Windows Azure Paketinde FQDN'leri ve Bağlantı Noktalarını Yeniden Yapılandırma

Şunlar için geçerlidir: azure paketi Windows

Windows Windows Sunucusu için Azure Paketi, kullanıcıların kimliğini doğrulamak ve yetkilendirmek için talep tabanlı kimlik doğrulama sistemini kullanır. Bu kimlik doğrulaması bir dış Kimlik Sağlayıcısı Güvenlik Belirteci Hizmeti (IdP-STS) tarafından gerçekleştirilir. Sistem, kullanıcıların kimliğini doğrulamak ve her kullanıcı hakkında güvenilir bir talep kümesi sağlamak için IdP-STS'ye güvenir. Uç nokta değişikliklerinin etkilenen bileşenlere düzgün bir şekilde iletilmesi için Windows Azure Paketi yapılandırması sırasında IdP-STS ile iki yönlü bir güven ilişkisi kurulmalıdır.

Bu güven ilişkisini kurmak için aşağıdaki Windows Azure Paketi bileşenleri meta veri bilgilerini kullanıma sunar.

• Kiracılar için yönetim portalı

• Yöneticiler için yönetim portalı

• Kiracı kimlik doğrulama sitesi

• kimlik doğrulama sitesini Yönetici

Kullanıma sunulan veriler, farklı bileşenlerin uç nokta bilgileri de dahil olmak üzere gerekli tüm güven bilgilerini içerir. Uç nokta bilgileri, kullanıcıları IdP-STS'ye ve Windows Azure Paketi'ne geri yönlendirmek için kullanılır.

Bu nedenle, bir bileşen için uç nokta yapılandırması her değiştiğinde meta veri bilgileri güncelleştirilmeli ve güven ilişkisi güncelleştirilmiş meta veriler kullanılarak yeniden oluşturulmalıdır.

Windows Azure Paketi yükleme ve yapılandırması, kullanıma sunulan meta veriler ve uç nokta bilgileri için varsayılan değerler sağlar. Varsayılan olarak, Windows Azure Paketi her bileşenin Tam Etki Alanı Adı (FQDN) olarak makine ve etki alanı adını kullanır. Ayrıca her bileşen için önceden tanımlanmış bağlantı noktası numaralarını ayarlar.

Örneğin, kiracı makine ana bilgisayar adınız "mytenantmachine" ve etki alanınız "contoso.com" ise, Kiracı Portalı'nın varsayılan yapılandırması olur https://mytenantmachine.contoso.com:30081.

Bazı senaryolarda varsayılan uç nokta değerleri değiştirilmelidir. Örnek:

• Bir bileşenin varsayılan otomatik olarak imzalanan SSL sertifikasını gerçek bir sertifikayla güncelleştirirseniz, bileşenin FQDN'sinin sertifika FQDN'sine uyması gerekir.

• Bir bileşenin birden çok örneğinde yük dengeleyici kullanıyorsanız, her bileşen örneğinin uç noktası yerine yük dengeleyici uç noktasını kullanmanız gerekir.

• Önceden tanımlanmış bağlantı noktalarını değiştirirseniz Windows Azure Paketi bağlantı noktası ayarlarını güncelleştirmeniz gerekir. Örneğin, varsayılan HTTPS bağlantı noktası 443'e geçmek için Windows Azure Paketi bağlantı noktası ayarlarını güncelleştirmeniz gerekir.

Böyle durumlarda meta veri bilgilerinin güncelleştirilmesi ve aşağıdaki adımlarda açıklandığı gibi güven ilişkisinin yeniden oluşturulması gerekir.

FQDN ve bağlantı noktası ayarlarını güncelleştirmek için

1. Güncelleştirmek istediğiniz makinede Set–MgmtSvcFqdn cmdlet'ini çalıştırın.

   Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]
   

   Parametre	Gerekli/isteğe bağlı	Ayrıntılar
   -ConnectionString	Gerekli	Bu parametre, Windows Azure Pack yapılandırma depolarını barındıran SQL Server bağlantı dizesini tanımlar. Veritabanı adı (İlk Katalog) gerekli değildir. Dizeye dahil edilen kimlik bilgilerinin yapılandırma depolarında yazma izinleri olmalıdır. Örnek: $connectionString = “Data Source=$server;User ID=$userId;Password=$password” $server : Yönetim portalı yapılandırma veritabanlarını barındıran SQL Server adresi. $userId: Yönetim portalı yapılandırma veritabanlarına yazma izinlerine sahip SQL bir kullanıcı. $password : $userId hesabının parolası.
   -FQDN	İsteğe Bağlı	Bu parametre, makine için yeni FQDN'yi belirtmek için kullanılır. $fqdn protokol ön eki dahil değil yeni FQDN ile değiştirin. Örneğin, mynewfqdn.contoso.com. FQDN'yi değiştirmiyorsanız bu parametreyi atlayabilirsiniz.
   -Namespace	Gerekli	Bu parametre, hangi bileşenin yapılandırılacağı belirtmek için kullanılır. Olası değerler: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.
   -Bağlantı noktası	İsteğe Bağlı	Bu parametre yeni bağlantı noktasını tanımlamak için kullanılır. $port yeni bağlantı noktasıyla değiştirin. Örneğin, 443. Not Varsayılan HTTPS bağlantı noktası 443 kullanıldığında bağlantı noktası bölümü uç noktadan kaldırılır. Bağlantı noktasını değiştirmiyorsanız bu parametreyi atlayabilirsiniz.

2. Internet Information Services Yöneticisi'nde FQDN ve bağlantı noktası değerlerinin güncelleştirildiğinden emin olun. Ayrıca FQDN'nin SSL sertifikasıyla eşleştiğinden emin olun.

3. Güncelleştirilmiş FQDN ve bağlantı noktası değerleri sonunda hedeflenen bileşenlere yayılır. Bunun hemen gerçekleşmesini sağlamak için web sitesini yeniden başlatın.

4. Bileşeni barındıran tüm makinelerde 2. ve 3. adımları yineleyin.

5. Gerekirse, DNS'nizi istekleri uygun konuma iletecek şekilde ayarlayın.

6. Sonraki bölümde açıklandığı gibi, etkilenen tüm bileşenler arasında yeniden güven oluşturun.

Güveni yeniden oluşturma

Windows Azure Paketi, son kullanıcıların kimliğini doğrulamak ve yetkilendirmek için belirteçleri ve talepleri kullanan talep kullanan bir uygulamadır. Bu tür uygulamalar, belirteç güvenilir bir anahtar tarafından imzalanma gibi bazı koşullarla uyumlu olduğu sürece belirteç verenin kimliğini kullanmaz. Daha fazla bilgi için bkz. Talep kullanan uygulamalar.

Talep tabanlı kimlik doğrulaması ile sistem, belirteçlerini vermek için bir STS'ye güvenir. Ancak bu, bu STS'nin gerçekten kullanıcı kimlik doğrulamasını gerçekleştirdiği anlamına gelmez. STS, kullanıcı kimlik doğrulama isteğini (veya federasyonu) ilk STS tarafından güvenilen başka bir STS'ye devreder. Birbirine güvenen ve istekleri temsilci olarak atayan bu STS zinciri yaygın ve esnektir. Güven ilişkilerinin sonsuz olası topolojileri vardır. Sistem yöneticilerinin iş gereksinimlerini karşılamak için en uygun topolojiyi seçmesi gerekir.

Örneğin, Windows Azure Paketi yönetim portallarını kullanıcıların kimliğini doğrulamak için AD FS'ye güvenecek şekilde yapılandırabilirsiniz. AD FS yapılandırmasına bağlı olarak, AD FS aşağıdakilerden birini yapabilir:

• AD FS, yönetim portalı Active Directory kimlik bilgilerini kullanarak kullanıcıların kimliğini doğrudan doğrulayabilir.

• AD FS, isteği başka bir STS'ye birleştirebilir.

İkinci durumda, örneğin Windows Azure Access Active Directory Denetim Hizmeti'ni (ACS) diğer STS olarak kullanabilirsiniz. ACS daha sonra isteği yeniden Windows Live gibi başka bir STS'ye birleştirebilir. Bu durumda Windows Live, Windows Live kimlik bilgilerini kullanarak kullanıcının kimliğini doğrular. Bu, Windows Azure Paketi'nde Windows Live, Google veya Facebook kimlik doğrulamasını etkinleştirmenin bir yoludur.

Sistem yöneticisi, bir yapılandırma değişikliğinden sonra hangi bileşenlerin güncelleştirilmesi gerektiğini anlamak için güven zincirine aşina olmalıdır.

Yönetim portalları için güveni yeniden oluşturma

1. Windows Azure Pack yönetim portalı tarafından hemen güvenilen STS uç noktası değiştirildiyse, portalları yeni uç nokta bilgileriyle güncelleştirmeniz gerekir. Bunu, ilgili makinelerde Set-MgmtSvcRelyingPartySettings PowerShell cmdlet'ini kullanarak yapabilirsiniz.

   Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]
   

   Parametre	Gerekli/isteğe bağlı	Ayrıntılar
   Hedef	Gerekli	Bu parametre, güncelleştirilecek bileşen kümesini tanımlar. Hedefler> için< izin verilen değerler: Kiracı – Kiracılar, kiracı API katmanı ve yönetici API katmanı için yönetim portalını yapılandırmak için bunu kullanın. Yönetici – Yöneticiler ve yönetici API katmanı için yönetim portalını yapılandırmak için bunu kullanın. Tek bir hedef veya bir hedef dizisi sağlayabilirsiniz.
   MetadataEndpoint	Gerekli	Bu parametre, güvenilen IdP-STS meta veri uç noktasının tam URL'sini tanımlar. Meta Veri Uç Noktası Tam URL'si> için< izin verilen değerler: Geçerli bir URL, örneğin: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
   Connectionstring	PortalConnectionString ve ManagementConnectionString kullanılmadığı sürece gereklidir.	Bu parametre, Windows Azure Pack portalı yapılandırma depolarını ve yönetim depolarını barındıran SQL Server bağlantı dizesini tanımlar. Veritabanı adı (İlk Katalog) gerekli değildir. Portal yapılandırma depoları veya yönetim deposu farklı SQL Server örneklerinde barındırılıyorsa veya varsayılan olmayan veritabanı adları kullanıyorsa, bunun yerine PortalConnectionString ve ManagementConnectionString parametrelerini kullanın.
   DisableCertificateValidation	İsteğe Bağlı Üretim ortamları için önerilmez	Bu parametre SSL sertifika doğrulamayı devre dışı bırakır. Bu parametreyi kullanmazsanız, meta veri uç noktası otomatik olarak imzalanan bir SSL sertifikası kullanıyorsa cmdlet meta veri bilgilerini alamaz.
   PortalConnectionString	ConnectionString sağlanmadığı sürece isteğe bağlı	Yalnızca yapılandırma deposu için varsayılan bağlantı dizesini geçersiz kılmak için bu parametreyi kullanın. Bunu şu durumlarda yapmalısınız: - Portal yapılandırma deposu farklı bir SQL örneğinde bulunur. - Portal yapılandırma deposu farklı kimlik bilgileri kullanır. - Varsayılan bağlantı dizesini kullanmak istemezsiniz.
   ManagementConnectionString	ConnectionString sağlanmadığı sürece isteğe bağlı	Yalnızca yönetim deposu için varsayılan bağlantı dizesini geçersiz kılmak için bu parametreyi kullanın. Bunu şu durumlarda yapmalısınız: - WAP yönetim deposu farklı bir SQL örneğinde bulunur. - Yönetim deposu farklı kimlik bilgileri kullanır. - Varsayılan bağlantı dizesini kullanmak istemezsiniz.

   Örnek cmdlet:

   Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
   

   İpucu

   • Bu cmdlet, Windows Azure Paketi için Windows Azure PowerShell güncelleştirmelerinin yüklü olduğu herhangi bir makinede kullanılabilir.

