Share via

Контрольный список. Настройка доступа экстрасети для AD FS в устаревших версиях сервера Windows

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

В контрольном списке ниже представлены задачи по развертыванию двух прокси-серверов федерации, которые будут перенаправлять запросы проверки подлинности на сервер федерации в созданной ферме серверов федерации.

ChecklistКонтрольный список. Развертывание прокси-серверов федерации

Задача развертывания Ссылки на подразделы этого раздела Завершено

1. Установите программное обеспечение AD FS на компьютере, который станет прокси-сервером федерации.

Установка служб федерации Active Directory на прокси-компьютере

 Checkbox

2. Настройте программное обеспечение AD FS на компьютере для работы с ролью прокси-сервера федерации с помощью мастера настройки прокси-сервера федерации AD FS.

Настройка компьютера для роли прокси-сервера федерации

 Checkbox

3. С помощью Просмотр событий убедитесь, что служба прокси-сервера федерации запущена.

Проверка работоспособности прокси-сервера федерации

 Checkbox

4. Необязательный шаг — оптимизация параметров управления перегрузкой между веб-Application Proxy и серверами AD FS.

Прокси-сервер федерации, граничащий с внешней сетью, может регулировать интенсивность поступления запросов из внешней сети, если задержка соединения между прокси-сервером федерации и сервером федерации превышает определенный порог. При использовании этой возможности прокси-сервер федерации отклоняет запросы на проверку подлинности от внешнего клиента, если сервер федерации перегружен (об этом говорит задержка выполнения запросов на проверку подлинности в службе между прокси-сервером федерации и сервером федерации). Эта функция тесно связана с похожим алгоритмом внедренным в управление нагрузкой в TCP протоколе известная как добавочное увеличение мультипликативное уменьшение (AIMD). Решение работает с использованием окна перегрузки, представляющего собой пул токенов, выпускаемых для каждого запроса, поступающего на прокси-сервер федерации.

В сети демилитаризованной зоны с большой задержкой или на сильно загруженном прокси-сервере федерации параметры по умолчанию, контролирующие этот алгоритм, позволяют отклонять запросы на проверку подлинности, даже если сервер федерации может успешно обработать эти запросы. В такой среде строго рекомендуется модифицировать настройки, чтобы они были менее агрессивными путем выполнения следующих шагов.

  1. На компьютере, являющемся прокси-сервером федерации, откройте окно командной строки с повышенными привилегиями.

  2. Перейдите в папку ADFS. Для Windows Server 2012 она находится на %windir%\ADFS. Для Windows Server 2008 и Windows Server 2008 R2 она находится в %programfiles%\службы федерации Active Directory (AD FS) 2.0.

  3. Измените параметры элемента управления перегрузкой с значений по умолчанию на <congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Сохраните и закройте файл.

  5. Перезапустите службу AD FS, выполнив команду net stop adfssrv, а затем net start adfssrv.

См. также:

Основные понятия

Контрольный список: использование AD FS для внедрения и управления единым входом