Dela via

Checklista: Konfigurera extranätsåtkomst för AD FS i äldre versioner av Windows Server

  • Artikel

Gäller för: Azure, Office 365, Power BI, Windows Intune

Följande checklista innehåller de distributionsuppgifter som krävs för att distribuera två federationsserverproxyservrar som omdirigerar autentiseringsbegäranden till en federationsserver i den nya federationsservergruppen.

checklista checklista: Distribuera dina federationsserverproxys

Distributionsuppgift Länkar till ämnen i det här avsnittet Fullbordad

1. Installera AD FS-programvaran på den dator som ska bli federationsserverproxy.

Installera AD FS-programvaran på proxydatorn

 kryssruta

2. Konfigurera AD FS-programvaran på datorn så att den fungerar i federationsserverproxyrollen med hjälp av konfigurationsguiden för AD FS-federationsserverproxy.

Konfigurera en dator för federationsserverproxyrollen

 kryssruta

3. Kontrollera att federationsserverproxytjänsten har startats med loggboken.

Kontrollera att federationsserverproxyn fungerar

 kryssruta

4. Valfritt steg -Optimize inställningar för överbelastningskontroll mellan webbprogramproxyn och AD FS-servrarna.

Den extranätsinriktade federationsserverproxyn kan begränsa begäranden från extranätet om svarstiden mellan federationsserverproxyn och federationsservern ökar över ett visst tröskelvärde. Baserat på den här funktionen avvisar federationsserverproxyn externa klientautentiseringsbegäranden om federationsservern överbelastas, vilket identifieras av svarstiden mellan federationsserverproxyn och federationsservern till tjänstautentiseringsbegäranden. Det är nära relaterat till en liknande algoritm som används för överbelastningskontroll i TCP som kallas Additiv ökning multiplicativ minskning (AIMD). Lösningen fungerar genom att använda ett överbelastningsfönster som representeras av en pool med token som den lånar ut till varje inkommande begäran till federationsserverproxyn.

I ett DMZ-nätverk med hög svarstid eller en höginläst federationsserverproxy kan autentiseringsbegäranden avvisas även om federationsservern kan uppfylla dessa begäranden baserat på standardinställningarna som styr den här algoritmen. I en sådan miljö rekommenderar vi starkt att du ändrar inställningarna så att de blir mindre aggressiva genom att utföra följande steg.

  1. Starta ett utökat kommandofönster på federationsserverproxydatorn.

  2. Navigera till ADFS-katalogen. För Windows Server 2012 finns den på %windir%\ADFS. För Windows Server 2008 och Windows Server 2008 R2 finns den på %programfiles%\Active Directory Federation Services 2.0.

  3. Ändra inställningarna för överbelastningskontroll från standardvärdena till <congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Spara och stäng filen.

  5. Starta om AD FS-tjänsten genom att köra "net stop adfssrv" och sedan "net start adfssrv".

Se även

Begrepp

checklista: Använd AD FS för att implementera och hantera enkel inloggning