Windows Azure Paketinde FQDN'leri ve Bağlantı Noktalarını Yeniden Yapılandırma
Şunlar için geçerlidir: azure paketi Windows
Windows Windows Sunucusu için Azure Paketi, kullanıcıların kimliğini doğrulamak ve yetkilendirmek için talep tabanlı kimlik doğrulama sistemini kullanır. Bu kimlik doğrulaması bir dış Kimlik Sağlayıcısı Güvenlik Belirteci Hizmeti (IdP-STS) tarafından gerçekleştirilir. Sistem, kullanıcıların kimliğini doğrulamak ve her kullanıcı hakkında güvenilir bir talep kümesi sağlamak için IdP-STS'ye güvenir. Uç nokta değişikliklerinin etkilenen bileşenlere düzgün bir şekilde iletilmesi için Windows Azure Paketi yapılandırması sırasında IdP-STS ile iki yönlü bir güven ilişkisi kurulmalıdır.
Bu güven ilişkisini kurmak için aşağıdaki Windows Azure Paketi bileşenleri meta veri bilgilerini kullanıma sunar.
Kiracılar için yönetim portalı
Yöneticiler için yönetim portalı
Kiracı kimlik doğrulama sitesi
kimlik doğrulama sitesini Yönetici
Kullanıma sunulan veriler, farklı bileşenlerin uç nokta bilgileri de dahil olmak üzere gerekli tüm güven bilgilerini içerir. Uç nokta bilgileri, kullanıcıları IdP-STS'ye ve Windows Azure Paketi'ne geri yönlendirmek için kullanılır.
Bu nedenle, bir bileşen için uç nokta yapılandırması her değiştiğinde meta veri bilgileri güncelleştirilmeli ve güven ilişkisi güncelleştirilmiş meta veriler kullanılarak yeniden oluşturulmalıdır.
Windows Azure Paketi yükleme ve yapılandırması, kullanıma sunulan meta veriler ve uç nokta bilgileri için varsayılan değerler sağlar. Varsayılan olarak, Windows Azure Paketi her bileşenin Tam Etki Alanı Adı (FQDN) olarak makine ve etki alanı adını kullanır. Ayrıca her bileşen için önceden tanımlanmış bağlantı noktası numaralarını ayarlar.
Örneğin, kiracı makine ana bilgisayar adınız "mytenantmachine" ve etki alanınız "contoso.com" ise, Kiracı Portalı'nın varsayılan yapılandırması olur https://mytenantmachine.contoso.com:30081.
Bazı senaryolarda varsayılan uç nokta değerleri değiştirilmelidir. Örnek:
Bir bileşenin varsayılan otomatik olarak imzalanan SSL sertifikasını gerçek bir sertifikayla güncelleştirirseniz, bileşenin FQDN'sinin sertifika FQDN'sine uyması gerekir.
Bir bileşenin birden çok örneğinde yük dengeleyici kullanıyorsanız, her bileşen örneğinin uç noktası yerine yük dengeleyici uç noktasını kullanmanız gerekir.
Önceden tanımlanmış bağlantı noktalarını değiştirirseniz Windows Azure Paketi bağlantı noktası ayarlarını güncelleştirmeniz gerekir. Örneğin, varsayılan HTTPS bağlantı noktası 443'e geçmek için Windows Azure Paketi bağlantı noktası ayarlarını güncelleştirmeniz gerekir.
Böyle durumlarda meta veri bilgilerinin güncelleştirilmesi ve aşağıdaki adımlarda açıklandığı gibi güven ilişkisinin yeniden oluşturulması gerekir.
FQDN ve bağlantı noktası ayarlarını güncelleştirmek için
Güncelleştirmek istediğiniz makinede Set–MgmtSvcFqdn cmdlet'ini çalıştırın.
Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]
Parametre
Gerekli/isteğe bağlı
Ayrıntılar
-ConnectionString
Gerekli
Bu parametre, Windows Azure Pack yapılandırma depolarını barındıran SQL Server bağlantı dizesini tanımlar.
Veritabanı adı (İlk Katalog) gerekli değildir.
Dizeye dahil edilen kimlik bilgilerinin yapılandırma depolarında yazma izinleri olmalıdır.
Örnek:
$connectionString = “Data Source=$server;User ID=$userId;Password=$password”
$server : Yönetim portalı yapılandırma veritabanlarını barındıran SQL Server adresi.
$userId: Yönetim portalı yapılandırma veritabanlarına yazma izinlerine sahip SQL bir kullanıcı.
$password : $userId hesabının parolası.
-FQDN
İsteğe Bağlı
Bu parametre, makine için yeni FQDN'yi belirtmek için kullanılır. $fqdn protokol ön eki dahil değil yeni FQDN ile değiştirin. Örneğin, mynewfqdn.contoso.com.
FQDN'yi değiştirmiyorsanız bu parametreyi atlayabilirsiniz.
-Namespace
Gerekli
Bu parametre, hangi bileşenin yapılandırılacağı belirtmek için kullanılır. Olası değerler: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.
-Bağlantı noktası
İsteğe Bağlı
Bu parametre yeni bağlantı noktasını tanımlamak için kullanılır. $port yeni bağlantı noktasıyla değiştirin. Örneğin, 443. Not Varsayılan HTTPS bağlantı noktası 443 kullanıldığında bağlantı noktası bölümü uç noktadan kaldırılır.
Bağlantı noktasını değiştirmiyorsanız bu parametreyi atlayabilirsiniz.
Internet Information Services Yöneticisi'nde FQDN ve bağlantı noktası değerlerinin güncelleştirildiğinden emin olun. Ayrıca FQDN'nin SSL sertifikasıyla eşleştiğinden emin olun.
Güncelleştirilmiş FQDN ve bağlantı noktası değerleri sonunda hedeflenen bileşenlere yayılır. Bunun hemen gerçekleşmesini sağlamak için web sitesini yeniden başlatın.
Bileşeni barındıran tüm makinelerde 2. ve 3. adımları yineleyin.
Gerekirse, DNS'nizi istekleri uygun konuma iletecek şekilde ayarlayın.
Sonraki bölümde açıklandığı gibi, etkilenen tüm bileşenler arasında yeniden güven oluşturun.
Güveni yeniden oluşturma
Windows Azure Paketi, son kullanıcıların kimliğini doğrulamak ve yetkilendirmek için belirteçleri ve talepleri kullanan talep kullanan bir uygulamadır. Bu tür uygulamalar, belirteç güvenilir bir anahtar tarafından imzalanma gibi bazı koşullarla uyumlu olduğu sürece belirteç verenin kimliğini kullanmaz. Daha fazla bilgi için bkz. Talep kullanan uygulamalar.
Talep tabanlı kimlik doğrulaması ile sistem, belirteçlerini vermek için bir STS'ye güvenir. Ancak bu, bu STS'nin gerçekten kullanıcı kimlik doğrulamasını gerçekleştirdiği anlamına gelmez. STS, kullanıcı kimlik doğrulama isteğini (veya federasyonu) ilk STS tarafından güvenilen başka bir STS'ye devreder. Birbirine güvenen ve istekleri temsilci olarak atayan bu STS zinciri yaygın ve esnektir. Güven ilişkilerinin sonsuz olası topolojileri vardır. Sistem yöneticilerinin iş gereksinimlerini karşılamak için en uygun topolojiyi seçmesi gerekir.
Örneğin, Windows Azure Paketi yönetim portallarını kullanıcıların kimliğini doğrulamak için AD FS'ye güvenecek şekilde yapılandırabilirsiniz. AD FS yapılandırmasına bağlı olarak, AD FS aşağıdakilerden birini yapabilir:
AD FS, yönetim portalı Active Directory kimlik bilgilerini kullanarak kullanıcıların kimliğini doğrudan doğrulayabilir.
AD FS, isteği başka bir STS'ye birleştirebilir.
İkinci durumda, örneğin Windows Azure Access Active Directory Denetim Hizmeti'ni (ACS) diğer STS olarak kullanabilirsiniz. ACS daha sonra isteği yeniden Windows Live gibi başka bir STS'ye birleştirebilir. Bu durumda Windows Live, Windows Live kimlik bilgilerini kullanarak kullanıcının kimliğini doğrular. Bu, Windows Azure Paketi'nde Windows Live, Google veya Facebook kimlik doğrulamasını etkinleştirmenin bir yoludur.
