在 Windows Azure Pack 中重新設定 FQDN 和連接埠

發行項
09/07/2016

適用于：Windows Azure Pack

Windows適用于 Windows Server 的 Azure Pack 會使用宣告式驗證系統來驗證和授權使用者。這項驗證是由外部識別提供者安全性 Token 服務 (IdP-STS) 所執行。系統信任 IdP-STS 驗證使用者的身分識別及提供有關每位使用者的一組信任宣告。必須在 Windows Azure Pack 設定期間建立與 IdP-STS 的雙向信任關係，讓端點變更正確地傳達給受影響的元件。

若要建立此信任關係，下列Windows Azure Pack 元件會公開中繼資料資訊。

租用戶適用的管理入口網站
管理員適用的管理入口網站
租用戶驗證網站
管理員驗證網站

公開的資料包含所有必要的信任資訊，包括不同元件的端點資訊。端點資訊可用來將使用者重新導向至 IdP-STS，然後重新導向回 Windows Azure Pack。

因此，每當元件的端點組態變更時，中繼資料資訊都必須更新，而且必須使用更新的中繼資料重新建立信任關係。

Windows Azure Pack 安裝和組態提供公開中繼資料和端點資訊的預設值。根據預設，Windows Azure Pack 會使用電腦和功能變數名稱作為每個元件的完整功能變數名稱 (FQDN) 。它也會針對每個元件設定預先定義的連接埠號碼。

例如，如果您的租用戶電腦主機名稱為 “mytenantmachine” 而您的網域為 “contoso.com”，則租用戶入口網站的預設組態將會是 https://mytenantmachine.contoso.com:30081。

在某些情況下，必須變更預設端點值。例如：

如果您將元件的預設自我簽署 SSL 憑證更新為實際的憑證，元件的 FQDN 必須符合憑證 FQDN。
如果您橫跨元件的多個執行個體使用負載平衡器，您必須使用負載平衡器端點，而不是每個元件執行個體的端點。
如果您變更預先定義的埠，您必須更新 Windows Azure Pack 埠設定。例如，變更為預設 HTTPS 埠 443 需要您更新 Windows Azure Pack 埠設定。

在這類情況下必須更新中繼資料資訊，而且必須重新建立信任關係，如以下步驟所說明。

若要更新 FQDN 和連接埠設定

在您要更新的電腦上執行 Set–MgmtSvcFqdn Cmdlet。

Set-MgmtSvcFqdn –Namespace <Namsepace Token> -ConnectionString <Connection String> [-FQDN <FQDN>] [-Port <port>] [-Verbose]

參數	必要條件/選擇性	詳細資料
-ConnectionString	必要	此參數會定義裝載Windows Azure Pack 組態存放區之SQL Server的連接字串。不需要資料庫名稱 (初始目錄)。字串中包含的認證必須有組態存放區的寫入權限。例如： `$connectionString = “Data Source=$server;User ID=$userId;Password=$password”` $server – 裝載管理入口網站組態資料庫的SQL Server位址。 $userId – 具有管理入口網站組態資料庫的寫入權限SQL使用者。 $password – $userId帳戶的密碼。
-FQDN	選用	這個參數是用來為電腦指定新的 FQDN。請以新的 FQDN 取代 $fqdn，不包含通訊協定前置詞。例如，mynewfqdn.contoso.com。如果您不要變更 FQDN，可以省略這個參數。
-Namespace	必要	這個參數是用來指示要設定哪一個元件。可能的值：'AdminSite'、'TenantSite'、'AuthSite'、'WindowsAuthSite'。
-Port	選擇性	這個參數是用來定義新的連接埠。請以新的連接埠取代 $port。例如 443。請注意，使用預設 HTTPS 連接埠 443 將會從端點移除連接埠區段。如果您不要變更此連接埠，可以省略這個參數。

