Skip to main content
Microsoft Azure Pack İçinde FQDN'leri ve Bağlantı Noktalarını Yeniden Yapılandırma
 

Uygulama Alanı: Windows Azure Pack

Windows Server için Windows Azure Pack kullanıcıların kimliğini doğrulamak ve kullanıcılara yetki vermek için beyana dayalı kimlik doğrulama sistemini kullanır.Bu kimlik doğrulaması bir dış Kimlik Sağlayıcı Güvenlik Belirteci Hizmeti (IdP-STS) tarafından gerçekleştirilir.Sistem, kullanıcıların kimliğini doğrulamak ve her kullanıcı hakkında güvenilen bir talep kümesi sağlamak üzere IdP-STS'ye güvenir.Uç nokta değişikliklerinin etkilenen bileşenlere düzgün şekilde iletilmesi için Windows Azure Pack yapılandırması sırasında IdP-STS ile iki yönlü bir güven ilişkisi kurulmalıdır.

Bu güven ilişkisini kurmak amacıyla aşağıdaki Windows Azure Pack bileşenleri, meta veri bilgilerini kullanıma sunar.

  • Kiracılar için yönetim portalı

  • Yöneticiler için yönetim portalı

  • Kiracı kimlik doğrulama sitesi

  • Yönetici kimlik doğrulama sitesi

Kullanıma sunulan veriler farklı bileşenlere ilişkin uç nokta bilgileri de dahil olmak üzere tüm gerekli güven bilgilerini içerir.Uç nokta bilgileri, kullanıcıların IdP-STS'ye ve tekrar Windows Azure Pack öğesine yönlendirilmesi için kullanılır.

Bu nedenle, bir bileşenin uç nokta yapılandırması her değiştirildiğinde meta veri bilgileri güncelleştirilmeli ve güncelleştirilmiş meta veriler kullanılarak güven ilişkisi yeniden kurulmalıdır.

Windows Azure Pack yükleme ve yapılandırması, kullanıma sunulan meta veriler ve uç nokta bilgileri için varsayılan değerleri sağlar.Varsayılan olarak Windows Azure Pack, her bileşenin Tam Etki Alanı Adı (FQDN) olarak makine ve etki alanı adını kullanır.Ayrıca her bileşen için önceden tanımlanmış bağlantı noktası numaraları ayarlar.

Örneğin, kiracı makinenizin konak adı “mytenantmachine” ve etki alanınız “contoso.com” ise Kiracı Portalının varsayılan yapılandırması https://mytenantmachine.contoso.com:30081 şeklinde olacaktır.

Bazı senaryolarda varsayılan uç nokta değerleri değiştirilmelidir.Örneğin:

  • Bir bileşenin varsayılan otomatik olarak imzalanan SSL sertifikasını gerçek bir sertifika ile güncelleştirirseniz bileşenin FQDN'si sertifika FQDN'si ile eşleşmelidir.

  • Bir bileşenin birden çok örneğinde bir yük dengeleyici kullanırsanız, her bileşen örneğinin uç noktası yerine yük dengeleyici uç noktasını kullanmanız gerekir.

  • Önceden tanımlanmış bağlantı noktalarını değiştirirseniz Windows Azure Pack bağlantı noktası ayarlarını güncelleştirmeniz gerekir.Örneğin, varsayılan HTTPS bağlantı noktası 443'e geçmek için Windows Azure Pack bağlantı noktası ayarlarını güncelleştirmelisiniz.

Böyle durumlarda, aşağıdaki adımlarda anlatıldığı gibi meta veri bilgilerinin güncelleştirilmesi ve güven ilişkisinin yeniden kurulması gerekir.

FQDN ve bağlantı noktası ayarlarını güncelleştirmek için

  1. Güncelleştirmek istediğiniz makinede Set–MgmtSvcFqdn cmdlet'ini çalıştırın.

    Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

    Parametre

    Gerekli/isteğe bağlı

    Ayrıntılar

    -ConnectionString

    Gerekli

    Bu parametre, Windows Azure Pack yapılandırma depolarını barındıran SQL Server'a bağlantı dizesini tanımlar.

    Bir veritabanı adı (İlk Katalog) gerekli değildir.

    Dizeye dahil edilen kimlik bilgileri, yapılandırma depolarında yazma izinlerine sahip olmalıdır.

    Örneğin:

    $connectionString = “Data Source=$server;User ID=$userId;Password=$password”

    $server: Yönetim portalı yapılandırma veritabanlarını barındıran SQL Server’ın adresidir.

    $userId: Yönetim portalı yapılandırma veritabanlarına yazma erişimi olan SQL kullanıcısıdır.

    $password: $userId hesabının parolasıdır.

    -FQDN

    İsteğe bağlı

    Bu parametre, makinenin yeni FQDN'sini belirtmek için kullanılır.Protokol önekini dahil etmeden $Fqdn öğesini yeni FQDN ile değiştirin.Örneğin, mynewfqdn.contoso.com.

    FQDN'yi değiştirmiyorsanız bu parametreyi atlayabilirsiniz.

    -Namespace

    Gerekli

    Bu parametre hangi bileşenin yapılandırılacağını göstermek için kullanılır.Olası değerler: 'AdminSite', 'TenantSite', 'AuthSite', 'WindowsAuthSite'.

    -Port

    İsteğe bağlı

    Bu parametre yeni bağlantı noktasını tanımlamak için kullanılır.$Port değerini yeni bağlantı noktası ile değiştirin.Örneğin, 443.Not: Varsayılan HTTPS bağlantı noktası 443'ün kullanılması, bağlantı noktası bölümünü uç noktadan kaldırır.

    Bağlantı noktasını değiştirmiyorsanız bu parametreyi atlayabilirsiniz.

  2. Internet Information Services Manager'da FQDN ve bağlantı noktası değerlerinin güncelleştirildiğinden emin olun.Ayrıca FQDN'nin SSL sertifikası ile eşleştiğinden emin olun.

  3. Güncelleştirilmiş FQDN ve bağlantı noktası değerleri, sonunda hedeflenen bileşenlere yayılır.Bunun hemen gerçekleştiğinden emin olmak için web sitesini yeniden başlatın.

  4. Bileşeni barındıran tüm makinelerde adım 2 ve 3'ü yineleyin.

  5. Gerekirse, DNS'inizi istekleri uygun konuma iletecek şekilde ayarlayın.

  6. Etkilenen tüm bileşenler arasında sonraki bölümde anlatılan şekilde yeniden güven oluşturun.

Windows Azure Pack son kullanıcıların kimliğini doğrulamak ve bunlara yetki vermek için belirteç ve taleplerden faydalanan bir talep kullanan uygulamadır.Bu tür uygulamalar, belirtecin güvenilen bir anahtar tarafından imzalanması gibi bazı koşullara uyması şartıyla belirteç verenin kimliğini kullanmaz.Daha fazla bilgi için bkz. Talep kullanan uygulamalar.

Beyana dayalı kimlik doğrulaması ile sistem, belirteçlerini vermek için bir STS'ye güvenir.Ancak bu durum, STS'nin gerçekten kullanıcı kimlik doğrulamasını yaptığı anlamına gelmez.STS, kullanıcı kimlik doğrulama isteğini (veya federasyonu) ilk STS tarafından güvenilen başka bir STS'ye devreder.Birbirine güvenen ve istekleri devreden STS'lerden oluşan bu zincir yaygın ve esnektir.Güven ilişkilerinin sınırsız sayıda topoloji olasılığı vardır.Sistem yöneticileri, iş gereksinimlerini karşılamak için en uygun topolojiyi seçmelidir.

Örneğin, Windows Azure Pack yönetim portallarını kullanıcı kimlik doğrulaması için AD FS'ye güvenecek şekilde yapılandırabilirsiniz.AD FS yapılandırmasına bağlı olarak, AD FS aşağıdakilerden birini yapabilir:

  • AD FS, yönetim portalı Active Directory kimlik bilgilerini kullanarak kullanıcı kimlik doğrulamasını doğrudan yapabilir.

  • AD FS, isteği başka bir STS'ye devredebilir.

İkinci durumda, diğer STS olarak örneğin Microsoft Azure Erişimi Active Directory Denetim Hizmeti'ni (ACS) kullanabilirsiniz.ACS daha sonra isteği Windows Live gibi başka bir STS'ye devredebilir.Bu durumda Windows Live, Windows Live kimlik bilgilerini kullanarak kullanıcının kimliğini doğrular.Windows Azure Pack içinde Windows Live, Google veya Facebook kimlik doğrulaması yapmanın bir yolu budur.

System_CAPS_importantÖnemli

Uç noktaları kullanıcıların güven zincirinde sonraki bileşene yönlendirilmesi için kullanıldığından, federasyonun başarılı olduğundan emin olmak için tüm uç noktalar tüm bileşenlerde doğru şekilde yapılandırılmalıdır.

