Liste de contrôle : Configurer l’accès extranet pour AD FS sur les versions héritées de Windows Server
S’applique à : Azure, Office 365, Power BI, Windows Intune
La liste de vérification suivante inclut les tâches de déploiement nécessaires au déploiement des deux serveurs proxys de fédération qui redirigeront les demandes d’authentification vers un serveur de fédération de votre nouvelle batterie de serveurs de fédération.
Liste de contrôle : Déployer vos proxys de serveur de fédération
Tâche de déploiement | Liens vers les rubriques de cette section | Effectué |
---|---|---|
1. Installez le logiciel AD FS sur l’ordinateur qui deviendra le proxy du serveur de fédération. |
||
2. Configurez le logiciel AD FS sur l’ordinateur pour agir dans le rôle proxy du serveur de fédération à l’aide de l’Assistant Configuration du proxy du serveur de fédération AD FS. |
Configurer un ordinateur pour le rôle proxy du serveur de fédération |
|
3. En utilisant observateur d'événements, vérifiez que le service proxy du serveur de fédération a démarré. |
Vérifier que le serveur proxy de fédération est opérationnel |
|
4. Étape facultative - Optimiser les paramètres de contrôle de congestion entre les Proxy d'application Web et les serveurs AD FS. |
L'extranet faisant face au serveur proxy de fédération est en mesure de limiter les demandes provenant de l'extranet si le temps de réponse (ou latence) entre le serveur proxy de fédération et le serveur de fédération s'accroît au-delà d'une certaine limite. Avec cette fonctionnalité, le serveur proxy de fédération rejette les demandes d'authentification des clients externes si le serveur de fédération est surchargé, ce qui est mis en évidence par le temps de réponse détecté entre le serveur proxy de fédération et le serveur de fédération pour traiter les demandes d'authentification. Cela a un lien étroit avec un algorithme similaire employé pour le contrôle de congestion dans TCP, appelé AIMD (Additive Increase Multiplicative Decrease). La solution utilise une fenêtre de congestion représentée par un pool de jetons qu'elle loue à chaque demande entrante adressée au serveur proxy de fédération. Dans un réseau DMZ à latente élevée ou sur un serveur proxy de fédération en forte charge, il est possible que les demandes d'authentification soient rejetées sur la base des paramètres par défaut qui contrôlent cet algorithme, même si le serveur de fédération peut satisfaire ces demandes. Dans ce type d'environnement, nous vous recommandons vivement de modifier les paramètres afin qu'ils soient moins agressifs. Pour cela, procédez comme suit :
|