Ponowne konfigurowanie nazw FQDN i portów w usłudze Windows Azure Pack

Artykuł
09/07/2016

Dotyczy: Windows Azure Pack

Windows pakiet Azure Pack dla serwera Windows używa systemu uwierzytelniania opartego na oświadczeniach do uwierzytelniania i autoryzacji użytkowników. To uwierzytelnianie jest wykonywane przez zewnętrzną usługę tokenu zabezpieczającego dostawcy tożsamości (IdP-STS). System ufa dostawcy tożsamości STS, aby zweryfikować tożsamość użytkowników i zapewnić zaufany zestaw oświadczeń dotyczących każdego użytkownika. Należy ustanowić dwukierunkową relację zaufania z usługą IdP-STS podczas Windows konfiguracji pakietu Azure Pack, aby zmiany punktu końcowego były prawidłowo przekazywane do składników, których dotyczy problem.

Aby ustanowić tę relację zaufania, następujące składniki Windows Azure Pack uwidaczniają informacje o metadanych.

Portal zarządzania dla dzierżaw
Portal zarządzania dla administratorów
Witryna uwierzytelniania dzierżawy
lokacja uwierzytelniania Administracja

Ujawnione dane zawierają wszystkie niezbędne informacje o zaufaniu, w tym informacje o punkcie końcowym różnych składników. Informacje o punkcie końcowym służą do przekierowywania użytkowników do usługi IdP-STS i z powrotem do Windows Azure Pack.

W związku z tym za każdym razem, gdy konfiguracja punktu końcowego zmienia się dla składnika, należy zaktualizować informacje o metadanych i ponownie ustanowić relację zaufania przy użyciu zaktualizowanych metadanych.

Windows instalacja i konfiguracja pakietu Azure Pack udostępnia wartości domyślne dla uwidocznionych metadanych i informacji o punkcie końcowym. Domyślnie Windows Azure Pack używa nazwy komputera i domeny jako w pełni kwalifikowanej nazwy domeny (FQDN) każdego składnika. Ustawia również wstępnie zdefiniowane numery portów dla każdego składnika.

Jeśli na przykład nazwa hosta maszyny dzierżawy to "mytenantmachine", a domena to "contoso.com", domyślną konfiguracją portalu dzierżawy będzie https://mytenantmachine.contoso.com:30081.

W niektórych scenariuszach należy zmienić domyślne wartości punktów końcowych. Przykład:

W przypadku zaktualizowania domyślnego certyfikatu SSL z podpisem własnym składnika do rzeczywistego certyfikatu nazwa FQDN składnika musi być zgodna z nazwą FQDN certyfikatu.
Jeśli używasz modułu równoważenia obciążenia w wielu wystąpieniach składnika, musisz użyć punktu końcowego modułu równoważenia obciążenia zamiast punktu końcowego każdego wystąpienia składnika.
W przypadku zmiany wstępnie zdefiniowanych portów należy zaktualizować ustawienia portu Windows Azure Pack. Na przykład zmiana domyślnego portu HTTPS 443 wymaga zaktualizowania ustawień portów Windows Azure Pack.

W takich przypadkach należy zaktualizować informacje o metadanych i ponownie ustanowić relację zaufania, jak wyjaśniono w poniższych krokach.

Aby zaktualizować nazwę FQDN i ustawienia portu

Uruchom polecenie cmdlet Set-MgmtSvcFqdn na maszynie, którą chcesz zaktualizować.

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

Parametr	Wymagane/opcjonalne	Szczegóły
-ConnectionString	Wymagane	Ten parametr definiuje parametry połączenia z SQL Server hostowania magazynów konfiguracji Windows Azure Pack. Nazwa bazy danych (katalog początkowy) nie jest wymagana. Poświadczenia zawarte w ciągu muszą mieć uprawnienia do zapisu w magazynach konfiguracji. Przykład: `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server — adres SQL Server hostowania baz danych konfiguracji portalu zarządzania. $userId — użytkownik SQL z uprawnieniami do zapisu w bazach danych konfiguracji portalu zarządzania. $password — hasło do konta $userId.
-FQDN	Opcjonalne	Ten parametr służy do określania nowej nazwy FQDN dla maszyny. Zastąp $fqdn nową nazwą FQDN, a nie prefiksem protokołu. Na przykład mynewfqdn.contoso.com. Ten parametr można pominąć, jeśli nie zmieniasz nazwy FQDN.
-Przestrzeń nazw	Wymagane	Ten parametr służy do wskazywania, który składnik ma być skonfigurowany. Możliwe wartości: "AdminSite", "TenantSite", "AuthSite", "WindowsAuthSite".
-Port	Opcjonalne	Ten parametr służy do definiowania nowego portu. Zastąp $port nowym portem. Na przykład 443. Uwaga Użycie domyślnego portu HTTPS 443 spowoduje usunięcie sekcji portów z punktu końcowego. Ten parametr można pominąć, jeśli nie zmieniasz portu.

W programie Internet Information Services Manager upewnij się, że wartości FQDN i portów zostały zaktualizowane. Upewnij się również, że nazwa FQDN jest zgodna z certyfikatem SSL.
Zaktualizowana nazwa FQDN i wartości portów zostaną ostatecznie rozpropagowane do docelowych składników. Aby upewnić się, że dzieje się to natychmiast, uruchom ponownie witrynę internetową.
Powtórz kroki 2 i 3 na wszystkich maszynach hostowych składnik.
W razie potrzeby skonfiguruj usługę DNS do przekazywania żądań do odpowiedniej lokalizacji.
Ponownie ustanów relację zaufania między wszystkimi składnikami, których dotyczy problem, zgodnie z instrukcjami w następnej sekcji.

Ponowne ustanawianie zaufania

Windows Azure Pack to aplikacja z obsługą oświadczeń, która używa tokenów i oświadczeń do uwierzytelniania i autoryzacji użytkowników końcowych. Takie aplikacje nie używają tożsamości wystawcy tokenu, o ile token jest zgodny z pewnymi warunkami, takimi jak podpisywanie przez zaufany klucz. Aby uzyskać więcej informacji, zobacz Aplikacje obsługujące oświadczenia.

W przypadku uwierzytelniania opartego na oświadczeniach system ufa usłudze STS, aby wystawiać swoje tokeny. Nie musi to jednak oznaczać, że usługa STS faktycznie wykonuje uwierzytelnianie użytkownika. Istnieje możliwość, że usługa STS deleguje żądanie uwierzytelniania użytkownika (lub federację) do innej usługi STS, która jest zaufana przez pierwszą usługę STS. Ten łańcuch usług STS ufających sobie nawzajem i delegowanie żądań jest wspólny i elastyczny. Istnieją nieograniczone możliwe topologie relacji zaufania. Administratorzy systemu muszą wybrać najbardziej odpowiednią topologię, aby spełnić wymagania biznesowe.

Można na przykład skonfigurować Windows portali administracyjnych pakietu Azure Pack, aby ufać usługom AD FS w celu uwierzytelniania użytkowników. W zależności od konfiguracji usług AD FS usługi AD FS można wykonać jedną z następujących czynności:

Usługi AD FS mogą uwierzytelniać użytkowników bezpośrednio przy użyciu poświadczeń usługi Active Directory portalu zarządzania.
Usługi AD FS mogą federować żądanie do innej usługi STS.

W drugim przypadku można użyć usługi Windows Azure Access Active Directory Control Service (ACS) jako innych usług STS, na przykład. Usługa ACS może następnie ponownie sfederować żądanie do innej usługi STS, takiej jak Windows Live. W takim przypadku Windows Live faktycznie uwierzytelnia użytkownika przy użyciu poświadczeń na żywo Windows. Jest to jeden ze sposobów włączenia uwierzytelniania Windows Live, Google lub Facebook w usłudze Windows Azure Pack.