Bir yönetim portalı uç noktasını değiştirirseniz, portalın hemen güvendiği STS'yi güncelleştirmeniz gerekir.

STS'de bağlı olan taraf federasyon meta verileri URL'sine ilişkin FQDN'yi ve bağlantı noktası değişikliklerini güncelleştirdiğinizden emin olun ve ardından meta verileri yenileyin.

Bir STS uç noktasını değiştirirseniz, yönetim portalları ve diğer STS'ler gibi onun doğrudan güvendiği tüm bileşenleri güncelleştirmeniz gerekir.

Sistem yöneticisi bir yapılandırma değişikliğinden sonra hangi bileşenlerin güncelleştirildiğini anlamak için güven zincirini tanıyor olmalıdır.

Yönetim portalları için yeniden güven oluşturma

  1. Bir Windows Azure Pack yönetim portalının hemen güvendiği STS uç noktası değiştirilirse portalları yeni uç nokta bilgileriyle güncelleştirmeniz gerekir.İlgili makinelerde Set-MgmtSvcRelyingPartySettings PowerShell cmdlet'ini kullanarak bunu yapabilirsiniz.

    Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

    Parametre

    Gerekli/isteğe bağlı

    Ayrıntılar

    Hedef

    Gerekli

    Bu parametre hangi bileşen kümesinin güncelleştirileceğini tanımlar.

    <Targets> için izin verilebilir değerler:

    Kiracı: Kiracılar için yönetim portalını, kiracı API'si katmanını ve yönetici API'si katmanını yapılandırmak için bunu kullanın.

    Yönetici: Yöneticiler için yönetim portalını ve yönetici API'si katmanını yapılandırmak için bunu kullanın.

    Tek bir hedef veya bir dizi hedef belirtebilirsiniz.

    MetadataEndpoint

    Gerekli

    Bu parametre, güvenilir IdP-STS meta veri uç noktasının URL'sini tanımlar.

    <Metadata Endpoint Full URL> için izin verilebilir değerler:

    Geçerli bir URL, örneğin:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConnectionString

    PortalConnectionString ve ManagementConnectionString kullanılmıyorsa gereklidir.

    Bu parametre, Windows Azure Pack portal yapılandırma depolarını ve yönetim depolarını barındıran SQL Server'a bağlantı dizesini tanımlar.

    Bir veritabanı adı (İlk Katalog) gerekli değildir.

    Portal yapılandırma depoları veya yönetim deposu farklı SQL Server örnekleri üzerinde barındırılıyorsa veya varsayılan olmayan veritabanı adları kullanıyorsa, bunun yerine PortalConnectionString ve ManagementConnectionString parametrelerini kullanın.

    DisableCertificateValidation

    İsteğe bağlı

    Üretim ortamları için önerilmez

    Bu parametre SSL sertifikası doğrulamasını devre dışı bırakır.

    Bu parametreyi kullanmıyorsanız, meta veri uç noktasının otomatik olarak imzalanan bir SSL sertifikası kullanması durumunda cmdlet meta veri bilgilerini alamaz.

    PortalConnectionString

    ConnectionString belirtilmezse isteğe bağlı

    Varsayılan bağlantı dizesini yalnızca yapılandırma deposu için geçersiz kılmak üzere bu parametreyi kullanın.

    Bunu aşağıdaki durumlarda yapın

    • Portal yapılandırma deposu farklı bir SQL örneğinde bulunduğunda.

    • Portal yapılandırma deposu farklı kimlik bilgileri kullandığında.

    • Varsayılan bağlantı dizesini kullanmak istemediğinizde.

    ManagementConnectionString

    ConnectionString belirtilmezse isteğe bağlı

    Varsayılan bağlantı dizesini yalnızca yönetim deposu için geçersiz kılmak üzere bu parametreyi kullanın.

    Bunu aşağıdaki durumlarda yapın

    • WAP yönetim deposu farklı bir SQL örneğinde bulunduğunda.

    • Yönetim deposu farklı kimlik bilgileri kullandığında.

    • Varsayılan bağlantı dizesini kullanmak istemediğinizde.

    Örnek cmdlet:

    Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
    System_CAPS_tipİpucu
    • Bu cmdlet, Windows Azure Pack için Microsoft Azure PowerShell güncelleştirmelerinin yüklü olduğu tüm makinelerde kullanılabilir.