   • Güncelleştirilen ayarlar sonunda etkilenen tüm bileşenlere yayılır. Daha hızlı yayma için etkilenen bileşenleri el ile yeniden başlatarak yeni yapılandırma değerlerini hemen getirin. Hedef 'Kiracı' ise kiracılar, kiracı API'leri ve yönetici API bileşenleri için tüm yönetim portallarınızı yeniden başlatmanız gerekir. Hedef 'Yönetici' ise, yöneticiler ve yönetici API bileşenleri için tüm yönetim portallarınızı yeniden başlatmanız gerekir.

Kimlik doğrulama siteleri için yeniden güven oluşturma

1. bir Windows Azure Paketi kimlik doğrulama sitesi tarafından hemen güvenilen STS uç noktası değiştirildiyse, kimlik doğrulama sitelerini yeni uç nokta bilgileriyle güncelleştirmeniz gerekir. Bunu yapmak için ilgili makinelerde PowerShell cmdlet'ini Set-MgmtSvcIdentityProviderSettings PowerShell cmdlet'ini kullanabilirsiniz.

   Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]
   

   Parametre	Gerekli/isteğe bağlı	Ayrıntılar
   Hedef	Gerekli	Bu parametre, güncelleştirilecek bileşen kümesini tanımlar. Hedefler> için< izin verilen değerler: Üyelik – Kiracı (Üyelik) kimlik doğrulama sitesini yapılandırmak için bunu kullanın. Windows – Yönetici (Windows) kimlik doğrulama sitesini yapılandırmak için bunu kullanın. Tek bir hedef veya bir hedef dizisi sağlayabilirsiniz.
   MetadataEndpoint	Gerekli	Bu parametre, güvenilen bileşen meta veri uç noktasının tam URL'sini tanımlar. Meta Veri Uç Noktası Tam URL'si> için< izin verilen değerler: Geçerli bir URL, örneğin: http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
   ConfigureSecondary	İsteğe Bağlı	Her kimlik doğrulama sitesi en fazla iki güvenilen bağlı olan taraf destekler. Varsayılan bağlı olan tarafın üzerine yazmak yerine ikinci bir bağlı olan taraf yapılandırmak için bu parametreyi ekleyin.
   Connectionstring	PortalConnectionString kullanılmadığı sürece gereklidir	Bu parametre, Windows Azure Pack portal yapılandırma depolarını barındıran SQL Server bağlantı dizesini tanımlar. Veritabanı adı (İlk Katalog) gerekli değildir. Portal yapılandırma deposu varsayılan olmayan bir veritabanı adı kullanıyorsa, bunun yerine PortalConnectionString parametresini kullanın.
   DisableCertificateValidation	İsteğe Bağlı Üretim ortamları için önerilmez	Bu parametre SSL sertifika doğrulamayı devre dışı bırakır. Bu parametreyi kullanmazsanız, meta veri uç noktası otomatik olarak imzalanan bir SSL sertifikası kullanıyorsa cmdlet meta veri bilgilerini alamaz.
   PortalConnectionString	ConnectionString sağlanmadığı sürece isteğe bağlı	Yalnızca yapılandırma deposu için varsayılan bağlantı dizesini geçersiz kılmak için bu parametreyi kullanın. Bunu şu durumlarda yapmalısınız: - Portal yapılandırma deposu farklı kimlik bilgileri kullanır. - Varsayılan bağlantı dizesini kullanmak istemezsiniz.

   Örnek cmdlet:

   Set-MgmtSvcIdentityProviderSettings –Target Membership  –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
   

   İpucu

   • Bu cmdlet, Windows Azure Paketi için Windows Azure PowerShell güncelleştirmelerinin yüklü olduğu herhangi bir makinede kullanılabilir.

   • Güncelleştirilen ayarlar sonunda etkilenen tüm bileşenlere yayılır. Daha hızlı yayma için etkilenen bileşenleri el ile yeniden başlatarak yeni yapılandırma değerlerini hemen getirin. Hedef 'Üyelik' ise tüm kiracı (Üyelik) kimlik doğrulama sitelerinizi yeniden başlatmanız gerekir. Hedef 'Yönetici' ise tüm yönetici (Windows) kimlik doğrulama sitelerinizi yeniden başlatmanız gerekir.