Поделиться через

Настройка компьютера для роли прокси-сервера сервера федерации

  • Статья

После настройки компьютера с необходимыми сертификатами и установки службы прокси-роли службы федерации можно настроить компьютер для создания прокси-сервера федерации. Чтобы назначить компьютеру роль прокси-сервера федерации, выполните указанные ниже действия.

Внимание

Прежде чем использовать эту процедуру для настройки прокси-компьютера сервера федерации, убедитесь, что вы выполнили все действия, описанные в контрольном списке: настройка прокси-сервера федерации в порядке их перечисления. Убедитесь, что развернут по крайней мере один сервер федерации и что реализованы все необходимые для создания конфигурации прокси-сервера федерации учетные данные. Также необходимо настроить привязки SSL на веб-сайте по умолчанию или этот мастер не запустится. Прежде чем данный прокси-сервер федерации сможет функционировать, все эти задачи должны быть выполнены.

После настройки компьютера проверьте работоспособность прокси-сервера федерации. Дополнительные сведения см. в статье "Проверка работы прокси-сервера федерации".

Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Настройка компьютера для роли прокси-сервера сервера федерации

  1. Существует два способа запуска мастера настройки сервера федерации AD FS. Чтобы запустить мастер, выполните одно из следующих действий.

    • На начальном экране введите мастер настройки прокси-сервера федерации AD FS и нажмите клавишу ВВОД.

    • В любое время после завершения мастера установки откройте Windows Обозреватель, перейдите в папку C:\Windows\ADFS, а затем дважды щелкните FspConfigWizard.exe.

  2. С помощью любого метода запустите мастер и на странице приветствия нажмите кнопку "Далее".

  3. На странице "Указание имени службы федерации" в поле "Имя службы федерации" введите имя, представляющее службу федерации, для которой этот компьютер будет выступать в роли прокси-сервера.

  4. С учетом конкретных сетевых требований определите, потребуется ли использовать прокси-сервер HTTP для пересылки запросов в службу федерации. Если это так, выберите http-прокси-сервер при отправке запросов в эту службу федерации проверка, в разделе адрес прокси-сервера HTTP введите адрес прокси-сервера, нажмите кнопку "Проверить Подключение", чтобы проверить подключение, а затем нажмите кнопку "Далее".

  5. В ответ на соответствующий запрос укажите учетные данные, необходимые для установки отношений доверия между этим прокси-сервером федерации и службой федерации.

    По умолчанию только учетная запись службы, используемая службой федерации или членом локальной группы BUILDIN\Администратор istrators, может авторизовать прокси-сервер федерации.

  6. Просмотрите подробные сведения на странице Готовность к применению настроек. Если параметры, как представляется, правильны, нажмите кнопку "Далее ", чтобы начать настройку этого компьютера с этими параметрами прокси-сервера.

  7. Просмотрите результаты на странице Результаты конфигурации. Завершив все действия по настройке конфигурации, щелкните Закрыть, чтобы выйти из мастера.

    Для администрирования прокси-серверов федерации нет оснастки консоли управления Майкрософт (MMC). Чтобы настроить параметры для каждого прокси-сервера федерации в организации, используйте командлеты Windows PowerShell.

Настройка альтернативного порта TCP/IP для операций прокси-сервера

По умолчанию служба прокси-сервера федерации настроена на использование TCP-порта 443 для трафика HTTPS и порта 80 для трафика HTTP для связи с сервером федерации. Для настройки других портов, например TCP-порта 444 для HTTPS и порта 81 для HTTP, необходимо выполнить следующие действия.

Примечание.

Если вы планируете первоначально развернуть AD FS для работы с альтернативными портами TCP/IP, сначала следует изменить порты в привязках протокола IIS для HTTP и HTTPS на серверах федерации и прокси-сервера федерации. Это должно произойти перед запуском мастера конфигурации AD FS для начальной настройки. Если сначала настроить службы IIS (IIS), то параметры альтернативного порта TCP/IP обнаруживаются при возникновении конфигурации на основе мастера в AD FS, и следующая процедура не требуется. Если впоследствии требуется изменить параметры порта, сначала обновите IIS-привязки протокола, а затем с помощью следующей процедуры обновите параметры порта соответствующим образом. Дополнительные сведения об изменении привязок IIS см . в статье 149605 в базе знаний Майкрософт.

Настройка альтернативных портов TCP/IP для прокси-сервера федерации

  1. Настройте сервер федерации для использования портов, отличных от портов по умолчанию.

    Для этого укажите номер порта без учета, включив его с параметрами HttpsPort и HttpPort в рамках командлета Set-ADFSProperties. Например, чтобы настроить эти порты, используйте следующие команды в сеансе Windows PowerShell на компьютере сервера федерации:

    Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81

  2. Настройте прокси-сервер федерации для использования порта, отличного от дефекторов.

    Для этого укажите номер порта без учета, включив его с параметрами HttpsPort и HttpPort в рамках командлета Set-ADFSProxyProperties. Например, чтобы настроить эти порты, используйте следующие команды в сеансе Windows PowerShell на компьютере сервера федерации:

    Set-ADFSProxyProperties -HttpsPort 444
Set-ADFSProxyProperties -HttpPort 81

    Примечание.

    URL-адреса конечных точек по умолчанию не включены для службы прокси-сервера федерации. Если вы настраиваете новую установку сервера федерации, сначала необходимо включить конечные точки прокси-службы сервера федерации. Например, предполагается, что для всех конечных точек, приведенных в примере этой процедуры, вы включили их для прокси-сервера, выбрав их в оснастке управления AD FS, а затем выбрав включить прокси-сервер.

  3. Обновите установку IIS на прокси-сервере федерации, чтобы конечные точки SAML и WS-Trust соответствовали обновленному номеру порта. Для этого можно использовать Блокнот для изменения следующего в файле web.config, который находится в systemdrive%\inetpub\adfs\ls\ на прокси-компьютере сервера федерации. Например, если у вас есть сервер федерации с именем sts1.contoso.com, а новый номер порта равен 444, перейдите к файлу web.config в Блокнот на прокси-компьютере сервера федерации, найдите следующий раздел, измените номер порта, как показано ниже, а затем сохраните и закройте Блокнот.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
      wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />

  4. Добавьте учетную запись пользователя службы прокси-службы федерации в список управления доступом (ACL) для связанных URL-адресов конечных точек. Например, если номер порта равен 1234, а учетная запись пользователя, используемая для запуска прокси-службы сервера AD FSfederation, находится в встроенной учетной записи сетевой службы, введите следующую команду в командной строке:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"

netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"

    Предыдущие команды должны выполняться как на сервере федерации, так и на прокси-компьютерах сервера федерации.

Дополнительная справка

Контрольный список. Настройка прокси-сервера федерации