Neukonfigurieren von FQDNs und Ports im Windows Azure-Paket
Gilt für: Windows Azure Pack
Windows Azure Pack für Windows Server verwendet anspruchsbasiertes Authentifizierungssystem, um Benutzer zu authentifizieren und zu autorisieren. Diese Authentifizierung wird von einem externen Identitätsanbieter-Sicherheitstokendienst (IdP-STS) ausgeführt. Das System vertraut dem IdP-STS, um die Identität von Benutzern zu überprüfen und eine vertrauenswürdige Gruppe von Ansprüchen zu jedem Benutzer bereitzustellen. Eine bidirektionale Vertrauensstellung mit dem IdP-STS muss während Windows Azure Pack-Konfiguration eingerichtet werden, damit die Endpunktänderungen ordnungsgemäß an die betroffenen Komponenten übermittelt werden.
Um diese Vertrauensstellung herzustellen, stellen die folgenden Windows Azure Pack-Komponenten Metadateninformationen bereit.
Verwaltungsportal für Mandanten
Verwaltungsportal für Administratoren
Mandantenauthentifizierungswebsite
Administratorauthentifizierungswebsite
Die bereitgestellten Daten umfassen alle notwendigen Informationen zur Vertrauenswürdigkeit, einschließlich Endpunktinformationen der verschiedenen Komponenten. Die Endpunktinformationen werden verwendet, um Benutzer an idP-STS und zurück zu Windows Azure Pack zu leiten.
Wenn sich die Endpunktkonfiguration für eine Komponente ändert, ist Folgendes erforderlich: Aktualisierung der Metadateninformationen und erneute Einrichtung der Vertrauensbeziehung mithilfe der aktualisierten Metadaten.
Windows Azure Pack-Installation und -Konfiguration stellt Standardwerte für die verfügbar gemachten Metadaten und Endpunktinformationen bereit. Standardmäßig verwendet Windows Azure Pack den Computer- und Domänennamen als vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) jeder Komponente. Es legt außerdem vordefinierte Portnummern für jede Komponente fest.
Wenn der Hostname des Mandantencomputers beispielsweise "mytenantmachine" und die Domäne "contoso.com" lautet, ist die Standardkonfiguration des Mandantenportals https://mytenantmachine.contoso.com:30081.
In einigen Szenarien müssen die Standardendpunktwerte geändert werden. Beispiel:
Wenn Sie das selbst signierte SSL-Standardzertifikat einer Komponente in ein echtes Zertifikat aktualisieren, muss der FQDN der Komponente dem Zertifikat-FQDN entsprechen.
Wenn Sie einen Lastenausgleich über mehrere Instanzen einer Komponente durchführen, müssen Sie den Lastenausgleichsendpunkt anstelle des Endpunkts jeder Komponenteninstanz verwenden.
Wenn Sie die vordefinierten Ports ändern, müssen Sie die Windows Azure Pack-Porteinstellungen aktualisieren. Wenn Sie beispielsweise zum standardmäßigen HTTPS-Port 443 wechseln, müssen Sie die Windows Azure Pack-Porteinstellungen aktualisieren.
In solchen Fällen müssen die Metadateninformationen aktualisiert und die Vertrauensbeziehung neu eingerichtet werden, wie in den folgenden Schritten erläutert wird.
So aktualisieren Sie den FQDN und die Porteinstellungen
Führen Sie das Cmdlet Set-MgmtSvcFqdn auf dem Computer aus, den Sie aktualisieren möchten.
Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]Parameter
Erforderlich/optional
Details
-ConnectionString
Erforderlich
Dieser Parameter definiert die Verbindungszeichenfolge an die SQL Server, die die Windows Azure Pack-Konfigurationsspeicher hostet.
Ein Datenbankname (Ursprünglicher Katalog) ist nicht erforderlich.
Die Anmeldeinformationen, die in der Zeichenfolge enthalten sind, müssen über Schreibberechtigungen für die Konfigurationsspeicher verfügen.
Beispiel:
$connectionString = “Data Source=$server;User ID=$userId;Password=$password”$server – Die Adresse der SQL Server, die die Konfigurationsdatenbanken des Verwaltungsportals hosten.
$userId – Ein SQL Benutzer mit Schreibberechtigungen für die Konfigurationsdatenbanken des Verwaltungsportals.
$password – Das Kennwort für das $userId Konto.