Önemli
Uç noktalar, kullanıcıları güven zincirindeki bir sonraki bileşene yönlendirmek için kullanıldığından, federasyonun başarılı olduğundan emin olmak için tüm uç noktaların tüm bileşenlerde doğru yapılandırılması gerekir.
Bir yönetim portalı uç noktasını değiştirirseniz portalın hemen güvendiği STS'yi güncelleştirmeniz gerekir.
Bağlı olan taraf federasyon meta veri URL'si için STS'deki FQDN ve bağlantı noktası değişikliklerini güncelleştirdiğinizden emin olun ve ardından meta verileri yenileyin.
Bir STS uç noktasını değiştirirseniz, yönetim portalları ve diğer STS'ler gibi doğrudan güvendiği tüm bileşenleri güncelleştirmeniz gerekir.
Sistem yöneticisi, bir yapılandırma değişikliğinden sonra hangi bileşenlerin güncelleştirilmesi gerektiğini anlamak için güven zincirine aşina olmalıdır.
Yönetim portalları için güveni yeniden oluşturma
Windows Azure Pack yönetim portalı tarafından hemen güvenilen STS uç noktası değiştirildiyse, portalları yeni uç nokta bilgileriyle güncelleştirmeniz gerekir. Bunu, ilgili makinelerde Set-MgmtSvcRelyingPartySettings PowerShell cmdlet'ini kullanarak yapabilirsiniz.
Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]
Parametre
Gerekli/isteğe bağlı
Ayrıntılar
Hedef
Gerekli
Bu parametre, güncelleştirilecek bileşen kümesini tanımlar.
Hedefler> için< izin verilen değerler:
Kiracı – Kiracılar, kiracı API katmanı ve yönetici API katmanı için yönetim portalını yapılandırmak için bunu kullanın.
Yönetici – Yöneticiler ve yönetici API katmanı için yönetim portalını yapılandırmak için bunu kullanın.
Tek bir hedef veya bir hedef dizisi sağlayabilirsiniz.
MetadataEndpoint
Gerekli
Bu parametre, güvenilen IdP-STS meta veri uç noktasının tam URL'sini tanımlar.
Meta Veri Uç Noktası Tam URL'si> için< izin verilen değerler:
Geçerli bir URL, örneğin:
http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
Connectionstring
PortalConnectionString ve ManagementConnectionString kullanılmadığı sürece gereklidir.
Bu parametre, Windows Azure Pack portalı yapılandırma depolarını ve yönetim depolarını barındıran SQL Server bağlantı dizesini tanımlar.
Veritabanı adı (İlk Katalog) gerekli değildir.
Portal yapılandırma depoları veya yönetim deposu farklı SQL Server örneklerinde barındırılıyorsa veya varsayılan olmayan veritabanı adları kullanıyorsa, bunun yerine PortalConnectionString ve ManagementConnectionString parametrelerini kullanın.
DisableCertificateValidation
İsteğe Bağlı
Üretim ortamları için önerilmez
Bu parametre SSL sertifika doğrulamayı devre dışı bırakır.
Bu parametreyi kullanmazsanız, meta veri uç noktası otomatik olarak imzalanan bir SSL sertifikası kullanıyorsa cmdlet meta veri bilgilerini alamaz.
PortalConnectionString
ConnectionString sağlanmadığı sürece isteğe bağlı
Yalnızca yapılandırma deposu için varsayılan bağlantı dizesini geçersiz kılmak için bu parametreyi kullanın.
Bunu şu durumlarda yapmalısınız:
- Portal yapılandırma deposu farklı bir SQL örneğinde bulunur.
- Portal yapılandırma deposu farklı kimlik bilgileri kullanır.
- Varsayılan bağlantı dizesini kullanmak istemezsiniz.
ManagementConnectionString
ConnectionString sağlanmadığı sürece isteğe bağlı
Yalnızca yönetim deposu için varsayılan bağlantı dizesini geçersiz kılmak için bu parametreyi kullanın.
Bunu şu durumlarda yapmalısınız:
- WAP yönetim deposu farklı bir SQL örneğinde bulunur.
- Yönetim deposu farklı kimlik bilgileri kullanır.
- Varsayılan bağlantı dizesini kullanmak istemezsiniz.
Örnek cmdlet:
Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
İpucu
-
Bu cmdlet, Windows Azure Paketi için Windows Azure PowerShell güncelleştirmelerinin yüklü olduğu herhangi bir makinede kullanılabilir.
