Compartir a través de

Lista de comprobación: Configuración del acceso de extranet para AD FS en versiones heredadas de Windows Server

  • Artículo

Se aplica a: Azure, Office 365, Power BI, Windows Intune

En la siguiente lista de comprobación se incluyen las tareas de implementación necesarias para implementar dos servidores proxy de federación, que redirigirán las solicitudes de autenticación a un servidor de federación en su nueva granja de servidores de federación.

ChecklistLista de comprobación: Implementación de servidores proxy de federación

Tarea de implementación Vínculos a temas en esta sección Completado

1. Instale el software de AD FS en el equipo que se convertirá en el proxy del servidor de federación.

Instalar el software AD FS en el equipo proxy

 Checkbox

2. Configure el software de AD FS en el equipo para que actúe en el rol proxy del servidor de federación mediante el Asistente para configuración del servidor de federación de AD FS.

Configuración de un equipo para el rol de proxy de servidor de federación

 Checkbox

3. Con Visor de eventos, compruebe que se ha iniciado el servicio proxy del servidor de federación.

Comprobar que el servidor proxy de federación está operativo

 Checkbox

4. Paso opcional- Optimizar la configuración del control de congestión entre web Application Proxy y los servidores de AD FS.

El servidor proxy de federación de acceso desde extranet es capaz de limitar las solicitudes desde la extranet si la latencia entre el servidor proxy de federación y el servidor de federación aumenta más allá de cierto umbral. En función de esta característica, el servidor proxy de federación rechazará las solicitudes de autenticación de clientes externos si el servidor de federación está sobrecargado, según lo detecte la latencia entre el servidor proxy de federación y el servidor de federación ante las solicitudes de autenticación del servicio. Se relaciona estrechamente con un algoritmo similar empleado para el control de congestión en TCP, conocido como AIMD (incremento aditivo/decremento multiplicativo). La solución funciona mediante una ventana de congestión representada por un conjunto de tokens que concede a cada solicitud entrante al servidor proxy de federación.

En una red DMZ de alta latencia o en un servidor proxy de federación muy cargado, es posible que se rechacen las solicitudes de autenticación, incluso si el servidor de federación puede cumplir con estas solicitudes correctamente según la configuración predeterminada que controla este algoritmo. En un entorno como este, se recomienda encarecidamente seguir los pasos siguientes para modificar la configuración a fin de que sea menos agresiva.

  1. En el equipo del servidor proxy de federación, inicia una ventana de comando con privilegios elevados.

  2. Navega al directorio de AD FS. Para Windows Server 2012, está en %windir%\ADFS. Para Windows Server 2008 y Windows Server 2008 R2, se encuentra en %programfiles%\Servicios de federación de Active Directory (AD FS) 2.0.

  3. Cambie la configuración del control de congestión de sus valores predeterminados a '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Guarde y cierre el archivo.

  5. Reinicie el servicio AD FS ejecutando "net stop adfssrv" y luego "net start adfssrv".

Consulte también

Conceptos

Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único