-FQDN
Optional
Dieser Parameter wird verwendet, um den neuen FQDN für den Computer anzugeben. Ersetzen Sie $fqdn durch den neuen FQDN, ausgenommen des Protokollpräfix. Beispielsweise mynewfqdn.contoso.com.
Sie können diesen Parameter weglassen, wenn Sie den FQDN nicht ändern.
-Namespace
Erforderlich
Dieser Parameter wird verwendet, um anzugeben, welche Komponente konfiguriert werden muss. Mögliche Werte: AdminSite, TenantSite, AuthSite, WindowsAuthSite.
-Port
Optional
Dieser Parameter wird verwendet, um den neuen Port zu definieren. Ersetzen Sie $port durch den neuen Port. Beispiel: 443. Hinweis: Bei Verwendung des HTTPS-Standardports 443 wird der Portabschnitt aus dem Endpunkt entfernt.
Sie können diesen Parameter weglassen, wenn Sie den Port nicht ändern.
Stellen Sie im Internetinformationsdienste-Manager sicher, dass die FQDN- und Portwerte aktualisiert wurden. Stellen Sie zudem sicher, dass der FQDN dem SSL-Zertifikat entspricht.
Die aktualisierten FQDN- und Portwerte werden schließlich an die Zielkomponenten weitergegeben. Um sicherzustellen, dass dies sofort geschieht, starten Sie die Website erneut.
Wiederholen Sie die Schritte 2 und 3 auf allen Computern, die die Komponente hosten.
Richten Sie gegebenenfalls das DNS ein, um Anforderungen an die entsprechende Stelle weiterzuleiten.
Richten Sie erneut eine Vertrauensbeziehung zwischen allen betroffenen Komponenten ein, wie im nächsten Abschnitt beschrieben.
Erneutes Einrichten einer Vertrauensbeziehung
Windows Azure Pack ist eine anspruchsfähige Anwendung, die Token und Ansprüche verwendet, um Endbenutzer zu authentifizieren und zu autorisieren. Derartige Anwendungen verwenden die Identität des Tokenausstellers nicht, so lange das Token einige Bedingungen erfüllt, wie die Signatur durch einen vertrauenswürdigen Schlüssel. Weitere Informationen finden Sie unter Anspruchsfähige Anwendungen.
Mit anspruchsbasierter Authentifizierung vertraut ein System einem STS, um seine Token auszugeben. Allerdings impliziert dies nicht unbedingt, dass dieses STS tatsächlich die Benutzerauthentifizierung ausführt. Es ist möglich, dass das STS die Benutzerauthentifizierungsanforderung (oder den Verbund) an ein anderes STS delegiert, dem das erste STS vertraut. Diese Kette von STSs, die sich vertrauen und Anforderungen delegieren, ist gängig und flexibel. Es gibt unzählige Topologien von Vertrauensbeziehungen. Systemadministratoren müssen die am besten geeignete Topologie auswählen, um die Geschäftsanforderungen zu erfüllen.
Sie können beispielsweise Windows Azure Pack-Verwaltungsportale konfigurieren, um AD FS für die Authentifizierung von Benutzern zu vertrauen. Abhängig von der AD FS-Konfiguration kann AD FS dann eine der folgenden Aktionen ausführen:
AD FS kann Benutzer direkt authentifizieren (mithilfe der Active Directory-Anmeldeinformationen des Verwaltungsportals).
AD FS kann aus der Anforderung einen Verbund für einen anderen STS erstellen.
Im zweiten Fall können Sie beispielsweise den Windows Azure-Active Directory-Zugriffssteuerungsdienst (ACS) als STS verwenden. ACS kann dann aus der Anforderung einen Verbund für einen weiteren STS erstellen, wie Windows Live. In diesem Fall authentifiziert tatsächlich Windows Live den Benutzer, der Windows Live-Anmeldeinformationen verwendet. Dies ist eine Möglichkeit, die Windows Live-, Google- oder Facebook-Authentifizierung in Windows Azure Pack zu aktivieren.
Wichtig
Da die Endpunkte verwendet werden, um Benutzer an die nächste Komponente in der Vertrauenskette weiterzuleiten, müssen alle Endpunkte in allen Komponenten ordnungsgemäß konfiguriert sein, um sicherzustellen, dass der Verbund erfolgreich ist.
Wenn Sie einen Verwaltungsportalendpunkt ändern, müssen Sie das STS aktualisieren, dem das Portal direkt vertraut.
