurációjától függően az AD FS ezután az alábbi műveletek egyikét végezheti el:

Az AD FS közvetlenül hitelesítheti a felhasználókat a felügyeleti portál Active Directory hitelesítő adataival.
Az AD FS összevonhatja a kérést egy másik STS-hez.

A második esetben az Windows Azure Access Active Directory Control Service (ACS) használható más STS-ként, például. Az ACS ezután újra összevonhatja a kérést egy másik STS-be, például Windows Live szolgáltatásba. Ebben az esetben Windows Live ténylegesen hitelesíti a felhasználót Windows élő hitelesítő adatokkal. Ez az egyik módja annak, hogy Windows Live, Google vagy Facebook hitelesítést engedélyezhessen Windows Azure Packben.

Fontos

Mivel a végpontokkal a rendszer átirányítja a felhasználókat a megbízhatósági lánc következő összetevőjére, az összevonás sikerességének biztosításához minden végpontot megfelelően kell konfigurálni az összes összetevőben.

Ha módosít egy felügyeleti portál végpontját, frissítenie kell azt az STS-t, amelyet a portál azonnal megbízhatónak tekint.

Győződjön meg arról, hogy frissíti az STS teljes tartománynevét és portváltozásait a függő entitások összevonási metaadatainak URL-címéhez, majd frissítse a metaadatokat.

Ha módosít egy STS-végpontot, frissítenie kell az általa közvetlenül megbízhatónak minősülő összes összetevőt, például a felügyeleti portálokat és más STS-eket.

A rendszergazdának ismernie kell a megbízhatósági láncot annak megértéséhez, hogy mely összetevőket kell frissíteni a konfiguráció módosítása után.

A felügyeleti portálok megbízhatóságának újbóli létrehozása

Ha a Windows Azure Pack felügyeleti portál által közvetlenül megbízható STS-végpontot módosították, frissítenie kell a portálokat az új végpontadatokkal. Ezt a Set-MgmtSvcRelyingPartySettings PowerShell-parancsmaggal teheti meg a megfelelő gépeken.

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

Paraméter	Kötelező/nem kötelező	Részletek
Cél	Kötelező	Ez a paraméter határozza meg, hogy mely összetevőket kell frissíteni. Célok megengedett<> értékei: Bérlő – Ezzel konfigurálhatja a felügyeleti portált a bérlőkhöz, a bérlői API-réteghez és a rendszergazdai API-réteghez. Rendszergazda – Ezzel konfigurálhatja a felügyeleti portált a rendszergazdák és a rendszergazdai API-réteg számára. Egyetlen célt vagy céltömböt is megadhat.
MetadataEndpoint	Kötelező	Ez a paraméter határozza meg a megbízható IdP-STS metaadat-végpont teljes URL-címét. A metaadat-végpont teljes URL-címének<> megengedett értékei: Érvényes URL-cím, például: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConnectionString	Kötelező, kivéve, ha a PortalConnectionString és a ManagementConnectionString van használatban.	Ez a paraméter határozza meg az Windows Azure Pack Portál konfigurációs tárolóit és felügyeleti tárolóját üzemeltető SQL Server kapcsolati sztring. Nincs szükség adatbázisnévre (kezdeti katalógus). Ha a portál konfigurációs tárolói vagy felügyeleti tárolói különböző SQL Server példányokon vannak tárolva, vagy nem alapértelmezett adatbázisneveket használnak, használja helyette a PortalConnectionString és a ManagementConnectionString paramétereket.
DisableCertificateValidation	Választható Éles környezetekhez nem ajánlott	Ez a paraméter letiltja az SSL-tanúsítványok érvényesítését. Ha nem használja ezt a paramétert, a parancsmag nem fogja lekérni a metaadatok adatait, ha a metaadat-végpont önaláírt SSL-tanúsítványt használ.
PortalConnectionString	Nem kötelező, kivéve, ha a ConnectionString nincs megadva	Ezzel a paraméternel felülbírálhatja az alapértelmezett kapcsolati sztring csak a konfigurációs tárolóhoz. Ezt akkor kell megtennie, ha – A portál konfigurációs tárolója egy másik SQL-példányon található. – A portál konfigurációs tárolója különböző hitelesítő adatokat használ. – Nem szeretné az alapértelmezett kapcsolati sztring használni.
ManagementConnectionString	Nem kötelező, kivéve, ha a ConnectionString nincs megadva	Ezzel a paramétersel felülbírálhatja az alapértelmezett kapcsolati sztring csak a felügyeleti tár esetében. Ezt akkor kell megtennie, ha – A WAP felügyeleti tároló egy másik SQL-példányon található. – A felügyeleti tár különböző hitelesítő adatokat használ. – Nem szeretné az alapértelmezett kapcsolati sztring használni.

