Elenco di controllo: Configurare l'accesso extranet per AD FS nelle versioni legacy di Windows Server

  • Articolo

Si applica a: Azure, Office 365, Power BI, Windows Intune

Il seguente elenco di controllo include le attività di distribuzione necessarie alla distribuzione di due proxy server federativi che reindirizzeranno le richieste di autenticazione al server federativo della nuova server farm federativa.

ChecklistElenco di controllo: Distribuire i proxy del server federativo

Operazione di distribuzione Collegamenti agli argomenti di questa sezione Completato

1. Installare il software AD FS nel computer che diventerà il proxy del server federativo.

Installare il software ADFS nel computer proxy

 Checkbox

2. Configurare il software AD FS nel computer per agire nel ruolo proxy del server federativo usando la Configurazione guidata proxy del server federativo AD FS.

Configurare un computer per il ruolo proxy del server federativo

 Checkbox

3. Usando Visualizzatore eventi, verificare che sia stato avviato il servizio proxy del server federativo.

Verifica dell'operatività del proxy server federativo

 Checkbox

4. Passaggio facoltativo -Ottimizzare le impostazioni di controllo della congestione tra i Application Proxy Web e i server AD FS.

Il proxy server federativo Extranet è in grado di limitare le richieste dalla rete Extranet se la latenza tra il proxy server federativo e il server federativo supera una determinata soglia. In base a questa funzionalità, il proxy server federativo rifiuterà le richieste di autenticazione client esterne in caso di sovraccarico del server federativo rilevato dalla latenza tra il proxy server federativo e il server federativo per la gestione delle richieste di autenticazione. Questo è strettamente correlato a un algoritmo simile utilizzato per il controllo della congestione in TCP, ovvero AIMD (Additive Increase Multiplicative Decrease). La soluzione funziona utilizzando una finestra di congestione rappresentata da un pool di token che vengono concessi a ogni richiesta in ingresso per il proxy server federativo.

In una rete perimetrale con latenza elevata o un proxy server federativo con carico elevato è possibile che le richieste di autenticazione vengano rifiutate, anche se il server federativo è in grado di soddisfarle in base alle impostazioni predefinite che controllano questo algoritmo. In un ambiente di questo tipo è consigliabile modificare le impostazioni in modo che siano meno aggressive, effettuando le operazioni descritte di seguito.

  1. Nel computer proxy server federativo aprire una finestra di comando con privilegi elevati.

  2. Passare alla directory di ADFS. Per Windows Server 2012, è a %windir%\ADFS. Per Windows Server 2008 e server 2008 R2, è a %programfiles%\Windows Active Directory Federation Services 2.0.

  3. Modificare le impostazioni del controllo della congestione dai valori predefiniti a '<congestionControl latenzaThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Salvare e chiudere il file.

  5. Riavviare il servizio AD FS eseguendo 'net stop adfssrv' e quindi 'net start adfssrv'.

Vedere anche

Concetti

Elenco di controllo: Uso di ADFS per implementare e gestire Single Sign-On