Share via

Lista de verificação: configurar o acesso de extranet para o AD FS em versões herdadas do servidor Windows

  • Artigo

Aplica-se a: Azure, Office 365, Power BI Windows Intune

A lista de verificação a seguir inclui as tarefas de implantação necessárias para implantar dois proxies de servidor de federação que redirecionarão as solicitações de autenticação para um servidor de federação no novo farm de servidores de federação.

ChecklistLista de verificação: implantar os proxies do servidor de federação

Tarefa de implantação Links para tópicos desta seção Concluído

1. Instale o software do AD FS no computador que se tornará o proxy do servidor de federação.

Instalar o software AD FS no computador proxy

 Checkbox

2. Configure o software do AD FS no computador para atuar na função proxy do servidor de federação usando o Assistente de Configuração de Proxy do Servidor de Federação do AD FS.

Configurar um computador para a função proxy do servidor de federação

 Checkbox

3. Usando Visualizador de Eventos, verifique se o serviço de proxy do servidor de federação foi iniciado.

Verificar se o proxy de servidor de federação está funcionando

 Checkbox

4. Etapa opcional – Otimizar as configurações de controle de congestionamento entre Proxy de Aplicativo Web e os servidores do AD FS.

O proxy do servidor de federação direcionado para a extranet é capaz de limitar o fluxo de pedidos da extranet se a latência entre o proxy do servidor de federação e os incrementos do servidor de federação ultrapassar um certo limite. Baseado neste recurso, o proxy do servidor de federação rejeitará pedidos de autenticação de clientes externos se o servidor de federação for sobrecarregado como detectado pela latência entre o proxy do servidor de federação e o servidor de federação para servir os pedidos de autenticação. Está intimamente relacionado a um algoritmo similar aplicado para controle de congestionamento no TCP conhecido como Incremento Aditivo Diminuição Multiplicativa (AIMD). A solução funciona usando uma janela de congestionamento representada por um pool de tokens que concede a cada pedido de entrada ao proxy do servidor de federação.

Em uma rede DMZ de latência alta ou um proxy do servidor de federação altamente carregado, é possível rejeitar os pedidos de autenticação mesmo que o servidor de federação possa satisfazer esses pedidos com sucesso baseado nas configurações padrão que controlam este algoritmo. Em tal ambiente, é altamente recomendável modificar as configurações para serem menos agressivas realizando os seguintes passos.

  1. Em seu computador proxy do servidor de federação, abra uma janela elevada de comando.

  2. Navegue até ao diretório ADFS. Para Windows Server 2012, está em %windir%\ADFS. Para Windows Server 2008 e Windows Server 2008 R2, ele está em %programfiles%\Serviços de Federação do Active Directory (AD FS) 2.0.

  3. Altere as configurações de controle de congestionamento de seus valores padrão para '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Salve e feche o arquivo.

  5. Reinicie o serviço do AD FS executando 'net stop adfssrv' e, em seguida, 'net start adfssrv'.

Consulte Também

Conceitos

Lista de verificação: usar o AD FS para implementar e gerenciar o logon único