Ważne

Ponieważ punkty końcowe są używane do przekierowywania użytkowników do następnego składnika w łańcuchu zaufania, wszystkie punkty końcowe muszą być poprawnie skonfigurowane we wszystkich składnikach, aby upewnić się, że federacja zakończy się pomyślnie.

W przypadku zmiany punktu końcowego portalu zarządzania należy natychmiast zaktualizować usługę STS, której portal ufa.

Upewnij się, że zaktualizowano nazwę FQDN i zmiany portów w usłudze STS dla adresu URL metadanych federacji jednostki uzależnionej, a następnie odśwież metadane.

Jeśli zmienisz punkt końcowy usługi STS, musisz zaktualizować wszystkie składniki bezpośrednio zaufane przez niego, takie jak portale zarządzania i inne usługi STS.

Administrator systemu powinien zapoznać się z łańcuchem zaufania, aby zrozumieć, które składniki muszą zostać zaktualizowane po zmianie konfiguracji.

Ponowne ustanawianie zaufania dla portali zarządzania

Jeśli punkt końcowy usługi STS natychmiast ufa Windows portal zarządzania pakietu Azure Pack został zmieniony, należy zaktualizować portale przy użyciu nowych informacji o punkcie końcowym. Można to zrobić przy użyciu polecenia cmdlet Set-MgmtSvcRelyingPartySettings PowerShell na odpowiednich maszynach.

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

Parametr	Wymagane/opcjonalne	Szczegóły
Cel	Wymagane	Ten parametr definiuje zestaw składników do zaktualizowania. Dopuszczalne wartości dla< elementów Targets>: Dzierżawa — służy do konfigurowania portalu zarządzania dla dzierżaw, warstwy interfejsu API dzierżawy i warstwy interfejsu API administratora. Administracja — służy do konfigurowania portalu zarządzania dla administratorów i warstwy interfejsu API administratora. Można podać pojedynczy element docelowy lub tablicę obiektów docelowych.
MetadataEndpoint	Wymagane	Ten parametr definiuje pełny adres URL zaufanego punktu końcowego metadanych IDP-STS. Dopuszczalne wartości dla< pełnego adresu URL> punktu końcowego metadanych: Prawidłowy adres URL, na przykład: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
Connectionstring	Wymagane, chyba że są używane polecenia PortalConnectionString i ManagementConnectionString.	Ten parametr definiuje parametry połączenia do SQL Server hostowania magazynu konfiguracji portalu Windows Azure Pack i magazynu zarządzania. Nazwa bazy danych (katalog początkowy) nie jest wymagana. Jeśli magazyny konfiguracji portalu lub magazyn zarządzania są hostowane w różnych wystąpieniach SQL Server lub używają nazw baz danych innych niż domyślne, użyj parametrów PortalConnectionString i ManagementConnectionString.
DisableCertificateValidation	Opcjonalne Niezalecane w środowiskach produkcyjnych	Ten parametr wyłącza walidację certyfikatu SSL. Jeśli nie używasz tego parametru, polecenie cmdlet nie będzie pobierać informacji o metadanych, jeśli punkt końcowy metadanych używa certyfikatu SSL z podpisem własnym.
PortalConnectionString	Opcjonalnie, chyba że nie podano parametru ConnectionString	Użyj tego parametru, aby zastąpić domyślne parametry połączenia tylko dla magazynu konfiguracji. Należy to zrobić, gdy — Magazyn konfiguracji portalu znajduje się w innym wystąpieniu SQL. — Magazyn konfiguracji portalu używa różnych poświadczeń. — Nie chcesz używać domyślnych parametrów połączenia.
ManagementConnectionString	Opcjonalnie, chyba że nie podano parametru ConnectionString	Użyj tego parametru, aby zastąpić domyślne parametry połączenia tylko dla magazynu zarządzania. Należy to zrobić, gdy — Magazyn zarządzania WAP znajduje się w innym wystąpieniu SQL. — Magazyn zarządzania używa różnych poświadczeń. — Nie chcesz używać domyślnych parametrów połączenia.

