Настройка доступа к экстрасети для служб федерации Active Directory для Windows Server 2012 R2

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

В данной теме описана установка роли Удаленного доступа при помощи роли прокси-службы веб-приложения и настройка сервера прокси-службы веб-приложения для подключения к серверу служб федерации Active-Directory (AD FS).

2.2. Установка роли удаленного доступа

Для развертывания Прокси-службы веб-приложения, необходимо установить роль Удаленного доступа при помощи службы роли прокси-службы веб-приложения на сервер, который будет работать в качестве сервера прокси-службы веб-приложения.

Повторите данную процедуру для всех серверов, которые необходимо развернуть в качестве сервера прокси-службы веб-приложения.

Для установки службы роли прокси-службы веб-приложения через Пользовательский Интерфейс

  1. на сервере прокси-службы веб приложения в консоли диспетчера сервером на Панели мониторинга, щелкните Добавить роли и компоненты.

  2. В Мастере добавления ролей и компонентов, щелкните Далее три раза, чтобы перейти в окно выбора роли сервера.

  3. В диалоговом окне Выбор ролей сервера выберите пункт Удаленный доступ и нажмите кнопку Далее.

  4. Щелкните дважды Далее.

  5. В диалогеВыбрать службы роли, выберите Прокси-служба Веб-приложения, щелкните Добавить компоненты, затем щелкните Далее.

  6. В диалоговом окне Подтверждение выбранных элементов для установки нажмите кнопку Установить.

  7. В диалоговом окне Ход установки убедитесь в успешном завершении установки, а затем нажмите кнопку Закрыть.

Для установки службы роли прокси-службы веб-приложения через Windows PowerShel

  1. Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

    Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. Настройка прокси веб-приложения

Необходимо настроить Прокси-службу веб-приложения для подключения к серверу AD FS.

Повторите данную процедуру для всех серверов, которые необходимо развернуть в качестве сервера прокси-службы веб-приложения.

настройки прокси-службы веб-приложения через Пользовательский Интерфейс

  1. На сервере веб-Application Proxy откройте консоль управления удаленным доступом: RAMgmtUI.exeи нажмите клавишу ВВОД. Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да.

  2. В панели навигации, щелкните Прокси-служба веб-приложения.

  3. В консоли управления удаленным доступом в средней панели щелкните Запустить мастер настройки Прокси-службы веб-приложения.

  4. В окне мастера настройки Прокси-службы веб-приложения, в диалоге Добро пожаловать щелкните Далее.

  5. В диалоговом окне Сервер федерации выполните указанные ниже действия и нажмите кнопку Далее.

    • В поле Имя службы федерации, введите полное доменное имя (FQDN) сервера AD FS; например fs.fabrikam.com.

    • В полях Имя пользователя и Пароль, введите учетные данные локального администратора серверов AD FS.

  6. В диалоге Сертификат прокси-службы AD FS, в списке сертификатов установленных на сервере прокси-службы веб-приложения выберите сертификат, который будет использоваться прокси-службой веб-приложения для прокси-службы AD-FS, затем щелкните Далее.

    Выбранным сертификатом должен быть тот, чьим объектом является имя Службы Федерации, например, fs.fabrikam.com.

  7. Просмотрите параметры в диалоговом окне Подтверждение. При необходимости можно скопировать командлет PowerShell, чтобы автоматизировать дополнительные установки. Нажмите Настроить.

  8. В диалоге Результаты, проверьте, что настройка была успешной, затем щелкните Закрыть.

Для настройки Прокси-службы веб-приложения при помощи Windows PowerShell

  1. Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

    Следующая команда предложит ввести учетные данные локального администратора серверов AD FS.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

Оптимизируйте настройки управления перегрузкой между Прокси-службой веб-приложения и серверами AD FS - не является обязательным шагом.

Прокси-служба веб-приложения с выходом в экстрасеть имеет возможность регулировать запросы из нее если задержка между прокси-службой веб-приложения и сервером федерации увеличивается после определенного порога. На основе этой функции прокси-служба веб-приложения будет отклонять запросы на аутентификацию от внешних клиентов если сервер федерации перегружен по показаниям задержки между прокси-службой веб-приложения и сервером федерации на обслуживание запросов аутентификации. Эта функция тесно связана с похожим алгоритмом внедренным в управление нагрузкой в TCP протоколе известная как добавочное увеличение мультипликативное уменьшение (AIMD). Решение работает путем использования окна нагрузки представленного пулом токенов, которые он арендует для каждого входящего запроса в прокси-службу веб-приложения.

В сети периметра с высокой задержкой или сильно нагруженной прокси-службой веб-приложения существует возможность отклонять запросы на аутентификацию если сервер федерации может обработать данные запросы успешно, на основе настроек по умолчанию, которые контролируют данный алгоритм. В такой среде строго рекомендуется модифицировать настройки, чтобы они были менее агрессивными путем выполнения следующих шагов.

  1. На компьютере прокси-службы веб-приложения откройте командное.

  2. Перейдите в каталог ADFS по адресу %WINDIR%\adfs\config.

  3. Измените параметры элемента управления перегрузкой с значений по умолчанию на "<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Сохраните и закройте файл.

  5. Перезапустите службу AD FS, запустив команду net stop adfssrv, а затем "net start adfssrv".

Следующий шаг

Теперь, когда вы убедились, что настроили компьютеры веб-Application Proxy, необходимо установить Windows PowerShell для единого входа в AD FS.

См. также:

Основные понятия

Подготовка сетевой инфраструктуры для настройки доступа к экстрасети
Контрольный список: использование AD FS для внедрения и управления единым входом