Bagikan melalui

Daftar periksa: Mengonfigurasi akses ekstranet untuk Layanan Federasi Direktori Aktif pada versi lama Windows Server

  • Artikel

Berlaku Untuk: Azure, Office 365, Power BI, Windows Intune

Daftar periksa berikut ini mencakup tugas penyebaran yang diperlukan untuk menyebarkan dua proksi server federasi yang akan mengalihkan permintaan autentikasi ke server federasi di farm server federasi baru Anda.

ChecklistDaftar periksa: Menyebarkan proksi server federasi Anda

Tugas penyebaran Tautan ke topik di bagian ini Selesai

1. Instal perangkat lunak LAYANAN Federasi Direktori Aktif di komputer yang akan menjadi proksi server federasi.

Menginstal perangkat lunak Layanan Federasi Direktori Aktif di komputer proksi

 Checkbox

2. Konfigurasikan perangkat lunak LAYANAN Federasi Direktori Aktif di komputer untuk bertindak dalam peran proksi server federasi dengan menggunakan Panduan Konfigurasi Proksi Server Federasi Direktori Aktif.

Mengonfigurasi komputer untuk peran proksi server federasi

 Checkbox

3. Menggunakan Pemantau Peristiwa, verifikasi bahwa layanan proksi server federasi telah dimulai.

Verifikasi bahwa proksi server federasi beroperasi

 Checkbox

4. Langkah opsional -Optimalkan pengaturan kontrol kemacetan antara Proksi Aplikasi Web dan server Layanan Federasi Direktori Aktif.

Ekstranet yang menghadapi proksi server federasi dapat membatasi permintaan dari ekstranet jika latensi antara proksi server federasi dan server federasi meningkat melampaui ambang batas tertentu. Berdasarkan fitur ini, proksi server federasi akan menolak permintaan autentikasi klien eksternal jika server federasi kelebihan beban seperti yang terdeteksi oleh latensi antara proksi server federasi dan server federasi untuk permintaan autentikasi layanan. Ini terkait erat dengan algoritma serupa yang digunakan untuk kontrol kemacetan di TCP yang dikenal sebagai Peningkatan Aditif Penurunan Multiplikatif (AIMD). Solusinya bekerja dengan menggunakan jendela kemacetan yang diwakili oleh kumpulan token yang disewakannya ke setiap permintaan masuk ke proksi server federasi.

Dalam jaringan DMZ latensi tinggi atau proksi server federasi yang sangat dimuat, ada kemungkinan permintaan autentikasi ditolak bahkan jika server federasi dapat memenuhi permintaan ini dengan sukses berdasarkan pengaturan default yang mengontrol algoritma ini. Dalam lingkungan seperti itu, kami sangat menyarankan untuk memodifikasi pengaturan menjadi kurang agresif dengan melakukan langkah-langkah berikut.

  1. Di komputer proksi server federasi Anda, mulai jendela perintah yang ditingkatkan.

  2. Navigasikan ke direktori ADFS. Untuk Windows Server 2012, berada di %windir%\ADFS. Untuk Windows Server 2008 dan Windows Server 2008 R2, ada di %programfiles%\Active Directory Federation Services 2.0.

  3. Ubah pengaturan kontrol kemacetan dari nilai defaultnya menjadi '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Simpan dan tutup file.

  5. Mulai ulang layanan Ad FS dengan menjalankan 'net stop adfssrv' lalu 'net start adfssrv'.

Lihat juga

Konsep

Daftar periksa: Gunakan Layanan Federasi Direktori Aktif untuk mengimplementasikan dan mengelola akses menyeluruh