Prüfliste: Konfigurieren des Extranetzugriffs für AD FS in älteren Versionen von Windows Server

  • Artikel

Gilt für: Azure, Office 365, Power BI, Windows Intune

Die folgende Checkliste enthält die Bereitstellungsaufgaben, die zum Bereitstellen von zwei Verbundserverproxys erforderlich sind, die Authentifizierungsanforderungen an einen Verbundserver in Ihrer neuen Verbundserverfarm umleiten.

Checkliste : Bereitstellen von Verbundserverproxys

Bereitstellungsaufgabe Links zu Themen in diesem Abschnitt Abgeschlossen

1. Installieren Sie die AD FS-Software auf dem Computer, der zum Verbundserverproxy wird.

Installieren der AD FS-Software auf dem Proxycomputer

2. Konfigurieren Sie die AD FS-Software auf dem Computer so, dass sie mithilfe des AD FS-Verbundserverproxykonfigurations-Assistenten in der Verbundserverproxyrolle ausgeführt wird.

Konfigurieren eines Computers für die Verbundserverproxyrolle

3. Überprüfen Sie mithilfe der Ereignisanzeige, ob der Verbundserverproxydienst gestartet wurde.

Überprüfen, ob der Verbundserverproxy

4. Optionaler Schritt -Optimize Einstellungen für die Überlastungskontrolle zwischen Webanwendungsproxy und AD FS-Servern.

Der Extranet-Verbundserverproxy kann Anforderungen aus dem Extranet drosseln, wenn die Latenz zwischen dem Verbundserverproxy und dem Verbundserver über einen bestimmten Schwellenwert hinausgeht. Basierend auf diesem Feature lehnt der Verbundserverproxy externe Clientauthentifizierungsanforderungen ab, wenn der Verbundserver durch die Latenz zwischen dem Verbundserverproxy und dem Verbundserver auf Dienstauthentifizierungsanforderungen überladen wird. Es ist eng mit einem ähnlichen Algorithmus verbunden, der für die Überlastungskontrolle in TCP verwendet wird, die als Additive Increase Multiplicative Decrease (AIMD) bezeichnet wird. Die Lösung funktioniert mithilfe eines Überlastungsfensters, das durch einen Pool von Token dargestellt wird, die er an jede eingehende Anforderung an den Verbundserverproxy leaset.

In einem DMZ-Netzwerk mit hoher Latenz oder einem stark geladenen Verbundserverproxy ist es möglich, dass Authentifizierungsanforderungen abgelehnt werden, auch wenn der Verbundserver diese Anforderungen basierend auf den Standardeinstellungen, die diesen Algorithmus steuern, erfolgreich erfüllen kann. In einer solchen Umgebung wird dringend empfohlen, die Einstellungen zu ändern, um weniger aggressiv zu sein, indem Sie die folgenden Schritte ausführen.

  1. Starten Sie auf dem Proxycomputer des Verbundservers ein Befehlsfenster mit erhöhten Rechten.

  2. Navigieren Sie zum ADFS-Verzeichnis. Für Windows Server 2012 befindet es sich unter %windir%\ADFS. Für Windows Server 2008 und Windows Server 2008 R2 befindet es sich unter %programfiles%\Active Directory-Verbunddienste 2.0.

  3. Ändern Sie die Einstellungen für die Überlastungskontrolle von ihren Standardwerten in '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.

  4. Speichern und schließen Sie die Datei.

  5. Starten Sie den AD FS-Dienst neu, indem Sie "net stop adfssrv" ausführen und dann "net start adfssrv".

Siehe auch

Konzepte

Checkliste: Verwenden von AD FS zum Implementieren und Verwalten von einmaligem Anmelden