-
Güncelleştirilen ayarlar sonunda etkilenen tüm bileşenlere yayılır. Daha hızlı yayma için etkilenen bileşenleri el ile yeniden başlatarak yeni yapılandırma değerlerini hemen getirin. Hedef 'Kiracı' ise kiracılar, kiracı API'leri ve yönetici API bileşenleri için tüm yönetim portallarınızı yeniden başlatmanız gerekir. Hedef 'Yönetici' ise, yöneticiler ve yönetici API bileşenleri için tüm yönetim portallarınızı yeniden başlatmanız gerekir.
-
Kimlik doğrulama siteleri için yeniden güven oluşturma
bir Windows Azure Paketi kimlik doğrulama sitesi tarafından hemen güvenilen STS uç noktası değiştirildiyse, kimlik doğrulama sitelerini yeni uç nokta bilgileriyle güncelleştirmeniz gerekir. Bunu yapmak için ilgili makinelerde PowerShell cmdlet'ini Set-MgmtSvcIdentityProviderSettings PowerShell cmdlet'ini kullanabilirsiniz.
Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]
Parametre
Gerekli/isteğe bağlı
Ayrıntılar
Hedef
Gerekli
Bu parametre, güncelleştirilecek bileşen kümesini tanımlar.
Hedefler> için< izin verilen değerler:
Üyelik – Kiracı (Üyelik) kimlik doğrulama sitesini yapılandırmak için bunu kullanın.
Windows – Yönetici (Windows) kimlik doğrulama sitesini yapılandırmak için bunu kullanın.
Tek bir hedef veya bir hedef dizisi sağlayabilirsiniz.
MetadataEndpoint
Gerekli
Bu parametre, güvenilen bileşen meta veri uç noktasının tam URL'sini tanımlar.
Meta Veri Uç Noktası Tam URL'si> için< izin verilen değerler:
Geçerli bir URL, örneğin:
http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary
İsteğe Bağlı
Her kimlik doğrulama sitesi en fazla iki güvenilen bağlı olan taraf destekler.
Varsayılan bağlı olan tarafın üzerine yazmak yerine ikinci bir bağlı olan taraf yapılandırmak için bu parametreyi ekleyin.
Connectionstring
PortalConnectionString kullanılmadığı sürece gereklidir
Bu parametre, Windows Azure Pack portal yapılandırma depolarını barındıran SQL Server bağlantı dizesini tanımlar.
Veritabanı adı (İlk Katalog) gerekli değildir.
Portal yapılandırma deposu varsayılan olmayan bir veritabanı adı kullanıyorsa, bunun yerine PortalConnectionString parametresini kullanın.
DisableCertificateValidation
İsteğe Bağlı
Üretim ortamları için önerilmez
Bu parametre SSL sertifika doğrulamayı devre dışı bırakır.
Bu parametreyi kullanmazsanız, meta veri uç noktası otomatik olarak imzalanan bir SSL sertifikası kullanıyorsa cmdlet meta veri bilgilerini alamaz.
PortalConnectionString
ConnectionString sağlanmadığı sürece isteğe bağlı
Yalnızca yapılandırma deposu için varsayılan bağlantı dizesini geçersiz kılmak için bu parametreyi kullanın.
Bunu şu durumlarda yapmalısınız:
- Portal yapılandırma deposu farklı kimlik bilgileri kullanır.
- Varsayılan bağlantı dizesini kullanmak istemezsiniz.
Örnek cmdlet:
Set-MgmtSvcIdentityProviderSettings –Target Membership –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
İpucu
-
Bu cmdlet, Windows Azure Paketi için Windows Azure PowerShell güncelleştirmelerinin yüklü olduğu herhangi bir makinede kullanılabilir.
-
Güncelleştirilen ayarlar sonunda etkilenen tüm bileşenlere yayılır. Daha hızlı yayma için etkilenen bileşenleri el ile yeniden başlatarak yeni yapılandırma değerlerini hemen getirin. Hedef 'Üyelik' ise tüm kiracı (Üyelik) kimlik doğrulama sitelerinizi yeniden başlatmanız gerekir. Hedef 'Yönetici' ise tüm yönetici (Windows) kimlik doğrulama sitelerinizi yeniden başlatmanız gerekir.
-