為電腦設定同盟伺服器 Proxy 角色
為電腦設定必要憑證並安裝同盟服務 Proxy 角色服務之後,就可以準備將電腦設定為同盟服務 Proxy。 您可以使用下列程序,讓電腦以同盟伺服器 Proxy 角色運作。
重要
在您使用此程序設定同盟伺服器 Proxy 電腦之前,請確認您已依照檢查清單:設定同盟伺服器 Proxy的說明,以所列出的順序進行所有步驟。 請確認至少已部署一部同盟伺服器,而且已實作授權同盟伺服器 Proxy 設定所需的所有認證。 您也必須在預設網站上設定安全通訊端層 (SSL) 繫結,否則此精靈將無法啟動。 在此同盟伺服器 Proxy 可以運作之前,必須完成所有這些工作。
完成電腦設定之後,請確認同盟伺服器 Proxy 如預期般運作。 如需詳細資訊,請參閱驗證同盟伺服器 Proxy 是否正確運作。
若要完成此程序,至少需要本機電腦之 Administrators 群組的成員資格或同等權限。 請參閱本機與網域的預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
為電腦設定同盟伺服器 Proxy 角色
有兩種方式可以啟動 AD FS 同盟伺服器設定精靈。 若要啟動該精靈,請執行下列其中一個動作:
在 [開始] 畫面上輸入 [AD FS 同盟伺服器 Proxy 組態精靈],然後按 ENTER 鍵。
在安裝精靈完成後,隨時開啟 Windows 檔案總管,導覽至 C:\Windows\ADFS 資料夾,然後按兩下 FspConfigWizard.exe。
使用其中一種方法啟動此精靈,然後在 [歡迎使用] 頁面按 [下一步]。
在 [指定同盟服務名稱] 頁面上的 [同盟服務名稱] 底下,輸入代表將以此電腦作為 Proxy 角色之同盟服務的名稱。
根據您的特定網路需求而定,判斷您是否需要使用 HTTP Proxy 伺服器來將要求轉送到 Federation Service。 如果需要,請選取 [在傳送要求至此同盟服務時使用 HTTP Proxy 伺服器] 核取方塊,並在 [HTTP Proxy 伺服器位址] 底下輸入 Proxy 伺服器的位址、按一下 [測試連線] 以驗證連線,然後按 [下一步]。
當您收到提示時,請指定在此同盟伺服器 Proxy 與 Federation Service 之間建立信任關係時所需的憑證。
根據預設,只有同盟服務所使用的服務帳戶或本機 BUILTIN\Administrators 群組的成員可以授權同盟伺服器 Proxy。
在 [已可套用設定] 頁面上,檢閱詳細資料。 如果設定顯示為正確,請按 [下一步] 以開始使用這些 Proxy 設定以設定此電腦。
在 [設定結果] 頁面上,檢閱結果。 完成所有設定步驟之後,按一下 [關閉] 以結束精靈。
目前沒有可用來管理同盟伺服器 Proxy 的 Microsoft Management Console (MMC) 嵌入式管理單元。 若要為組織的每個同盟伺服器 Proxy 進行設定,請使用 Windows PowerShell Cmdlet。
針對 Proxy 操作設定替代 TCP/IP 連接埠
根據預設值,同盟伺服器 Proxy 服務是設定為使用 TCP 連接埠 443 來處理 HTTPS 流量,並使用連接埠 80 來處理 HTTP 流量,以與同盟伺服器通訊。 若要設定其他連接埠 (例如使用 TCP 連接埠 444 來處理 HTTPS 並使用連接埠 81 來處理 HTTP),請執行下列工作。
注意
若一開始想要將 AD FS 部署為以替代 TCP/IP 連接埠運作,您應該先修改同盟伺服器與同盟伺服器 Proxy 電腦上 IIS 通訊協定繫結的 HTTP 與 HTTPS 連接埠。 您應該在執行 AD FS 設定精靈進行初始設定之前完成此動作。 若您先設定 Internet Information Services (IIS),在 AD FS 中使用精靈進行設定時會探索到替代 TCP/IP 連接埠設定,且下列程序為非必要。 若稍後想要變更連接埠設定,請先更新 IIS 通訊協定繫結,然後使用下列程序適當地更新連接埠設定。 如需有關如何編輯 IIS 繫結的詳細資訊,請參閱 Microsoft 知識庫的文章 149605。
設定替代 TCP/IP 連接埠供同盟伺服器 Proxy 使用
將同盟伺服器設定為使用非預設連接埠。
若要這樣做,請指定非預設連接埠號碼,方式是透過 HttpsPort 與 HttpPort 選項指定連接埠號碼並搭配 Set-ADFSProperties Cmdlet 執行。 例如,若要設定這些埠,請在同盟伺服器電腦上的 Windows PowerShell 工作階段中使用下列命令:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81
將同盟伺服器 Proxy 設定為使用非預設連接埠。
若要這樣做,請指定非預設連接埠號碼,方式是透過 HttpsPort 與 HttpPort 選項指定連接埠號碼並搭配 Set-ADFSProxyProperties Cmdlet 執行。 例如,若要設定這些埠,請在同盟伺服器電腦上的 Windows PowerShell 工作階段中使用下列命令:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81
注意
根據預設,同盟伺服器 Proxy 服務不會啟用端點 URL。 如果您要設定新的同盟伺服器安裝,您必須先啟用同盟伺服器 Proxy 服務端點。 例如,我們假設對於此程序之範例中提及的所有端點,您已經透過在 [AD FS 管理] 嵌入式管理單元中選取這些端點並選取 [在 Proxy 上啟用],以對其啟用 Proxy。
更新位於同盟伺服器 Proxy 的 IIS 安裝,以便安全性判斷提示標記語言 (SAML) 與 WS-Trust 端點是設定為反映已更新的連接埠號碼。 若要這樣做,您可以使用 [記事本] 來修改 Web.config 檔案 (位於同盟伺服器 Proxy 電腦的 %systemdrive%\inetpub\adfs\ls\) 中的下列設定。 例如,假設您有名為 sts1.contoso.com 的同盟伺服器且新的連接埠號碼是 444,請瀏覽到同盟伺服器 Proxy 電腦上 Web.config 檔案所在位置並使用 [記事本] 開啟該檔案,尋找下列區段,修改連接埠號碼 (如下面所反白顯示),然後儲存並結束 [記事本]。
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
將同盟伺服器 Proxy 服務使用者帳戶新增到相關端點 URL 的存取控制清單 (ACL)。 例如,若連接埠號碼是 1234 且用來執行 AD FS 同盟伺服器 Proxy 服務的使用者帳戶是內建的 Network Service 帳戶,請在命令提示字元中輸入下列命令:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
先前的命令必須在同盟伺服器和同盟伺服器 Proxy 電腦上執行。