設定具有必要憑證的計算機並安裝同盟服務 Proxy 角色服務之後,您就可以設定計算機成為同盟伺服器 Proxy。 您可以使用下列程式,讓計算機在同盟伺服器 Proxy 角色中運作。
這很重要
使用這個程式來設定同盟伺服器 Proxy 計算機之前,請確定您已依照 檢查清單:依照列出的順序設定同盟伺服器 Proxy 中的所有步驟。 請確定已部署至少一部同盟伺服器,並實作授權同盟伺服器 Proxy 設定的所有必要認證。 您也必須在默認網站上設定安全套接字層 (SSL) 系結,否則此精靈將不會啟動。 必須先完成所有這些工作,這個同盟伺服器 Proxy 才能運作。
完成計算機設定之後,請確認同盟伺服器 Proxy 如預期般運作。 如需詳細資訊,請參閱 確認同盟伺服器 Proxy 是否可運作。
在本機電腦上,Administrators群組或等效群組的成員資格是完成此程序所需的最低要求。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
要將電腦設定為聯盟伺服器代理角色
有兩種方式可以啟動AD FS同盟伺服器設定精靈。 若要啟動精靈,請執行下列其中一項:
在 [ 開始] 畫面上,輸入AD FS 同盟伺服器 Proxy 設定精靈,然後按 ENTER 鍵。
安裝精靈完成之後,請開啟 Windows 檔案總管,流覽至 C:\Windows\ADFS 資料夾,然後按兩下 FspConfigWizard.exe。
使用任一方法,啟動精靈,然後在 [歡迎使用 ] 頁面上,按 [下一步]。
在 [ 指定同盟服務名稱 ] 頁面的 [ 同盟服務名稱] 底下,輸入代表此計算機將擔任 Proxy 角色之同盟服務的名稱。
根據您的特定網路需求,判斷您是否需要使用 HTTP Proxy 伺服器將要求轉送至同盟服務。 如果是,請選取 [ 傳送要求至此同盟服務時使用 HTTP Proxy 伺服器] 複選框,在 [HTTP Proxy 伺服器位址 ] 下輸入 Proxy 伺服器的位址,按兩下 [ 測試連線 ] 以確認連線能力,然後按 [ 下一步]。
出現提示時,請指定建立此同盟伺服器 Proxy 與同盟服務之間信任所需的認證。
根據預設,只有同盟服務所使用的服務帳戶或本機 BUILTIN\Administrators 群組的成員可以授權同盟伺服器代理。
在 [[準備套用設定] 頁面上,檢視詳細資訊。 如果設定看起來正確,請按 下一步 ,以開始使用這些代理伺服器設定來配置這部電腦。
在 [組態結果] 頁面上,查看結果。 當所有設定步驟都完成時,請按一下 [關閉] 以離開設定程式。
沒有 Microsoft Management Console(MMC)嵌入式管理單元可用來管理聯盟伺服器代理程式。 若要設定組織中每個同盟伺服器 Proxy 的設定,請使用 Windows PowerShell Cmdlet。
設定替代 TCP/IP 埠以供 Proxy 作業使用
根據預設,同盟伺服器 Proxy 服務會設定為針對 HTTPS 流量使用 TCP 連接埠 443,而埠 80 則用於 HTTP 流量,以便與同盟伺服器通訊。 若要設定不同的埠,例如 HTTPS 的 TCP 連接埠 444 和 HTTP 的埠 81,必須完成下列工作。
備註
如果您想要一開始佈署 AD FS 並在替代的 TCP/IP 埠下運作,您應該先修改同盟伺服器和同盟伺服器代理電腦上的 HTTP 和 HTTPS 的 IIS 通訊協定繫結中的埠。 執行初始設定的 AD FS 設定精靈之前,應該會發生此情況。 如果您先設定 Internet Information Services (IIS),那麼當在 AD FS 中使用精靈進行設定時,替代 TCP/IP 埠設定會被偵測出,因此不需要進行以下程序。 如果您想要稍後變更埠設定,請先更新 IIS 通訊協定系結,然後使用下列程式適當地更新埠設定。 如需編輯 IIS 系結的詳細資訊,請參閱 Microsoft 知識庫中的 文章149605 。
若要為同盟伺服器 Proxy 設定要使用的其他 TCP/IP 埠
將同盟伺服器設定為使用非預設埠。
若要這樣做,請使用 HttpsPort 和 HttpPort 選項來指定非預設埠號碼,做為 Set-ADFSProperties Cmdlet 的一部分。 例如,若要設定這些埠,請在同盟伺服器電腦上的 Windows PowerShell 會話中使用下列命令:
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81將同盟伺服器 Proxy 設定為使用非預設埠。
若要這樣做,請使用 HttpsPort 和 HttpPort 選項來指定非預設埠號碼,做為 Set-ADFSProxyProperties Cmdlet 的一部分。 例如,若要設定這些埠,請在同盟伺服器電腦上的 Windows PowerShell 會話中使用下列命令:
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81備註
根據預設,同盟伺服器 Proxy 服務不會啟用端點 URL。 如果您要設定新的同盟伺服器安裝,您必須先啟用同盟伺服器 Proxy 服務端點。 例如,假設在此程序的範例中提到的所有端點中,您已在 AD FS 管理嵌入式管理單元中選取它們,然後選擇 [在 Proxy 上啟用] 以啟用它們的代理功能。
更新同盟伺服器代理上的 IIS 安裝,讓安全性斷言標記語言(SAML)和 WS-Trust 端點的設定能夠反映更新的埠號碼。 若要這樣做,您可以使用記事本修改 Web.config 檔案中的下列內容,該檔案位於同盟伺服器 Proxy 計算機上的 systemdrive%\inetpub\adfs\ls\ 。 例如,假設您有名為 sts1.contoso.com 且新的埠號碼為 444 的同盟伺服器,請在同盟伺服器 Proxy 計算機上的 [記事本] 中瀏覽並開啟 Web.config 檔案,找出下列區段,修改以下反白顯示的埠號碼,然後儲存並結束記事本。
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />將同盟伺服器 Proxy 服務用戶帳戶新增至相關端點 URL 的訪問控制清單 (ACL)。 例如,如果埠號碼是 1234,而且用來執行 AD FSfederation 伺服器 Proxy 服務的使用者帳戶是內建的網路服務帳戶,請在命令提示字元中輸入下列命令:
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"先前的命令必須在同盟伺服器和同盟伺服器 Proxy 計算機上執行。