Konfigurieren des Extranetzugriffs für AD FS unter Windows Server 2012 R2

  • Artikel

Gilt für: Azure, Office 365, Power BI, Windows Intune

In diesem Thema wird beschrieben, wie Sie die Remotezugriffsrolle mit dem Webanwendungsproxy-Rollendienst installieren und wie Sie den Webanwendungsproxy-Server so konfigurieren, dass er eine Verbindung mit einem Server mit den Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) herstellt.

2.2. Installieren der Remotezugriffsrolle

Zum Bereitstellen des Webanwendungsproxys müssen Sie die Remotezugriffsrolle mit dem Webanwendungsproxy-Rollendienst auf einem Server installieren, der als Webanwendungsproxy-Server fungiert.

Wiederholen Sie dieses Verfahren für alle Server, die Sie als Webanwendungsproxy-Server bereitstellen möchten.

So installieren Sie den Webanwendungsproxy-Rollendienst über die Benutzeroberfläche

  1. Klicken Sie auf dem Webanwendungsproxy-Server in der Server-Manager-Konsole im Dashboard auf Rollen und Features hinzufügen.

  2. Klicken Sie in Assistent zum Hinzufügen von Rollen und Features dreimal auf Weiter, um den Bildschirm zum Auswählen der Serverrolle aufzurufen.

  3. Wählen Sie im Dialogfeld Serverrollen auswählen die Option Remotezugriff aus, und klicken Sie dann auf Weiter.

  4. Klicken Sie zweimal auf Weiter.

  5. Wählen Sie im Dialogfeld Rollendienste auswählen die Option Webanwendungsproxy aus, und klicken Sie auf Features hinzufügen und anschließend auf Weiter.

  6. Klicken Sie im Dialogfeld Installationsauswahl bestätigen auf Installieren.

  7. Überprüfen Sie im Dialogfeld Installationsstatus, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

So installieren Sie den Webanwendungsproxy-Rollendienst über Windows PowerShell

  1. Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

    Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Konfigurieren des Webanwendungsproxys

Sie müssen den Webanwendungsproxy so konfigurieren, dass er eine Verbindung mit einem AD FS-Server herstellt.

Wiederholen Sie dieses Verfahren für alle Server, die Sie als Webanwendungsproxy-Server bereitstellen möchten.

So konfigurieren Sie den Webanwendungsproxy über die Benutzeroberfläche

  1. Öffnen Sie auf dem Web Anwendungsproxy Server die Remotezugriffsverwaltungskonsole: RAMgmtUI.exe, und drücken Sie dann die EINGABETASTE. Falls das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass Sie die angezeigte Aktion wünschen, und klicken Sie anschließend auf Ja.

  2. Klicken Sie im Navigationsbereich auf Webanwendungsproxy.

  3. Klicken Sie in der Remotezugriffsverwaltungskonsole im mittleren Bereich auf "Web Anwendungsproxy Konfigurations-Assistent ausführen".

  4. Klicken Sie im Web Anwendungsproxy Konfigurations-Assistenten im Dialogfeld "Willkommen" auf "Weiter".

  5. Führen Sie im Dialogfeld Verbundserver folgende Schritte aus, und klicken Sie dann auf Weiter:

    • Geben Sie im Feld Verbunddienstname den vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des AD FS-Servers ein, z. B. "fs.fabrikam.com".

    • Geben Sie in den Feldern Benutzername und Kennwort die Anmeldeinformationen eines lokalen Administratorkontos auf den AD FS-Servern ein.

  6. Wählen Sie im Dialogfeld AD FS-Proxyzertifikat in der Liste der derzeit auf dem Webanwendungsproxy-Server installierten Zertifikate ein Zertifikat aus, das vom Webanwendungsproxy für AD FS-Proxyfunktionen verwendet werden soll, und klicken Sie dann auf Weiter.

    Das hier ausgewählte Zertifikat sollte das Zertifikat sein, dessen Antragsteller dem Verbunddienstnamen entspricht, z. B. "fs.fabrikam.com".

  7. Überprüfen Sie im Dialogfeld Bestätigung die Einstellungen. Sie können ggf. das PowerShell-Cmdlet kopieren, um weitere Installationen zu automatisieren. Klicken Sie auf Konfigurieren.

  8. Überprüfen Sie im Dialogfeld Ergebnisse, ob die Konfiguration erfolgreich war, und klicken Sie dann auf Schließen.

So konfigurieren Sie den Webanwendungsproxy über Windows PowerShell

  1. Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

    Durch den folgenden Befehl werden Sie aufgefordert, Anmeldeinformationen eines lokalen Administratorkontos auf den AD FS-Servern einzugeben.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Optimieren der Einstellungen für die Überlastungssteuerung zwischen Webanwendungsproxy und AD FS-Servern – optionaler Schritt

Der Extranet-Webanwendungsproxy kann Anforderungen aus dem Extranet drosseln, wenn die Latenz zwischen dem Webanwendungsproxy und dem Verbundserver einen bestimmten Schwellenwert überschreitet. Auf Grundlage dieser Funktion werden externe Clientauthentifizierungsanforderungen vom Webanwendungsproxy abgelehnt, wenn der Verbundserver überlastet ist. Die Überlastung ist an der Latenz zwischen dem Webanwendungsproxy und dem Verbundserver erkennbar, der Authentifizierungsanforderungen verarbeitet. Die Funktion ist einem Algorithmus sehr ähnlich, der für die Überlastungssteuerung in TCP eingesetzt und als AIMD (Additive Increase Multiplicative Decrease) bezeichnet wird. Die Lösung nutzt ein Überlastungsfenster, das durch einen Pool von Token dargestellt wird, die an jede beim Webanwendungsproxy eingehende Anforderung geleast wird.

In einem DMZ-Netzwerk mit hoher Latenz oder bei einem stark ausgelasteten Webanwendungsproxy können Authentifizierungsanforderungen sogar abgelehnt werden, obwohl der Verbundserver diese Anforderungen basierend auf den Standardeinstellungen, durch die dieser Algorithmus gesteuert wird, erfolgreich verarbeiten kann. In derartigen Umgebungen wird dringend empfohlen, die strikten Einstellungen mithilfe der folgenden Schritte zu lockern.

  1. Öffnen Sie auf dem Webanwendungsproxy-Computer ein Befehlsfenster mit erhöhten Rechten.

  2. Navigieren Sie zum ADFS-Verzeichnis unter %WINDIR%\adfs\config.

  3. Ändern Sie die Einstellungen für die Verlastungskontrolle aus ihren Standardwerten in "<congestionControl latenzyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Speichern und schließen Sie die Datei.

  5. Starten Sie den AD FS-Dienst neu, indem Sie "net stop adfssrv" und dann "net start adfssrv" ausführen.

Nächster Schritt

Nachdem Sie überprüft haben, dass Sie Web-Anwendungsproxy-Computer konfiguriert haben, besteht der nächste Schritt darin, Windows PowerShell für die einmalige Anmeldung mit AD FS zu installieren.

Weitere Informationen

Konzepte

Vorbereiten der Netzwerkinfrastruktur für die Konfiguration des Extranetzugriffs
Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens