Configurar o acesso à extranet para o AD FS no Windows Server 2012 R2
Aplica-se a: Azure, Office 365, Power BI, Windows Intune
Este tópico descreve como instalar a função de Acesso Remoto com o serviço de função do Proxy de Aplicativo Web e como configurar o servidor Proxy do Aplicativo Web para conectá-lo a um servidor de Serviços de Federação do Active Directory (AD FS).
2.2. Instalar a função Acesso Remoto
Para implantar o Proxy do Aplicativo Web, será necessário instalar a função de Acesso Remoto com o serviço da função do Proxy de Aplicativo Web em um servidor que atue como o servidor Proxy do Aplicativo Web.
Repita este procedimento para todos os servidores que deseja implantar como servidores Proxy do Aplicativo Web.
Para instalar o serviço de função do Proxy do Aplicativo Web via a interface do usuário
No servidor do Proxy do Aplicativo Web, na consola do Gerenciamento do Servidor, no Painel, clique em Adicionar funções e recursos.
No Assistente para Adicionar Funções e Recursos, clique em Avançar três vezes para chegar à tela de seleção de função de servidor.
Na caixa de diálogo Selecionar funções do servidor, selecione Acesso Remoto e clique em Avançar.
Clique em Avançar duas vezes.
Na caixa de diálogo Selecionar serviços de funções, selecione Proxy do Aplicativo Web, clique em Adicionar Recursos e, em seguida, clique em Avançar.
Na caixa de diálogo Confirmar seleções de instalação, clique em Instalar.
Na caixa de diálogo Progresso da instalação, verifique se a instalação foi bem-sucedida e clique em Fechar.
Para instalar o serviço de função do Proxy do Aplicativo Web via o Windows PowerShel
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools
2.3. Configurar o proxy de aplicativo Web
Será necessário configurar o Proxy do Aplicativo Web para conectar-se a um servidor do AD FS.
Repita este procedimento para todos os servidores que deseja implantar como servidores Proxy do Aplicativo Web.
Para configurar o Proxy do Aplicativo Web via a Interface do Usuário
No servidor Proxy de Aplicativo Web, abra o console de Gerenciamento de Acesso Remoto: RAMgmtUI.exee pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No painel de navegação, clique em Proxy do Aplicativo Web.
Na console de Gerenciamento de Acesso Remoto, no painel central, clique em Executar o Assistente de Configuração do Proxy do Aplicativo.
No Assistente de Configuração do Proxy do Aplicativo Web, na caixa de diálogo Bem-vindo, clique em Avançar.
Na caixa de diálogo Servidor de Federação, faça o seguinte e clique em Avançar:
Na caixa Nome do serviço de federação, insira o nome do domínio totalmente qualificado (FQDN) do servidor AD FS; por exemplo, fs.fabrikam.com.
Nas caixas Nome de usuário e Senha, insira as credenciais da conta do administrador local nos servidores AD FS.
Na caixa de diálogo Certificado de Proxy do AD FS, na lista de certificados atualmente instalados no servidor Proxy do Aplicativo Web, selecione um certificado a ser usado pelo Proxy do Aplicativo Web para a funcionalidade do proxy do AD FS e clique em Avançar.
O certificado escolhido aqui deve ser aquele cuja entidade é o nome do Serviço de Federação, por exemplo, fs.fabrikam.com.
Na caixa de diálogo Confirmação, revise as configurações. Se necessário, é possível copiar o cmdlet do PowerShell para automatizar instalações adicionais. Clique em Configurar.
Na caixa de diálogo Resultados, verifique se a configuração foi bem-sucedida e clique em Fechar.
Para configurar o Proxy do Aplicativo Web via Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
O comando a seguir solicitará que insira as credenciais de uma conta de administrador local nos servidores AD FS.
Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com
Otimizar as configurações de controle de congestionamento entre o Proxy do Aplicativo Web e os servidores AD FS – etapa opcional
O Proxy do Aplicativo Web direcionado para a extranet será capaz de controlar o fluxo de solicitações da extranet se a latência entre o Proxy do Aplicativo Web e servidor de federação aumentar mais de um certo limite. Baseado neste recurso, o Proxy do Aplicativo Web rejeitará solicitações de autenticação de clientes externos se o servidor de federação estiver sobrecarregado como detectado pela latência entre o Proxy do Aplicativo Web e o servidor de federação para fornecer as solicitações de autenticação. Está intimamente relacionado a um algoritmo similar aplicado para controle de congestionamento no TCP conhecido como Incremento Aditivo Diminuição Multiplicativa (AIMD). A solução funciona usando uma janela de congestionamento representada por um pool de tokens que concede a cada solicitação de entrada para o Proxy do Aplicativo Web.
Em uma rede DMZ de latência alta ou um Proxy do Aplicativo Web altamente carregado, é possível rejeitar os pedidos de autenticação mesmo que o servidor de federação possa satisfazer esses pedidos com sucesso baseado nas configurações padrão que controlam este algoritmo. Em tal ambiente, é altamente recomendável modificar as configurações para serem menos agressivas realizando os seguintes passos.
Em seu computador Proxy do Aplicativo Web, abra uma janela de comando privilegiado.
Navegue até o diretório do ADFS em %WINDIR%\adfs\config.
Altere as configurações de controle de congestionamento de seus valores padrão para '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'.
Salve e feche o arquivo.
Reinicie o serviço do AD FS executando 'net stop adfssrv' e, em seguida, 'net start adfssrv'.
Próxima etapa
Agora que você verificou que configurou computadores web Proxy de Aplicativo, a próxima etapa é instalar Windows PowerShell para logon único com o AD FS.
Consulte Também
Conceitos
Preparar sua infraestrutura de rede para configurar o acesso à extranet
Lista de verificação: usar o AD FS para implementar e gerenciar o logon único