Bagikan melalui

Mengonfigurasi Komputer untuk Peran Proksi Server Federasi

  • Artikel

Setelah Anda mengonfigurasi komputer dengan sertifikat yang diperlukan dan telah menginstal layanan peran Proksi Layanan Federasi, Anda siap untuk mengonfigurasi komputer untuk menjadi proksi server federasi. Anda dapat menggunakan prosedur berikut sehingga komputer bertindak dalam peran proksi server federasi.

Penting

Sebelum Anda menggunakan prosedur ini untuk mengonfigurasi komputer proksi server federasi, pastikan Anda telah mengikuti semua langkah dalam Daftar Periksa: Menyiapkan Proksi Server Federasi dalam urutan yang tercantum. Pastikan bahwa setidaknya satu server federasi disebarkan dan bahwa semua kredensial yang diperlukan untuk mengotorisasi konfigurasi proksi server federasi diimplementasikan. Anda juga harus mengonfigurasi pengikatan Secure Sockets Layer (SSL) pada Situs Web Default, atau wisaya ini tidak akan dimulai. Semua tugas ini harus diselesaikan sebelum proksi server federasi ini dapat berfungsi.

Setelah Anda selesai menyiapkan komputer, verifikasi bahwa proksi server federasi berfungsi seperti yang diharapkan. Untuk informasi selengkapnya, lihat Memverifikasi bahwa Proksi Server Federasi Beroperasi.

Keanggotaan dalam Administrator atau setara pada komputer lokal adalah syarat minimum yang diperlukan untuk menyelesaikan prosedur ini. Tinjau detail tentang menggunakan akun dan keanggotaan grup yang sesuai di Grup Default Lokal dan Domain.

Untuk mengonfigurasi komputer untuk peran proksi server federasi

  1. Ada dua cara untuk memulai Wizard Konfigurasi Server Federasi Federasi Layanan Federasi Direktori Aktif. Untuk memulai wizard, lakukan salah satu hal berikut ini:

    • Pada layar Mulai, ketikWizard Konfigurasi Proksi Server Federasi Layanan Federasi Direktori Aktif, lalu tekan ENTER.

    • Kapan saja setelah wizard penyetelan selesai, buka Windows Explorer, navigasikan ke folder C:\Windows\ADFS , lalu klik dua kali FspConfigWizard.exe.

  2. Dengan menggunakan salah satu metode, mulai wizard, dan pada halaman Selamat Datang , klik Berikutnya.

  3. Pada halaman Tentukan Nama Layanan Federasi, di bawah Nama Layanan Federasi, ketik nama yang mewakili Layanan Federasi tempat komputer ini akan bertindak dalam peran proksi.

  4. Berdasarkan persyaratan jaringan spesifik Anda, tentukan apakah Anda perlu menggunakan server proksi HTTP untuk meneruskan permintaan ke Layanan Federasi. Jika demikian, pilih kotak centang Gunakan server proksi HTTP saat mengirim permintaan ke Layanan Federasi ini, di bawah alamat server proksi HTTP ketik alamat server proksi, klik Uji Koneksi untuk memverifikasi konektivitas, lalu klik Berikutnya.

  5. Ketika Anda diminta, tentukan kredensial yang diperlukan untuk membangun kepercayaan antara proksi server federasi ini dan Layanan Federasi.

    Secara default, hanya akun layanan yang digunakan oleh Layanan Federasi atau anggota grup BUILTIN\Administrators lokal yang dapat mengotorisasi proksi server federasi.

  6. Pada halaman Siap Menerapkan Pengaturan, tinjau detailnya. Jika setelan tampak benar, klik Berikutnya untuk mulai mengonfigurasi komputer ini dengan pengaturan proksi ini.

  7. Pada halaman Hasil Konfigurasi, tinjau hasilnya. Setelah semua langkah konfigurasi selesai, klik Tutup untuk keluar dari wizard.

    Tidak ada snap-in Microsoft Management Console (MMC) yang digunakan untuk mengelola proksi server federasi. Untuk mengonfigurasi pengaturan untuk setiap proksi server federasi di organisasi Anda, gunakan cmdlet Windows PowerShell.