Przykładowe polecenie cmdlet:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

Porada

To polecenie cmdlet może być używane na dowolnej maszynie, na której zainstalowano aktualizacje Windows Azure PowerShell dla pakietu Azure Pack Windows.
Zaktualizowane ustawienia zostaną ostatecznie propagowane do wszystkich składników, których dotyczy problem. Aby przyspieszyć propagację, ręcznie uruchom ponownie składniki, których dotyczy problem, aby natychmiast pobrać nowe wartości konfiguracji. Jeśli element docelowy to "Dzierżawa", należy ponownie uruchomić wszystkie portale zarządzania dla dzierżaw, interfejsu API dzierżawy i składników interfejsu API administratora. Jeśli element docelowy to "Administracja", należy ponownie uruchomić wszystkie portale zarządzania dla składników interfejsu API administratorów i administratora.

Ponowne ustanawianie zaufania dla lokacji uwierzytelniania

Jeśli punkt końcowy usługi STS natychmiast ufa Windows lokacji uwierzytelniania pakietu Azure Pack został zmieniony, należy zaktualizować lokacje uwierzytelniania przy użyciu nowych informacji o punkcie końcowym. Można to zrobić za pomocą polecenia cmdlet programu PowerShell Set-MgmtSvcIdentityProviderSettings polecenia cmdlet programu PowerShell na odpowiednich maszynach.

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

Parametr	Wymagane/opcjonalne	Szczegóły
Cel	Wymagane	Ten parametr definiuje zestaw składników do aktualizacji. Dopuszczalne wartości dla< elementów Docelowych>: Członkostwo — służy do konfigurowania lokacji uwierzytelniania dzierżawy (członkostwa). Windows — służy do konfigurowania lokacji uwierzytelniania administratora (Windows). Można podać pojedynczy element docelowy lub tablicę obiektów docelowych.
MetadataEndpoint	Wymagane	Ten parametr definiuje pełny adres URL punktu końcowego metadanych zaufanego składnika. Dopuszczalne wartości dla< pełnego adresu URL> punktu końcowego metadanych: Prawidłowy adres URL, na przykład: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
Konfigurowanie protokołuSecondary	Opcjonalne	Każda lokacja uwierzytelniania obsługuje maksymalnie dwie zaufane jednostki uzależnione. Uwzględnij ten parametr w celu skonfigurowania drugiej jednostki uzależnionej zamiast zastępowania domyślnej jednostki uzależnionej.
Connectionstring	Wymagane, chyba że użyto parametru PortalConnectionString	Ten parametr definiuje parametry połączenia z SQL Server hostowania magazynów konfiguracji portalu Windows Azure Pack. Nazwa bazy danych (katalog początkowy) nie jest wymagana. Jeśli magazyn konfiguracji portalu używa innej niż domyślna nazwa bazy danych, zamiast tego użyj parametru PortalConnectionString.
DisableCertificateValidation	Opcjonalne Niezalecane w środowiskach produkcyjnych	Ten parametr wyłącza walidację certyfikatu SSL. Jeśli nie używasz tego parametru, polecenie cmdlet nie będzie pobierać informacji o metadanych, jeśli punkt końcowy metadanych używa certyfikatu SSL z podpisem własnym.
PortalConnectionString	Opcjonalnie, chyba że nie podano parametru ConnectionString	Użyj tego parametru, aby zastąpić domyślne parametry połączenia tylko dla magazynu konfiguracji. Należy to zrobić, gdy — Magazyn konfiguracji portalu używa różnych poświadczeń. — Nie chcesz używać domyślnych parametrów połączenia.