Prüfliste: Konfigurieren des Extranetzugriffs für AD FS in älteren Versionen von Windows Server

Gilt für: Azure, Office 365, Power BI, Windows Intune

Die folgende Prüfliste umfasst die Bereitstellungsaufgaben, die zum Bereitstellen zweier Verbundserverproxys erforderlich sind, die Authentifizierungsanforderungen an einen Verbundserver in der neuen Verbundserverfarm weiterleiten.

ChecklistPrüfliste: Bereitstellen ihrer Verbundserver-Proxies

Bereitstellungsaufgabe Links zu Themen in diesem Abschnitt Abgeschlossen

1. Installieren Sie die AD FS-Software auf dem Computer, die zum Verbundserverproxy wird.

Installieren der AD FS-Software auf dem Proxycomputer

Checkbox

2. Konfigurieren Sie die AD FS-Software auf dem Computer, um in der Verbundserverproxyrolle zu handeln, indem Sie den AD FS-Proxykonfigurations-Assistenten verwenden.

Konfigurieren eines Computers für die Partnerverbundserverproxyrolle

Checkbox

3. Überprüfen Sie mit Ereignisanzeige, ob der Verbundserverproxydienst gestartet wurde.

Überprüfen der Funktionstüchtigkeit des Verbundserverproxys

Checkbox

4. Optionaler Schritt –Optimieren der Einstellungen für die Verlastungssteuerung zwischen Web Anwendungsproxy und den AD FS-Servern.

Der über das Extranet zugängliche Verbundserverproxy kann Anforderungen aus dem Extranet drosseln, wenn die Latenz zwischen dem Verbundserverproxy und dem Verbundserver über einen bestimmten Schwellenwert hinaus zunimmt. Basierend auf dieser Funktion weist der Verbundserverproxy externe Clientauthentifizierungsanforderung zurück, wenn der Verbundserver überlastet ist. Dies wird durch die Latenz zwischen dem Verbundserverproxy und dem Verbundserver beim Verarbeiten von Authentifizierungsanforderungen erkannt. Die Funktion ist einem Algorithmus sehr ähnlich, der für die Überlastungssteuerung in TCP eingesetzt und als AIMD (Additive Increase Multiplicative Decrease) bezeichnet wird. Die Lösung verwendet ein Überlastungsfenster, das durch einen Pool von Token dargestellt wird, die für jede eingehende Anforderung an den Verbundserverproxy verleast werden.

In einem DMZ-Netzwerk mit hoher Latenz oder auf einem Verbundserverproxy mit hoher Auslastung ist es möglich, dass Authentifizierungsanforderungen basierend auf den Standardeinstellungen, die diesen Algorithmus steuern, selbst dann zurückgewiesen werden, wenn der Verbundserver diese Anforderungen erfolgreich verarbeiten kann. In derartigen Umgebungen wird dringend empfohlen, die strikten Einstellungen mithilfe der folgenden Schritte zu lockern.

  1. Starten Sie auf dem Verbundserverproxy-Computer eine Eingabeaufforderung mit erhöhten Rechten.

  2. Navigieren Sie zum ADFS-Verzeichnis. Für Windows Server 2012 befindet es sich bei %windir%\ADFS. Für Windows Server 2008 und Windows Server 2008 R2 befindet es sich bei %programfiles%\Active Directory-Verbunddienste (AD FS) 2.0.

  3. Ändern Sie die Einstellungen für die Verlastungskontrolle aus ihren Standardwerten in "<congestionControl latenzyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Speichern und schließen Sie die Datei.

  5. Starten Sie den AD FS-Dienst neu, indem Sie "net stop adfssrv" und dann "net start adfssrv" ausführen.

Weitere Informationen

Konzepte

Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens