FQDN's en poorten opnieuw configureren in Windows Azure Pack

Artikel
09/07/2016

Van toepassing op: Windows Azure Pack

Windows Azure Pack voor Windows Server gebruikt verificatiesysteem op basis van claims om gebruikers te verifiëren en autoriseren. Deze verificatie wordt uitgevoerd door een externe Id Provider Security Token Service (IdP-STS). Het systeem vertrouwt de IdP-STS om de identiteit van gebruikers te verifiëren en een vertrouwde set claims over elke gebruiker op te geven. Er moet een tweerichtingsvertrouwensrelatie met de IdP-STS tot stand worden gebracht tijdens Windows Azure Pack-configuratie, zodat de eindpuntwijzigingen correct worden gecommuniceerd met de betrokken onderdelen.

Om deze vertrouwensrelatie tot stand te brengen, bevatten de volgende Windows Azure Pack-onderdelen metagegevensgegevens beschikbaar.

Beheerportal voor tenants
Beheerportal voor beheerders
Tenantverificatiesite
Beheer verificatiesite

De weergegeven gegevens bevatten alle benodigde vertrouwensinformatie, inclusief de eindpuntinformatie van de verschillende onderdelen. De eindpuntgegevens worden gebruikt om gebruikers om te leiden naar de IdP-STS en terug naar Windows Azure Pack.

Daarom moet elke keer dat een eindpuntconfiguratie voor een onderdeel wordt gewijzigd, de metagegevensgegevens worden bijgewerkt en moet de vertrouwensrelatie opnieuw worden ingesteld met behulp van de bijgewerkte metagegevens.

Windows Azure Pack-installatie en -configuratie biedt standaardwaarden voor de weergegeven metagegevens en eindpuntgegevens. Standaard gebruikt Windows Azure Pack de machine en domeinnaam als FQDN (Fully Qualified Domain Name) van elk onderdeel. Ook worden vooraf gedefinieerde poortnummers voor elk onderdeel ingesteld.

Als de hostnaam van uw tenantmachine bijvoorbeeld 'mytenantmachine' is en uw domein 'contoso.com' is, is https://mytenantmachine.contoso.com:30081de standaardconfiguratie van de tenantportal.

In sommige scenario's moeten de standaardeindpuntwaarden worden gewijzigd. Bijvoorbeeld:

Als u het standaard zelfondertekende SSL-certificaat van een onderdeel bijwerkt naar een echt certificaat, moet de FQDN van het onderdeel overeenkomen met de FQDN van het certificaat.
Als u een load balancer gebruikt voor meerdere exemplaren van een onderdeel, moet u het eindpunt van de load balancer gebruiken in plaats van het eindpunt van elk onderdeelexemplaren.
Als u de vooraf gedefinieerde poorten wijzigt, moet u de poortinstellingen voor Windows Azure Pack bijwerken. Als u bijvoorbeeld overschakelen naar de standaard HTTPS-poort 443, moet u de poortinstellingen voor Windows Azure Pack bijwerken.

In dergelijke gevallen moeten de metagegevensgegevens worden bijgewerkt en moet de vertrouwensrelatie opnieuw worden ingesteld, zoals wordt uitgelegd in de volgende stappen.

De FQDN- en poortinstellingen bijwerken

Voer de cmdlet Set–MgmtSvcFqdn uit op de computer die u wilt bijwerken.

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

Parameter	Vereist/optioneel	Details
-ConnectionString	Vereist	Deze parameter definieert de connection string voor de SQL Server die als host fungeert voor de Windows Azure Pack-configuratiearchieven. Er is geen databasenaam (initiële catalogus) vereist. Referenties die zijn opgenomen in de tekenreeks, moeten schrijfmachtigingen hebben voor de configuratiearchieven. Bijvoorbeeld: `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server: het adres van de SQL Server die als host fungeert voor de configuratiedatabases van de beheerportal. $userId: een SQL gebruiker met schrijfmachtigingen voor de configuratiedatabases van de beheerportal. $password : het wachtwoord voor het $userId-account.
-FQDN	Optioneel	Deze parameter wordt gebruikt om de nieuwe FQDN voor de computer op te geven. Vervang $fqdn door de nieuwe FQDN, niet inclusief het protocolvoorvoegsel. Bijvoorbeeld mynewfqdn.contoso.com. U kunt deze parameter weglaten als u de FQDN niet wijzigt.
-Naamruimte	Vereist	Deze parameter wordt gebruikt om aan te geven welk onderdeel moet worden geconfigureerd. Mogelijke waarden: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.
-Port	Optioneel	Deze parameter wordt gebruikt om de nieuwe poort te definiëren. Vervang $port door de nieuwe poort. Bijvoorbeeld 443. Opmerking Als u de standaard HTTPS-poort 443 gebruikt, wordt de poortsectie van het eindpunt verwijderd. U kunt deze parameter weglaten als u de poort niet wijzigt.