Példaparancsmag:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

Tipp

Ez a parancsmag bármely olyan gépen használható, amelyen telepítve vannak az Azure Pack Windows Windows Azure PowerShell frissítései.
A frissített beállítások végül propagálva lesznek az összes érintett összetevőre. A gyorsabb propagálás érdekében manuálisan indítsa újra az érintett összetevőket, hogy azonnal lekérje az új konfigurációs értékeket. Ha a cél "Bérlő", indítsa újra a bérlők, a bérlői API és a rendszergazdai API-összetevők felügyeleti portáljait. Ha a cél a "Rendszergazda", indítsa újra az összes felügyeleti portált a rendszergazdák és a rendszergazdai API-összetevők számára.

A hitelesítési helyek megbízhatóságának újbóli létrehozása

Ha egy Windows Azure Pack hitelesítési hely által azonnal megbízható STS-végpont megváltozott, frissítenie kell a hitelesítési helyeket az új végpontadatokkal. Ehhez használja a PowerShell-parancsmagot Set-MgmtSvcIdentityProviderSettings PowerShell-parancsmagot a megfelelő gépeken.

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

Paraméter	Kötelező/nem kötelező	Részletek
Cél	Kötelező	Ez a paraméter határozza meg, hogy mely összetevőket kell frissíteni. Célok megengedett<> értékei: Tagság – Ezzel konfigurálhatja a bérlői (tagsági) hitelesítési webhelyet. Windows – Ezzel konfigurálhatja a rendszergazdai (Windows) hitelesítési helyet. Egyetlen célt vagy céltömböt is megadhat.
MetadataEndpoint	Kötelező	Ez a paraméter határozza meg a megbízható összetevő metaadat-végpontjának teljes URL-címét. A metaadat-végpont teljes URL-címének<> megengedett értékei: Érvényes URL-cím, például: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ASecondary konfigurálása	Választható	Minden hitelesítési hely legfeljebb két megbízható függő entitást támogat. Adja meg ezt a paramétert egy második függő entitás konfigurálásához az alapértelmezett függő entitás felülírása helyett.
ConnectionString	Kötelező, hacsak a PortalConnectionString nincs használatban	Ez a paraméter határozza meg a Windows Azure Pack Portál konfigurációs tárolóit üzemeltető SQL Server kapcsolati sztring. Nincs szükség adatbázisnévre (kezdeti katalógus). Ha a portálkonfigurációs tároló nem alapértelmezett adatbázisnevet használ, használja helyette a PortalConnectionString paramétert.
DisableCertificateValidation	Választható Éles környezetekhez nem ajánlott	Ez a paraméter letiltja az SSL-tanúsítványok érvényesítését. Ha nem használja ezt a paramétert, a parancsmag nem fogja lekérni a metaadatok adatait, ha a metaadat-végpont önaláírt SSL-tanúsítványt használ.
PortalConnectionString	Nem kötelező, kivéve, ha a ConnectionString nincs megadva	Ezzel a paraméternel felülbírálhatja az alapértelmezett kapcsolati sztring csak a konfigurációs tárolóhoz. Ezt akkor kell megtennie, ha – A portál konfigurációs tárolója különböző hitelesítő adatokat használ. – Nem szeretné az alapértelmezett kapcsolati sztring használni.