Stellen Sie sicher, dass Sie den FQDN und die Portänderungen in STS für die Verbundmetadaten-URL der vertrauenden Seite und dann die Metadaten aktualisieren.
Wenn Sie einen STS-Endpunkt ändern, müssen Sie alle Komponenten aktualisieren, denen er direkt vertraut (wie Verwaltungsportale und andere STSs).
Der Systemadministrator sollte mit der Vertrauenskette vertraut sein, um zu verstehen, welche Komponenten nach einer Konfigurationsänderung aktualisiert werden müssen.
Erneutes Einrichten der Vertrauensbeziehung für Verwaltungsportale
Wenn der STS-Endpunkt sofort von einem Windows Azure Pack-Verwaltungsportal vertrauenswürdig ist, müssen Sie die Portale mit den neuen Endpunktinformationen aktualisieren. Dies erreichen Sie, indem Sie das Set-MgmtSvcRelyingPartySettings-PowerShell-Cmdlet auf den relevanten Computern verwenden.
Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]Parameter
Erforderlich/optional
Details
Ziel
Erforderlich
Dieser Parameter definiert, welche Komponenten aktualisiert werden müssen.
Zulässige Werte für <Ziele>:
Mandant: Verwenden Sie diesen Wert, um das Verwaltungsportal für Mandanten, die Mandanten-API-Ebene und die Admin-API-Ebene zu konfigurieren.
Admin: Verwenden Sie diesen Wert, um das Verwaltungsportal für Administratoren und die Admin-API-Ebene zu konfigurieren.
Sie können ein einzelnes Ziel oder verschiedene Ziele bereitstellen.
MetadataEndpoint
Erforderlich
Dieser Parameter definiert die vollständige URL des vertrauenswürdigen IdP-STS-Metadatenendpunkts.
Zulässige Werte für die vollständige URL> für< Metadatenendpunkt:
Eine gültige URL, beispielsweise:
http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConnectionString
Erforderlich, es sei denn, PortalConnectionString und ManagementConnectionString werden verwendet.
Dieser Parameter definiert die Verbindungszeichenfolge für die SQL Server, die das Windows Azure Pack-Portalkonfigurationsspeicher und Verwaltungsspeicher hostet.
Ein Datenbankname (Ursprünglicher Katalog) ist nicht erforderlich.
Wenn die Portalkonfigurations- oder Verwaltungsspeicher auf unterschiedlichen SQL Server-Instanzen gehostet werden oder nicht die Standarddatenbanknamen verwendet werden, verwenden Sie stattdessen die Parameter PortalConnectionString und ManagementConnectionString.
DisableCertificateValidation
Optional
Nicht für Produktionsumgebungen empfohlen
Dieser Parameter deaktiviert die SSL-Zertifikatüberprüfung.
Wenn Sie diesen Parameter nicht verwenden, kann das Cmdlet die Metadateninformationen nicht abrufen, wenn der Metadatenendpunkt ein selbstsigniertes SSL-Zertifikat verwendet.
PortalConnectionString
Optional, es sei denn, ConnectionString wurde nicht bereitgestellt
Verwenden Sie diesen Parameter, um die Standardverbindungszeichenfolge für den Konfigurationsspeicher zu überschreiben.
Dies ist erforderlich, wenn
- Der Portalkonfigurationsspeicher befindet sich in einer anderen SQL Instanz.
- Der Portalkonfigurationsspeicher verwendet verschiedene Anmeldeinformationen.
- Sie möchten die Standardverbindungszeichenfolge nicht verwenden.
ManagementConnectionString
Optional, es sei denn, ConnectionString wurde nicht bereitgestellt
Verwenden Sie diesen Parameter, um die Standardverbindungszeichenfolge für den Verwaltungsspeicher zu überschreiben.
Dies ist erforderlich, wenn
- Der WAP-Verwaltungsspeicher befindet sich in einer anderen SQL Instanz.
- Der Verwaltungsspeicher verwendet verschiedene Anmeldeinformationen.
- Sie möchten die Standardverbindungszeichenfolge nicht verwenden.
Beispiel-Cmdlet:
Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”Tipp
-
Dieses Cmdlet kann auf jedem Computer verwendet werden, auf dem die Windows Azure PowerShell Updates für Windows Azure Pack installiert sind.