Controleer in Internet Information Services Manager of de FQDN- en poortwaarden zijn bijgewerkt. Zorg er ook voor dat de FQDN overeenkomt met het SSL-certificaat.
De bijgewerkte FQDN- en poortwaarden worden uiteindelijk doorgegeven aan de doelonderdelen. Start de website opnieuw op om ervoor te zorgen dat dit onmiddellijk gebeurt.
Herhaal stap 2 en 3 op alle computers waarop het onderdeel wordt gehost.
Stel indien nodig uw DNS in om aanvragen door te sturen naar de juiste locatie.
Stel de vertrouwensrelatie tussen alle betrokken onderdelen opnieuw in zoals beschreven in de volgende sectie.

Vertrouwensrelatie opnieuw tot stand brengen

Windows Azure Pack is een claimbewuste toepassing die gebruikmaakt van tokens en claims om eindgebruikers te verifiëren en autoriseren. Dergelijke toepassingen gebruiken niet de identiteit van de tokenverlener, zolang het token voldoet aan bepaalde voorwaarden, zoals ondertekend door een vertrouwde sleutel. Zie Claimbewuste toepassingen voor meer informatie.

Met verificatie op basis van claims vertrouwt een systeem een STS om de tokens uit te geven. Dit betekent echter niet noodzakelijkerwijs dat deze STS de gebruikersverificatie daadwerkelijk uitvoert. Het is mogelijk dat de STS de gebruikersverificatieaanvraag (of federatie) delegeert aan een andere STS die wordt vertrouwd door de eerste STS. Deze keten van STSs die elkaar vertrouwen en het delegeren van aanvragen is gebruikelijk en flexibel. Er zijn eindeloze topologieën van vertrouwensrelaties. Systeembeheerders moeten de meest geschikte topologie kiezen om te voldoen aan bedrijfsvereisten.

U kunt bijvoorbeeld Windows Azure Pack-beheerportals configureren om AD FS te vertrouwen om gebruikers te verifiëren. Afhankelijk van de AD FS-configuratie kan AD FS vervolgens een van de volgende handelingen uitvoeren:

AD FS kan gebruikers rechtstreeks verifiëren met behulp van de Active Directory-referenties van de beheerportal.
AD FS kan de aanvraag federeren naar een andere STS.

In het tweede geval kunt u bijvoorbeeld Windows Azure Access Active Directory Control Service (ACS) gebruiken als de andere STS. ACS kan de aanvraag vervolgens opnieuw federeren naar een andere STS, zoals Windows Live. In dit geval verifieert Windows Live de gebruiker daadwerkelijk met behulp van Windows Live-referenties. Dit is een manier om Windows Live-, Google- of Facebook-verificatie in te schakelen in Windows Azure Pack.

Belangrijk

Omdat de eindpunten worden gebruikt om gebruikers om te leiden naar het volgende onderdeel in de vertrouwensketen, moeten alle eindpunten correct worden geconfigureerd in alle onderdelen om ervoor te zorgen dat de federatie is geslaagd.

Als u een eindpunt van de beheerportal wijzigt, moet u de STS bijwerken die de portal onmiddellijk vertrouwt.

Zorg ervoor dat u de FQDN- en poortwijzigingen in STS bijwerkt voor de federatieve metagegevens-URL van de relying party en vernieuw vervolgens de metagegevens.

Als u een STS-eindpunt wijzigt, moet u alle onderdelen die er rechtstreeks door worden vertrouwd, bijwerken, zoals de beheerportals en andere STS's.

De systeembeheerder moet bekend zijn met de vertrouwensketen om te begrijpen welke onderdelen moeten worden bijgewerkt na een configuratiewijziging.

Vertrouwensrelatie voor de beheerportals opnieuw tot stand brengen

Als het STS-eindpunt onmiddellijk wordt vertrouwd door een Windows Azure Pack-beheerportal is gewijzigd, moet u de portals bijwerken met de nieuwe eindpuntgegevens. U kunt dit doen met behulp van de Set-MgmtSvcRelyingPartySettings PowerShell-cmdlet op de relevante computers.