    • Güncelleştirilmiş ayarlar sonunda etkilenen tüm bileşenlere yayılır.Daha hızlı yayılma için etkilenen bilgisayarları el ile yeniden başlatarak yeni yapılandırma değerlerini hemen getirin.Hedef 'Kiracı' ise kiracılar için yönetim portalları, kiracı API'si ve yönetici API'si bileşenlerinin tümünü yeniden başlatmanız gerekir.Hedef 'Yönetici' ise yöneticiler için yönetim portalları ve yönetici API'si bileşenlerinin tümünü yeniden başlatmanız gerekir.

Kimlik doğrulama siteleri için yeniden güven oluşturma

  1. Bir Windows Azure Pack kimlik doğrulama sitesinin güvendiği STS uç noktası değiştirilirse kimlik doğrulama sitelerini yeni uç nokta bilgileriyle güncelleştirmeniz gerekir.İlgili makinelerde Set-MgmtSvcIdentityProviderSettings PowerShell cmdlet'ini kullanarak bunu yapabilirsiniz.

    Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

    Parametre

    Gerekli/isteğe bağlı

    Ayrıntılar

    Hedef

    Gerekli

    Bu parametre hangi bileşen kümesinin güncelleştirileceğini tanımlar.

    <Targets> için izin verilebilir değerler:

    Üyelik: Kiracı (Üyelik) kimlik doğrulama sitesini yapılandırmak için bunu kullanın.

    Windows: Yönetici (Windows) kimlik doğrulama sitesini yapılandırmak için bunu kullanın.

    Tek bir hedef veya bir dizi hedef belirtebilirsiniz.

    MetadataEndpoint

    Gerekli

    Bu parametre, güvenilen bileşen meta veri uç noktasının URL'sini tanımlar.

    <Metadata Endpoint Full URL> için izin verilebilir değerler:

    Geçerli bir URL, örneğin:

    http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml

    ConfigureSecondary

    İsteğe bağlı

    Her kimlik doğrulama sitesi en fazla iki güvenilir bağlı olan tarafı destekler.

    Varsayılan bağlı olan tarafın üzerine yazmak yerine ikinci bir bağlı olan taraf yapılandırmak için bu parametreyi dahil edin.

    ConnectionString

    PortalConnectionString kullanılmıyorsa gereklidir

    Bu parametre, Windows Azure Pack portal yapılandırma depolarını barındıran SQL Server bağlantı dizelerini tanımlar.

    Bir veritabanı adı (İlk Katalog) gerekli değildir.

    Portal yapılandırma deposu varsayılan olmayan bir veritabanı adı kullanıyorsa, bunun yerine PortalConnectionString parametresini kullanın.

    DisableCertificateValidation

    İsteğe bağlı

    Üretim ortamları için önerilmez

    Bu parametre SSL sertifikası doğrulamasını devre dışı bırakır.

    Bu parametreyi kullanmıyorsanız, meta veri uç noktasının otomatik olarak imzalanan bir SSL sertifikası kullanması durumunda cmdlet meta veri bilgilerini alamaz.

    PortalConnectionString

    ConnectionString belirtilmezse isteğe bağlı

    Varsayılan bağlantı dizesini yalnızca yapılandırma deposu için geçersiz kılmak üzere bu parametreyi kullanın.

    Bunu aşağıdaki durumlarda yapın

    • Portal yapılandırma deposu farklı kimlik bilgileri kullandığında.

    • Varsayılan bağlantı dizesini kullanmak istemediğinizde.

    Örnek cmdlet:

    Set-MgmtSvcIdentityProviderSettings –Target Membership  –MetadataEndpoint ‘https://mytenantportal.contoso.com:23456/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”
    System_CAPS_tipİpucu
    • Bu cmdlet, Windows Azure Pack için Microsoft Azure PowerShell güncelleştirmelerinin yüklü olduğu tüm makinelerde kullanılabilir.

    • Güncelleştirilmiş ayarlar sonunda etkilenen tüm bileşenlere yayılır.Daha hızlı yayılma için etkilenen bilgisayarları el ile yeniden başlatarak yeni yapılandırma değerlerini hemen getirin.Hedef 'Üyelik' ise tüm kiracı (Üyelik) kimlik doğrulama sitelerinizi yeniden başlatmanız gerekir.Hedef 'Yönetici' ise, tüm yönetici (Windows) kimlik doğrulama sitelerinizi yeniden başlatmanız gerekir.