在 Internet Information Services 管理員中，確定 FQDN 和連接埠值已經更新。也請確定 FQDN 符合 SSL 憑證。
更新的 FQDN 和連接埠值最後將會傳播到目標元件。若要確定這個事件會立即發生，請重新啟動網站。
在裝載元件的所有電腦上重複步驟 2 和 3。
如果需要的話，請設定您的 DNS 將要求轉送到適當的位置。
重新建立所有受影響之元件之間的信任關係，如下一節所指示。

重建信任

Windows Azure Pack 是宣告感知應用程式，會使用權杖和宣告來驗證和授權終端使用者。這類應用程式不會使用 Token 簽發者的身分識別，只要此 Token 符合某些條件即可，例如由受信任的金鑰所簽署。如需詳細資訊，請參閱宣告感知應用程式。

有了以宣告為根據的驗證，系統就會信任 STS 發出其 Token。不過，這不一定表示此 STS 實際上正在執行使用者驗證。有可能 STS 委派使用者驗證要求 (或同盟) 給第一個 STS 所信任的另一個 STS。 STS 彼此信任和委派要求的這個鏈結是常見的情況，而且很有彈性。信任關係有無限可能的拓撲。系統管理員必須選擇最適合的拓撲來滿足業務需求。

例如，您可以將Windows Azure Pack 管理入口網站設定為信任 AD FS 來驗證使用者。根據 AD FS 組態，AD FS 可以執行下列其中一項作業：

AD FS 可以使用管理入口網站 Active Directory 認證直接驗證使用者。
AD FS 可以與另一個 STS 建立同盟來處理要求。

例如在第二個案例中，您可以使用 Windows Azure Active Directory 存取控制服務 (ACS) 當做其他 STS。然後 ACS 可以再次與另一個 STS (例如 Windows Live) 建立同盟來處理要求。在此情況下，Windows Live 實際上會使用 Windows Live 認證驗證使用者。這是在 Windows Azure Pack 中啟用 Windows Live、Google 或 Facebook 驗證的其中一種方式。

重要

由於端點是用來重新導向信任鏈結中的下一個元件，所以所有端點都必須在所有元件中正確設定，以確保同盟成功。

如果您變更管理入口網站端點，您必須更新入口網站立即信任的 STS。

請務必在 STS 中針對信賴憑證者同盟中繼資料 URL 更新 FQDN 和連接埠變更，然後重新整理中繼資料。

如果您變更 STS 端點，您必須更新它所直接信任的所有元件，例如管理入口網站和其他 STS。

系統管理員應該要熟悉信任鏈結，以便了解哪些元件必須在組態變更之後更新。

為管理入口網站重建信任

如果Windows Azure Pack 管理入口網站立即信任的 STS 端點已變更，您必須使用新的端點資訊更新入口網站。您可以在相關電腦上使用 Set-MgmtSvcRelyingPartySettings PowerShell 指令程式進行這項處理。

Set-MgmtSvcRelyingPartySettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>] [-ManagementConnectionString <Management Store Connection String>]

參數	必要條件/選擇性	詳細資料
目標	必要	這個參數會定義要更新哪一組元件。目標 > 允許 <的值：租用戶 – 使用此值來設定租用戶適用的管理入口網站、租用戶 API 層和管理員 API 層。管理員 – 使用此值來設定管理員適用的管理入口網站和管理員 API 層。您可以提供單一目標或一組目標。
MetadataEndpoint	必要	此參數會定義受信任的 IdP-STS 中繼資料端點的完整 URL。中繼資料端點完整 URL > 允許 <的值：例如，有效的 URL： http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConnectionString	必要項，除非使用 PortalConnectionString 和 ManagementConnectionString。	此參數會定義裝載 Windows Azure Pack 入口網站組態存放區和管理存放區之SQL Server的連接字串。不需要資料庫名稱 (初始目錄)。如果入口網站組態存放區或管理存放區在不同的 SQL Server 執行個體上裝載或使用非預設的資料庫名稱，請改用 PortalConnectionString 和 ManagementConnectionString 參數。
DisableCertificateValidation	選擇性不建議在生產環境中使用	這個參數會停用 SSL 憑證驗證。如果您不使用此參數，指令程式在中繼資料端點使用自我簽署 SSL 憑證的情況下將無法擷取中繼資料資訊。
PortalConnectionString	除非未提供 ConnectionString，否則為選擇性	使用這個參數可只針對組態存放區覆寫預設連接字串。您應該在以下情況執行這項處理： - 入口網站組態存放區位於不同的SQL實例上。 - 入口網站組態存放區使用不同的認證。 - 您不想要使用預設連接字串。
ManagementConnectionString	除非未提供 ConnectionString，否則為選擇性	使用這個參數可只針對管理存放區覆寫預設連接字串。您應該在以下情況執行這項處理： - WAP 管理存放區位於不同的SQL實例上。 - 管理存放區使用不同的認證。 - 您不想要使用預設連接字串。