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

Parameter	Vereist/optioneel	Details
Doel	Vereist	Met deze parameter wordt gedefinieerd welke set onderdelen moet worden bijgewerkt. Toegestane waarden voor <doelen>: Tenant: gebruik deze om de beheerportal te configureren voor tenants, de tenant-API-laag en de beheer-API-laag. Beheer: gebruik dit om de beheerportal te configureren voor beheerders en de api-laag voor beheerders. U kunt één doel of een matrix met doelen opgeven.
MetadataEndpoint	Vereist	Deze parameter definieert de volledige URL van het vertrouwde IdP-STS-metagegevenseindpunt. Toegestane waarden voor volledige URL> voor< metagegevenseindpunt: Een geldige URL, bijvoorbeeld: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
Connectionstring	Vereist, tenzij PortalConnectionString en ManagementConnectionString worden gebruikt.	Met deze parameter definieert u de connection string voor de SQL Server die als host fungeert voor de Windows configuratieopslag en het beheerarchief van de Azure Pack-portal. Er is geen databasenaam (initiële catalogus) vereist. Als de portalconfiguratiearchieven of het beheerarchief worden gehost op verschillende SQL Server exemplaren of niet-standaarddatabasenamen gebruiken, gebruikt u in plaats daarvan de parameters PortalConnectionString en ManagementConnectionString.
DisableCertificateValidation	Optioneel Niet aanbevolen voor productieomgevingen	Met deze parameter wordt ssl-certificaatvalidatie uitgeschakeld. Als u deze parameter niet gebruikt, kan de cmdlet de metagegevensgegevens niet ophalen als het metagegevenseindpunt een zelfondertekend SSL-certificaat gebruikt.
PortalConnectionString	Optioneel, tenzij ConnectionString niet is opgegeven	Gebruik deze parameter om de standaard connection string alleen voor het configuratiearchief te overschrijven. U moet dit doen wanneer - Het portalconfiguratiearchief bevindt zich op een ander SQL exemplaar. - In het portalconfiguratiearchief worden verschillende referenties gebruikt. - U wilt de standaard connection string niet gebruiken.
ManagementConnectionString	Optioneel, tenzij ConnectionString niet is opgegeven	Gebruik deze parameter om de standaard connection string alleen voor het beheerarchief te overschrijven. U moet dit doen wanneer - Het WAP-beheerarchief bevindt zich op een ander SQL exemplaar. - In het beheerarchief worden verschillende referenties gebruikt. - U wilt de standaard connection string niet gebruiken.

Voorbeeld-cmdlet:

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

Tip

Deze cmdlet kan worden gebruikt op elke computer waarop de Windows Azure PowerShell updates voor Windows Azure Pack zijn geïnstalleerd.
De bijgewerkte instellingen worden uiteindelijk doorgegeven aan alle betrokken onderdelen. Voor een snellere doorgifte start u de betrokken onderdelen handmatig opnieuw om de nieuwe configuratiewaarden onmiddellijk op te halen. Als het doel Tenant is, moet u alle beheerportals voor tenants, tenant-API en beheer-API-onderdelen opnieuw starten. Als het doel 'Beheer' is, moet u alle beheerportals opnieuw starten voor beheerders en beheer-API-onderdelen.

Vertrouwensrelatie voor de verificatiesites opnieuw instellen

Als het STS-eindpunt onmiddellijk wordt vertrouwd door een Windows Azure Pack-verificatiesite is gewijzigd, moet u de verificatiesites bijwerken met de nieuwe eindpuntgegevens. U kunt dit doen met behulp van de PowerShell-cmdlet Set-MgmtSvcIdentityProviderSettings PowerShell-cmdlet op de relevante computers.

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

Parameter	Vereist/optioneel	Details
Doel	Vereist	Met deze parameter wordt gedefinieerd welke set onderdelen moet worden bijgewerkt. Toegestane waarden voor <doelen>: Lidmaatschap: gebruik dit om de verificatiesite van de tenant (lidmaatschap) te configureren. Windows: gebruik deze om de verificatiesite voor beheerders (Windows) te configureren. U kunt één doel of een matrix met doelen opgeven.
MetadataEndpoint	Vereist	Met deze parameter definieert u de volledige URL van het eindpunt voor metagegevens van het vertrouwde onderdeel. Toegestane waarden voor volledige URL> voor< metagegevenseindpunt: Een geldige URL, bijvoorbeeld: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary	Optioneel	Elke verificatiesite ondersteunt maximaal twee vertrouwde relying party's. Neem deze parameter op om een tweede relying party te configureren, in plaats van de standaard relying party te overschrijven.
Connectionstring	Vereist, tenzij PortalConnectionString wordt gebruikt	Met deze parameter definieert u de connection string voor de SQL Server die als host fungeert voor de configuratieopslag van de Windows Azure Pack-portal. Er is geen databasenaam (initiële catalogus) vereist. Als het portalconfiguratiearchief een niet-standaarddatabasenaam gebruikt, gebruikt u in plaats daarvan de parameter PortalConnectionString.
DisableCertificateValidation	Optioneel Niet aanbevolen voor productieomgevingen	Met deze parameter wordt ssl-certificaatvalidatie uitgeschakeld. Als u deze parameter niet gebruikt, kan de cmdlet de metagegevensgegevens niet ophalen als het metagegevenseindpunt een zelfondertekend SSL-certificaat gebruikt.
PortalConnectionString	Optioneel, tenzij ConnectionString niet is opgegeven	Gebruik deze parameter om de standaard connection string alleen voor het configuratiearchief te overschrijven. U moet dit doen wanneer - In het portalconfiguratiearchief worden verschillende referenties gebruikt. - U wilt de standaard connection string niet gebruiken.