Konfigurera extranätsåtkomst för AD FS på Windows Server 2012 R2
Gäller för: Azure, Office 365, Power BI, Windows Intune
Det här avsnittet beskriver hur du installerar fjärråtkomstrollen med webb-Programproxy-rolltjänsten och hur du konfigurerar webb-Programproxy-servern för att ansluta till en Active Directory Federation Services (AD FS)-server (AD FS).
2.2. Installera fjärråtkomstrollen
Om du vill distribuera webb Programproxy måste du installera fjärråtkomstrollen med webbtjänsten Programproxy roll på en server som fungerar som Programproxy-servern.
Upprepa den här proceduren för alla servrar som du vill distribuera som webbservrar Programproxy servrar.
Så här installerar du rolltjänsten Web Programproxy via användargränssnittet
På webbservern Programproxy klickar du på Lägg till roller och funktioner i Serverhanteraren-konsolen på instrumentpanelen.
I guiden Lägg till roller och funktioner klickar du på Nästa tre gånger för att komma till skärmen för val av serverroll.
I dialogrutan Välj serverroller väljer du Fjärråtkomst och klickar sedan på Nästa.
Klicka på Nästa två gånger.
I dialogrutan Välj rolltjänster väljer du Webb Programproxy, klickar på Lägg till funktioner och klickar sedan på Nästa.
I dialogrutan Bekräfta installationsinställningarna klickar du på Installera.
I dialogrutan installationen kontrollera att installationen har lyckats och klicka sedan på Stäng.
Så här installerar du rolltjänsten Web Programproxy via Windows PowerShel
Följande Windows PowerShell-cmdletar utför samma funktion som ovan. Ange varje cmdlet på en egen rad, trots att de kan visas som automatiskt radbrutna över flera rader på grund av formateringsbegränsningar.
Följande Windows PowerShell-cmdletar utför samma funktion som ovan. Ange varje cmdlet på en egen rad, trots att de kan visas som automatiskt radbrutna över flera rader på grund av formateringsbegränsningar.
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
2.3. Konfigurera webbprogramproxyn
Du måste konfigurera Web Programproxy för att ansluta till en AD FS-server.
Upprepa den här proceduren för alla servrar som du vill distribuera som webbservrar Programproxy servrar.
Så här konfigurerar du webb Programproxy via användargränssnittet
På Programproxy-servern öppnar du konsolen För fjärråtkomsthantering: RAMgmtUI.exeoch trycker sedan på RETUR. Om dialogrutan User Account Control visas bekräftar du att åtgärden den visar är den du vill ha. Klicka sedan på Ja.
Klicka på Webb Programproxy i navigeringsfönstret.
Klicka på Kör konfigurationsguiden för webb Programproxy i mittenfönstret i konsolen Fjärråtkomsthantering.
I guiden Webbkonfiguration Programproxy klickar du på Nästa i dialogrutan Välkommen.
I dialogrutan Federationsserver gör du följande och klickar sedan på Nästa:
I rutan Federationstjänstnamn anger du det fullständigt kvalificerade domännamnet (FQDN) för AD FS-servern. till exempel fs.fabrikam.com.
I rutorna Användarnamn och Lösenord anger du autentiseringsuppgifterna för ett lokalt administratörskonto på AD FS-servrarna.
I dialogrutan AD FS-proxycertifikat i listan över certifikat som för närvarande är installerade på webbservern Programproxy väljer du ett certifikat som ska användas av web-Programproxy för AD FS-proxyfunktioner och klickar sedan på Nästa.
Certifikatet som du väljer här bör vara det certifikat vars ämne är federationstjänstens namn, till exempel fs.fabrikam.com.
Granska inställningarna i dialogrutan Bekräftelse . Om det behövs kan du kopiera PowerShell-cmdleten för att automatisera ytterligare installationer. Klicka på Konfigurera.
Kontrollera att konfigurationen lyckades i dialogrutan Resultat och klicka sedan på Stäng.
Så här konfigurerar du Programproxy via Windows PowerShell
Följande Windows PowerShell-cmdletar utför samma funktion som ovan. Ange varje cmdlet på en egen rad, trots att de kan visas som automatiskt radbrutna över flera rader på grund av formateringsbegränsningar.
Följande kommando uppmanar dig att ange autentiseringsuppgifter för ett lokalt administratörskonto på AD FS-servrarna.
Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com
Optimera inställningarna för överbelastningskontroll mellan Web Programproxy och AD FS-servrarna – valfritt steg
Den extranätsuppkopplade Programproxy kan begränsa begäranden från extranätet om svarstiden mellan Programproxy och federationsservern ökar över ett visst tröskelvärde. Baserat på den här funktionen avvisar Programproxy externa klientautentiseringsbegäranden om federationsservern överbelastas på grund av svarstiden mellan Programproxy och federationsservern till tjänstautentiseringsbegäranden. Det är nära relaterat till en liknande algoritm som används för överbelastningskontroll i TCP som kallas Additiv ökning multiplikativ minskning (AIMD). Lösningen fungerar genom att använda ett överbelastningsfönster som representeras av en pool med token som den lånar ut till varje inkommande begäran till Programproxy.
I ett DMZ-nätverk med hög svarstid eller en mycket inläst webb-Programproxy är det möjligt att autentiseringsbegäranden avvisas även om federationsservern kan uppfylla dessa begäranden baserat på standardinställningarna som styr den här algoritmen. I en sådan miljö rekommenderar vi starkt att du ändrar inställningarna så att de blir mindre aggressiva genom att utföra följande steg.
Starta ett upphöjt kommandofönster på Programproxy-datorn.
Gå till ADFS-katalogen i %WINDIR%\adfs\config.
Ändra inställningarna för överbelastningskontroll från standardvärdena till "<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.
Spara och stäng filen.
Starta om AD FS-tjänsten genom att köra "net stop adfssrv" och sedan "net start adfssrv".
Nästa steg
Nu när du har kontrollerat att du har konfigurerat Web Programproxy-datorer är nästa steg att installera Windows PowerShell för enkel inloggning med AD FS.
Se även
Begrepp
Förbereda nätverksinfrastrukturen för att konfigurera extranätsåtkomst
Checklista: Använda AD FS för att implementera och hantera enkel inloggning