範例指令程式：

Set-MgmtSvcRelyingPartySettings –Target Tenant –MetadataEndpoint ‘https://mysts.contoso.com:12345/FederationMetadata/2007-06/FederationMetadata.xml’ -ConnectionString “Data Source=mysqlserver.contoso.com;User ID=myprivilegeduser;Password=mypassword”

提示

此 Cmdlet 可用於安裝 Windows Azure Pack Windows Azure PowerShell更新的任何電腦上。
更新的設定最後將傳播到所有受影響的元件。如果要以更快的速度傳播，請手動重新啟動受影響的元件，立即提取新的組態值。如果目標是「租用戶」，您應該重新啟動租用戶、租用戶 API 和管理員 API 元件適用的所有管理入口網站。如果目標是「管理員」，您應該重新啟動管理員和管理員 API 元件適用的所有管理入口網站。

為驗證網站重建信任

如果Windows Azure Pack 驗證網站立即信任的 STS 端點已變更，您必須使用新的端點資訊更新驗證網站。您可以使用相關電腦上的 PowerShell Cmdlet Set-MgmtSvcIdentityProviderSettings PowerShell Cmdlet 來執行此動作。

Set-MgmtSvcIdentityProviderSettings -Target <Targets> –MetadataEndpoint <Metadata Endpoint Full URL> [-ConfigureSecondary] [-ConnectionString <Connection String>] [-DisableCertificateValidation] [-PortalConnectionString <Portal Configuration Store Connection String>]

參數	必要條件/選擇性	詳細資料
目標	必要	這個參數會定義要更新哪一組元件。目標 > 允許 <的值：成員資格 – 使用這個值可設定租用戶 (成員資格) 驗證網站。 Windows – 使用這個值可設定管理員 (Windows) 驗證網站。您可以提供單一目標或一組目標。
MetadataEndpoint	必要	此參數會定義受信任元件中繼資料端點的完整 URL。中繼資料端點完整 URL > 允許 <的值：例如，有效的 URL： http://mysts.contoso.com:1234/FederationMetadata/2007-06/FederationMetadata.xml
ConfigureSecondary	選用	每個驗證網站最多可支援兩個受信任的信賴憑證者。加入這個參數可設定第二個信賴憑證者，而不是覆寫預設的信賴憑證者。
ConnectionString	除非使用 PortalConnectionString，否則需要這個項目。	此參數會定義裝載 Windows Azure Pack 入口網站組態存放區之SQL Server的連接字串。不需要資料庫名稱 (初始目錄)。如果入口網站組態存放區使用非預設的資料庫名稱，請改用 PortalConnectionString 參數。
DisableCertificateValidation	選擇性不建議在生產環境中使用	這個參數會停用 SSL 憑證驗證。如果您不使用此參數，指令程式在中繼資料端點使用自我簽署 SSL 憑證的情況下將無法擷取中繼資料資訊。
PortalConnectionString	除非未提供 ConnectionString，否則為選擇性	使用這個參數可只針對組態存放區覆寫預設連接字串。您應該在以下情況執行這項處理： - 入口網站組態存放區使用不同的認證。 - 您不想要使用預設連接字串。