Share via

Liste de contrôle : Configurer l’accès extranet pour AD FS sur les versions héritées de Windows Server

  • Article

S’applique à : Azure, Office 365, Power BI, Windows Intune

La liste de vérification suivante inclut les tâches de déploiement nécessaires au déploiement des deux serveurs proxys de fédération qui redirigeront les demandes d’authentification vers un serveur de fédération de votre nouvelle batterie de serveurs de fédération.

ChecklistListe de contrôle : Déployer vos proxys de serveur de fédération

Tâche de déploiement Liens vers les rubriques de cette section Effectué

1. Installez le logiciel AD FS sur l’ordinateur qui deviendra le proxy du serveur de fédération.

Installer le logiciel AD FS sur l'ordinateur proxy

 Checkbox

2. Configurez le logiciel AD FS sur l’ordinateur pour agir dans le rôle proxy du serveur de fédération à l’aide de l’Assistant Configuration du proxy du serveur de fédération AD FS.

Configurer un ordinateur pour le rôle proxy du serveur de fédération

 Checkbox

3. En utilisant observateur d'événements, vérifiez que le service proxy du serveur de fédération a démarré.

Vérifier que le serveur proxy de fédération est opérationnel

 Checkbox

4. Étape facultative - Optimiser les paramètres de contrôle de congestion entre les Proxy d'application Web et les serveurs AD FS.

L'extranet faisant face au serveur proxy de fédération est en mesure de limiter les demandes provenant de l'extranet si le temps de réponse (ou latence) entre le serveur proxy de fédération et le serveur de fédération s'accroît au-delà d'une certaine limite. Avec cette fonctionnalité, le serveur proxy de fédération rejette les demandes d'authentification des clients externes si le serveur de fédération est surchargé, ce qui est mis en évidence par le temps de réponse détecté entre le serveur proxy de fédération et le serveur de fédération pour traiter les demandes d'authentification. Cela a un lien étroit avec un algorithme similaire employé pour le contrôle de congestion dans TCP, appelé AIMD (Additive Increase Multiplicative Decrease). La solution utilise une fenêtre de congestion représentée par un pool de jetons qu'elle loue à chaque demande entrante adressée au serveur proxy de fédération.

Dans un réseau DMZ à latente élevée ou sur un serveur proxy de fédération en forte charge, il est possible que les demandes d'authentification soient rejetées sur la base des paramètres par défaut qui contrôlent cet algorithme, même si le serveur de fédération peut satisfaire ces demandes. Dans ce type d'environnement, nous vous recommandons vivement de modifier les paramètres afin qu'ils soient moins agressifs. Pour cela, procédez comme suit :

  1. Sur le serveur proxy de fédération, démarrez une fenêtre de commande avec élévation de privilèges.

  2. Accédez au répertoire AD FS. Dans le cas de Windows Server 2012, il se trouve à l'emplacement suivant : %windir%\ADFS. Pour Windows Server 2008 et Windows Server 2008 R2, il se trouve dans %programfiles%\Active Directory Federation Services 2.0.

  3. Modifiez les paramètres de contrôle de congestion de ses valeurs par défaut en «< congestionControl latencyThresholdInMSec="8000 » minCongestionWindowSize="64 » enabled="true » />'.

  4. Enregistrez et fermez le fichier.

  5. Redémarrez les services AD FS en exécutant successivement net stop adfssrv et net start adfssrv.

Voir aussi

Concepts

Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique