Dela via

Konfigurera en dator för federationsserverproxyrollen

När du har konfigurerat en dator med de certifikat som krävs och har installerat rolltjänsten Federationstjänstproxy är du redo att konfigurera datorn så att den blir en Federationsserverproxy. Du kan använda följande procedur för att få datorn att agera som en federationsserverproxy.

Important

Innan du använder den här proceduren för att konfigurera federationsserverproxydatorn kontrollerar du att du har följt alla steg i Checklista: Konfigurera en federationsserverproxy i den ordning som de visas. Kontrollera att minst en federationsserver har distribuerats och att alla nödvändiga autentiseringsuppgifter för att auktorisera en federationsserverproxykonfiguration har implementerats. Du måste också konfigurera SSL-bindningar (Secure Sockets Layer) på standardwebbplatsen, annars startar inte den här guiden. Alla dessa uppgifter måste slutföras innan den här federationsserverproxyn kan fungera.

När du har konfigurerat datorn kontrollerar du att federationsserverproxyn fungerar som förväntat. Mer information finns i Kontrollera att en federationsserverproxy är i drift.

Medlemskap i administratörer, eller motsvarande, på den lokala datorn är det minsta som krävs för att slutföra den här proceduren. Granska information om hur du använder lämpliga konton och gruppmedlemskap i lokala grupper och domänstandardgrupper.

Konfigurera en dator för federationsserver-proxyrollen

  1. Det finns två sätt att starta konfigurationsguiden för AD FS Federation Server. För att starta guiden, gör ett av följande:

    • startskärmen skriver dukonfigurationsguiden för AD FS-federationsserverproxy och trycker sedan på RETUR.

    • När som helst när installationsguiden är klar öppnar du Utforskaren, navigerar till mappen C:\Windows\ADFS och dubbelklickar sedan på FspConfigWizard.exe.

  2. Starta guiden med någon av metoderna och klicka på Nästa på sidan Välkommen.

  3. På sidan Ange federationstjänstnamn under Federationstjänstnamn skriver du det namn som representerar federationstjänsten som den här datorn ska agera för i proxyrollen.

  4. Baserat på dina specifika nätverkskrav avgör du om du behöver använda en HTTP-proxyserver för att vidarebefordra begäranden till federationstjänsten. I så fall markerar du kryssrutan Använd en HTTP-proxyserver när du skickar begäranden till den här federationstjänsten . Under HTTP-proxyserveradress anger du proxyserverns adress, klickar på Testa anslutning för att verifiera anslutningen och klickar sedan på Nästa.

  5. När du uppmanas att ange de autentiseringsuppgifter som krävs för att upprätta ett förtroende mellan den här federationsserverproxyn och federationstjänsten.

    Som standard kan endast det tjänstkonto som används av federationstjänsten eller en medlem i den lokala gruppen BUILTIN\Administrators auktorisera en federationsserverproxy.

  6. Granska informationen på sidan Redo att tillämpa inställningar . Om inställningarna verkar vara korrekta klickar du på Nästa för att börja konfigurera datorn med de här proxyinställningarna.

  7. Granska resultatet på sidan Konfigurationsresultat . När alla konfigurationssteg är klara klickar du på Stäng för att avsluta guiden.

    Det finns ingen snapin-modul för Microsoft Management Console (MMC) att använda för att administrera proxytjänster för federationsservrar. Om du vill konfigurera inställningar för var och en av federationsserverproxys i din organisation använder du Windows PowerShell-cmdletar.

Konfigurera en alternativ TCP/IP-port för proxyåtgärder

Som standard är federationsserverproxytjänsten konfigurerad att använda TCP-port 443 för HTTPS-trafik och port 80 för HTTP-trafik för kommunikation med federationsservern. För att konfigurera olika portar, till exempel TCP-port 444 för HTTPS och port 81 för HTTP, måste följande uppgifter utföras.

Note

Om du tänker distribuera AD FS för att fungera under alternativa TCP/IP-portar bör du först ändra portarna i dina IIS-protokollbindningar för HTTP och HTTPS på både federationsservern och federationsserverproxydatorerna. Detta bör inträffa innan du kör AD FS-konfigurationsguiderna för inledande konfiguration. Om du först konfigurerar IIS (Internet Information Services) identifieras dina alternativa TCP/IP-portinställningar när guidebaserad konfiguration sker i AD FS, och följande procedur är inte nödvändig. Om du vill ändra portinställningarna senare uppdaterar du först IIS-protokollbindningarna och använder sedan följande procedur för att uppdatera portinställningarna på rätt sätt. Mer information om hur du redigerar IIS-bindningar finns i artikeln 149605 i Microsoft Knowledge Base.

Så här konfigurerar du alternativa TCP/IP-portar för federationsserverproxyn som ska användas

  1. Konfigurera federationsservern att använda nondefault-portarna.

    Det gör du genom att ange portnumret nondefault genom att inkludera det med alternativen HttpsPort och HttpPort som en del av cmdleten Set-ADFSProperties . Om du till exempel vill konfigurera dessa portar använder du följande kommandon i Windows PowerShell-sessionen på federationsserverdatorn:

    Set-ADFSProperties -HttpsPort 444
Set-ADFSProperties -HttpPort 81

  2. Konfigurera federationsserverproxyn så att den använder nondefault-porten.

    Det gör du genom att ange nondefault-portnumret genom att inkludera det med alternativen HttpsPort och HttpPort som en del av cmdleten Set-ADFSProxyProperties . Om du till exempel vill konfigurera dessa portar använder du följande kommandon i Windows PowerShell-sessionen på federationsserverdatorn:

    Set-ADFSProxyProperties -HttpsPort 444
Set-ADFSProxyProperties -HttpPort 81

    Note

    Slutpunkts-URL:er är inte aktiverade som standard för federationsserverproxytjänsten. Om du konfigurerar en ny federationsserverinstallation måste du först aktivera tjänstslutpunkter för federationsserverproxies. Det antas till exempel att för alla slutpunkter som exemplet i den här proceduren refererar till har du aktiverat dem för proxy genom att välja dem i snapin-modulen AD FS Management och sedan välja Aktivera på proxy.

  3. Uppdatera IIS-installationen på federationsserverproxyn så att SAML (Security Assertion Markup Language) och WS-Trust slutpunkter konfigureras för att återspegla det uppdaterade portnumret. För att göra detta kan du använda Anteckningar för att ändra följande i filen Web.config, som finns på systemdrive%\inetpub\adfs\ls\ på federationsserverns proxy-dator. Anta till exempel att du har en federationsserver med namnet sts1.contoso.com och det nya portnumret är 444, öppna filen Web.config i programmet Anteckningar på federationsserverproxydatorn, leta upp följande avsnitt, ändra portnumret enligt nedan och spara och stäng Anteckningar.

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
      wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />

  4. Lägg till användarkontot för federationsserverproxytjänsten i åtkomstkontrollistan (ACL) för de relaterade slutpunkts-URL:erna. Om portnumret till exempel är 1234 och användarkontot som används för att köra AD FSfederation-serverproxytjänsten under är det inbyggda nätverkstjänstkontot skriver du följande kommando i en kommandotolk:

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"

netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"

    De tidigare kommandona måste köras på både federationsservern och federationsserverproxydatorerna.

Ytterligare referenser

Checklista: Konfigurering av proxy för federationsserver