共用方式為


在 Windows Server 2012 R2 上設定 AD FS 的外部網路存取

適用于:Azure、Office 365、Power BI、Windows Intune

本主題描述如何安裝遠端存取角色與 Web 應用程式 Proxy 角色服務,以及如何設定 Web 應用程式 Proxy 伺服器,以連接至 Active Directory Federation Services (AD FS) 伺服器。

2.2. 安裝遠端存取角色

若要部署 Web 應用程式 Proxy,您必須在將充當 Web 應用程式 Proxy 伺服器的伺服器上安裝遠端存取角色與 Web 應用程式 Proxy 角色服務。

對於要部署為 Web 應用程式 Proxy 伺服器的所有伺服器重複這個程序。

透過使用者介面安裝 Web 應用程式 Proxy 角色服務

  1. 在 Web 應用程式 Proxy 伺服器上,於伺服器管理員主控台的 [儀表板] 中,按一下 [新增角色與功能]

  2. 在 [新增角色及功能精靈] 中,按三次 [下一步] 以移至伺服器角色選取畫面。

  3. 在 [選取伺服器角色] 對話方塊中,選取 [遠端存取],然後按 [下一步]

  4. 按兩次 [下一步]

  5. 在 [選取角色服務] 對話方塊上,選取 [Web 應用程式 Proxy]、按一下 [新增功能],然後按 [下一步]

  6. 在 [確認安裝選項] 對話方塊中,按一下 [安裝]

  7. 在 [安裝進度] 對話方塊中,確認安裝成功,然後按一下 [關閉]

透過 Windows PowerShel 安裝 Web 應用程式 Proxy 角色服務

  1. 下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。

    下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
    

2.3. 設定 Web 應用程式 Proxy

您必須設定 Web 應用程式 Proxy,才能連接至 AD FS 伺服器。

對於要部署為 Web 應用程式 Proxy 伺服器的所有伺服器重複這個程序。

透過使用者介面設定 Web 應用程式 Proxy

  1. 在 Web 應用程式 Proxy 伺服器上,開啟遠端存取管理主控台: RAMgmtUI.exe,然後按 ENTER 鍵。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 []。

  2. 在導覽窗格中,按一下 [Web 應用程式 Proxy]

  3. 在遠端存取管理主控台中,於中間窗格按一下 [執行 Web 應用程式 Proxy 組態精靈]

  4. 在 [Web 應用程式 Proxy 組態精靈] 的 [歡迎使用] 對話方塊上,按 [下一步]

  5. 在 [同盟伺服器] 對話方塊中,執行下列動作,然後按 [下一步]

    • 在 [同盟服務名稱] 方塊中,輸入 AD FS 伺服器的完整網域名稱 (FQDN);例如,fs.fabrikam.com。

    • 在 [使用者名稱] 和 [密碼] 方塊中,輸入 AD FS 伺服器上本機系統管理員帳戶的認證。

  6. 在 [AD FS Proxy 憑證] 對話方塊上,於目前安裝在 Web 應用程式 Proxy 伺服器上的憑證清單中,選取要由 AD FS Proxy 功能的 Web 應用程式 Proxy 使用的憑證,然後按 [下一步]

    您在這裡選擇的憑證應該是其主旨為同盟服務名稱的憑證,例如,fs.fabrikam.com。

  7. 在 [確認] 對話方塊中,檢查設定。 必要時,您可以複製 PowerShell Cmdlet,將其他的安裝自動化。 按一下 [設定] 。

  8. 在 [結果] 對話方塊中,確認設定成功,然後按一下 [關閉]

透過 Windows PowerShell 設定 Web 應用程式 Proxy

  1. 下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。

    以下命令將提示您輸入 AD FS 伺服器上本機系統管理員帳戶的認證。

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com
    

最佳化 Web 應用程式 Proxy 與 AD FS 伺服器之間的壅塞控制設定 – 選用步驟

如果 Web 應用程式 Proxy 與同盟伺服器之間的延遲增加並超過特定閾值,則面向外部網路的 Web 應用程式 Proxy 能夠節流來自外部網路的要求。 根據這個功能,如果 Web 應用程式 Proxy 與同盟伺服器之間的延遲提供驗證要求時偵測到同盟伺服器超載,則 Web 應用程式 Proxy 將拒絕外部用戶端驗證要求。 這項功能與運用在 TCP 壅塞控制的類似演算法 (稱為 Additive Increase Multiplicative Decrease,AIMD) 密切相關。 此方案的運作方式為使用權杖集區所代表的壅塞視窗,它會租給 Web 應用程式 Proxy 的每一個傳入要求。

在高延遲 DMZ 網路或高負載 Web 應用程式 Proxy 中,有可能拒絕驗證要求,即使根據控制這個演算法的預設設定,同盟伺服器可以順利滿足這些要求也一樣。 在這種環境中,我們強烈地建議您執行以下步驟將設定修改為較保守一些。

  1. 在 Web 應用程式 Proxy 電腦上,啟動提升權限的命令視窗。

  2. 流覽至 ADFS 目錄,網址為 %WINDIR%\adfs\config

  3. 將壅塞控制設定從預設值變更為 ' < congestionControl latencyThresholdInMSec=「8000」 minCongestionWindowSize=「64」 enabled=「true」 / > '

  4. 儲存並關閉檔案。

  5. 執行 'net stop adfssrv' ,然後 執行 'net start adfssrv' 來重新開機AD FS 服務。

後續步驟

既然您已確認已設定 Web 應用程式 Proxy 電腦,下一個步驟是安裝 Windows PowerShell 以使用 AD FS 進行單一登入

另請參閱

概念

準備網路基礎結構以設定外部網路存取
檢查清單:使用 AD FS 實作和管理單一登入