Mengonfigurasi Port TCP/IP Alternatif untuk Operasi Proksi

Secara default, layanan proksi server federasi dikonfigurasi untuk menggunakan port TCP 443 untuk lalu lintas HTTPS dan port 80 untuk lalu lintas HTTP untuk komunikasi dengan server federasi. Untuk mengonfigurasi port yang berbeda, seperti port TCP 444 untuk HTTPS dan port 81 untuk HTTP, tugas berikut harus diselesaikan.

Catatan

Jika Anda berniat untuk awalnya menyebarkan LAYANAN Federasi Direktori Aktif untuk beroperasi di bawah port TCP/IP alternatif, Anda harus terlebih dahulu memodifikasi port dalam pengikatan protokol IIS Anda untuk HTTP dan HTTPS di server federasi dan komputer proksi server federasi. Ini harus terjadi sebelum Anda menjalankan wizard konfigurasi AD FS untuk konfigurasi awal. Jika Anda mengonfigurasi Layanan Informasi Internet (IIS) terlebih dahulu, pengaturan port TCP/IP alternatif Anda ditemukan saat konfigurasi berbasis wizard terjadi dalam LAYANAN Federasi Direktori Aktif, dan prosedur berikut ini tidak diperlukan. Jika Anda ingin mengubah pengaturan port nanti, perbarui pengikatan protokol IIS terlebih dahulu, lalu gunakan prosedur berikut untuk memperbarui pengaturan port dengan tepat. Untuk informasi selengkapnya tentang mengedit pengikatan IIS, lihat artikel 149605 di Pangkalan Pengetahuan Microsoft.

Untuk mengonfigurasi port TCP/IP alternatif untuk proksi server federasi yang akan digunakan

  1. Konfigurasikan server federasi untuk menggunakan port nondefault.

    Untuk melakukan ini, tentukan nomor port nondefault dengan menyertakannya dengan opsi HttpsPort dan HttpPort sebagai bagian dari cmdlet Set-ADFSProperties . Misalnya, untuk mengonfigurasi port ini, gunakan perintah berikut dalam sesi Windows PowerShell di komputer server federasi:

    Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81

  2. Konfigurasikan proksi server federasi untuk menggunakan port nondefault.

    Untuk melakukan ini, tentukan nomor port nondefault dengan menyertakannya dengan opsi HttpsPort dan HttpPort sebagai bagian dari cmdlet Set-ADFSProxyProperties . Misalnya, untuk mengonfigurasi port ini, gunakan perintah berikut dalam sesi Windows PowerShell di komputer server federasi:

    Set-ADFSProxyProperties -HttpsPort 444
Set-ADFSProxyProperties -HttpPort 81

    Catatan

    URL titik akhir tidak diaktifkan secara default untuk layanan proksi server federasi. Jika Mengonfigurasi penginstalan server federasi baru, Anda harus mengaktifkan titik akhir layanan proksi server federasi terlebih dahulu. Misalnya, diasumsikan bahwa untuk semua titik akhir bahwa contoh dalam prosedur ini mengacu pada Anda telah mengaktifkannya untuk proksi dengan memilihnya di snap-in Manajemen Layanan Federasi Direktori Aktif lalu memilih Aktifkan pada proksi.

  3. Perbarui penginstalan IIS di proksi server federasi sehingga titik akhir Security Assertion Markup Language (SAML) dan WS-Trust dikonfigurasi untuk mencerminkan nomor port yang diperbarui. Untuk melakukan ini, Anda dapat menggunakan Notepad untuk mengubah hal berikut dalam file Web.config, yang terletak di systemdrive%\inetpub\adfs\ls\ pada komputer proksi server federasi. Misalnya, dengan asumsi bahwa Anda memiliki server federasi bernama sts1.contoso.com dan nomor port baru adalah 444, telusuri dan buka file Web.config di Notepad pada komputer proksi server federasi, temukan bagian berikut, ubah nomor port seperti yang disorot di bawah ini, lalu simpan dan keluar dari Notepad.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
      wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />

  4. Tambahkan akun pengguna layanan proksi server federasi ke daftar kontrol akses (ACL) untuk URL titik akhir terkait. Misalnya, jika nomor port adalah 1234 dan akun pengguna yang digunakan untuk menjalankan layanan proksi server Layanan Federasi Direktori Aktif di bawah adalah akun Layanan Jaringan bawaan, ketik perintah berikut pada prompt perintah:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"

netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"

    Perintah sebelumnya harus dijalankan pada server federasi dan komputer proksi server federasi.

Referensi tambahan

Daftar Periksa: Menyiapkan Proksi Server Federasi