-
Die aktualisierten Einstellungen werden schließlich an alle betroffenen Komponenten weitergeleitet. Starten Sie für eine schnellere Weiterleitung die betroffenen Komponenten manuell neu, um die neuen Konfigurationswerte sofort abzurufen. Wenn das Ziel "Mandant" ist, sollten Sie alle Verwaltungsportale für Mandanten, Mandanten-API und Admin-API-Komponenten neu starten. Wenn das Ziel "Admin" ist, sollten Sie alle Verwaltungsportale für Administratoren und Admin-API-Komponenten neu starten.
-
Erneutes Einrichten der Vertrauensbeziehung für die Authentifizierungswebsites
Wenn der STS-Endpunkt sofort von einer Windows Azure Pack-Authentifizierungswebsite geändert wurde, müssen Sie die Authentifizierungswebsites mit den neuen Endpunktinformationen aktualisieren. Sie können dies tun, indem Sie das PowerShell-Cmdlet Set-MgmtSvcIdentityProviderSettings PowerShell-Cmdlet auf den relevanten Computern verwenden.
Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]Parameter
Erforderlich/optional
Details
Ziel
Erforderlich
Dieser Parameter definiert, welche Komponenten aktualisiert werden müssen.
Zulässige Werte für <Ziele>:
Mitgliedschaft: Verwenden Sie diesen Wert, um die Mandantenauthentifizierungswebsite (Mitgliedschaft) zu konfigurieren.
Windows: Verwenden Sie diesen Wert, um die Administratorauthentifizierungswebsite (Windows) zu konfigurieren.
Sie können ein einzelnes Ziel oder verschiedene Ziele bereitstellen.
MetadataEndpoint
Erforderlich
Dieser Parameter definiert die vollständige URL des vertrauenswürdigen Komponenten-Metadatenendpunkts.
Zulässige Werte für die vollständige URL> für< Metadatenendpunkt:
Eine gültige URL, beispielsweise:
http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary
Optional
Jede Authentifizierungswebsite unterstützt bis zu zwei vertrauende Seiten.
Schließen Sie diesen Parameter ein, um eine zweite vertrauende Seite zu konfigurieren, statt die standardmäßige vertrauende Seite zu überschreiben.
ConnectionString
Erforderlich, es sei denn, PortalConnectionString wird verwendet
Dieser Parameter definiert die Verbindungszeichenfolge für die SQL Server, die die Windows Azure Pack-Konfigurationsspeicher hostet.
Ein Datenbankname (Ursprünglicher Katalog) ist nicht erforderlich.
Wenn der Portalkonfigurationsspeicher einen nicht standardmäßigen Datenbanknamen aufweist, verwenden Sie stattdessen den PortalConnectionString-Parameter.
DisableCertificateValidation
Optional
Nicht für Produktionsumgebungen empfohlen
Dieser Parameter deaktiviert die SSL-Zertifikatüberprüfung.
Wenn Sie diesen Parameter nicht verwenden, kann das Cmdlet die Metadateninformationen nicht abrufen, wenn der Metadatenendpunkt ein selbstsigniertes SSL-Zertifikat verwendet.
PortalConnectionString
Optional, es sei denn, ConnectionString wurde nicht bereitgestellt
Verwenden Sie diesen Parameter, um die Standardverbindungszeichenfolge für den Konfigurationsspeicher zu überschreiben.
Dies ist erforderlich, wenn
- Der Portalkonfigurationsspeicher verwendet verschiedene Anmeldeinformationen.
- Sie möchten die Standardverbindungszeichenfolge nicht verwenden.
Beispiel-Cmdlet:
Set-MgmtSvcIdentityProviderSettings –Target Membership –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”Tipp
-
Dieses Cmdlet kann auf jedem Computer verwendet werden, auf dem die Windows Azure PowerShell Updates für Windows Azure Pack installiert sind.
-
Die aktualisierten Einstellungen werden schließlich an alle betroffenen Komponenten weitergeleitet. Starten Sie für eine schnellere Weiterleitung die betroffenen Komponenten manuell neu, um die neuen Konfigurationswerte sofort abzurufen. Wenn das Ziel "Mitgliedschaft" ist, sollten Sie alle Ihre Mandantenauthentifizierungswebsites (Mitgliedschaft) neu starten. Wenn das Ziel "Admin" ist, sollten Sie alle Ihre Administratorauthentifizierungswebsites (Windows) neu starten.
-