在使用所需的证书配置了计算机并安装了联合身份验证服务代理角色服务后,你就可以将计算机配置为联合服务器代理。可以使用以下过程,以便计算机以联合服务器代理角色进行操作。
 重要 |
|---|
| 在使用此过程来配置联合服务器代理计算机之前,请确保你已按照联合服务器代理列出的顺序遵循了Checklist: Setting Up a Federation Server Proxy中的所有步骤。请确保已部署至少一个联合服务器并且已实现授权联合服务器代理配置所需的所有必要凭据。你还必须在默认网站上配置安全套接字层 (SSL) 绑定,否则此向导不会启动。在联合服务器代理可以正常工作之前,必须先完成所有这些任务。 |
在完成计算机设置后,验证联合服务器代理是否按预期方式工作。有关详细信息,请参阅Verify That a Federation Server Proxy Is Operational。
本地计算机上的 Administrators 中的成员身份或等效身份是完成这些过程所需的最低要求。要查看有关如何使用相应帐户和组成员关系的详细信息,请访问本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477)(可能为英文网页)。
配置计算机以用于联合服务器代理角色
- 有两种方法启动 AD FS 联合服务器配置向导。若要启动该向导,请执行下列操作之一:
- 在“开始”屏幕上,键入 AD FS Federation Server Proxy Configuration Wizard,然后按 ENTER。
- 在安装向导完成后的任意时间,打开 Windows 资源管理器、导航至“C:\Windows\ADFS”文件夹,然后再双击“FspConfigWizard.exe”。
- 使用这两种方法中的任意一种,启动该向导,然后在“欢迎使用”页上,单击“下一步”。
- 在“指定联合身份验证服务名称”页上,在“联合身份验证服务名称”下,键入表示联合身份验证服务的名称,此计算机将为其以代理角色进行操作。
- 根据你的特定网络要求,确定是否将需要使用 HTTP 代理服务器将请求转发到联合身份验证服务。如果是这样,则选中“将请求发送到此联合身份验证服务时使用 HTTP 代理服务器”复选框、在“HTTP 代理服务器地址”下键入代理服务器的地址、单击“测试连接”以验证连接性,然后单击“下一步”。
- 在收到提示时,指定在此联合服务器代理和联合身份验证服务之间建立信任所需的凭据。
默认情况下,只有联合身份验证服务使用的服务帐户或本地 BUILTIN\Administrators 组的成员可以授权联合服务器代理。
- 在“已准备好应用设置”页上,查看详细信息。如果设置正确,请单击“下一步”以开始使用这些代理设置配置此计算机。
- 在“配置结果”页上,查看结果。完成所有配置步骤后,单击“关闭”以退出向导。
无法使用 Microsoft 管理控制台 (MMC) 管理单元来管理联合服务器代理。若要配置你的组织中的每个联合服务器代理,请使用 Windows PowerShell cmdlet。
配置用于代理操作的备用 TCP/IP 端口
默认情况下,联合服务器代理服务配置为使用对应 HTTPS 通信的 TCP 端口 443 和对应 HTTP 通信的端口 80 来与联合服务器进行通信。若要配置不同的端口,例如对应 HTTPS 的 TCP 端口 444 和对应 HTTP 的端口 81,则必须完成以下任务。
| 注意 |
|---|
| 如果你想要先将 AD FS 部署为在备用 TCP/IP 端口下执行,你应首先在联合服务器和联合服务器代理计算机上修改 IIS 协议绑定中对应 HTTP 和 HTTPS 的端口。应先执行此操作,再运行 AD FS 配置向导以进行初始配置。如果首先配置 Internet 信息服务 (IIS),则在 AD FS 内进行基于向导的配置时,将会发现备用的 TCP/IP 端口设置,而且没有必要执行以下过程。如果你想要以后更改端口设置,应首先更新 IIS 协议绑定,然后使用以下过程来相应地更新端口设置。有关编辑 IIS 绑定的详细信息,请参阅 Microsoft 知识库中的文章 149605 (http://go.microsoft.com/fwlink/?LinkId=190275)。 |
配置要使用的联合服务器代理的备用 TCP/IP 端口
- 配置联合服务器以使用非默认端口。
若要执行此操作,请将非默认端口号与 HttpsPort 和 HttpPort 选项一起包括在内作为 Set-ADFSProperties cmdlet 的一部分,来指定非默认端口号。例如,若要配置这些端口,可在Windows PowerShell计算机上的 联合服务器 会话中使用以下命令:
复制
Set-ADFSProperties -HttpsPort 444 Set-ADFSProperties -HttpPort 81
- 配置联合服务器代理以使用非默认端口。
若要执行此操作,请将非默认端口号与 HttpsPort 和 HttpPort 选项一起包括在内作为 Set-ADFSProxyProperties cmdlet 的一部分,来指定非默认端口号。例如,若要配置这些端口,可在Windows PowerShell计算机上的 联合服务器 会话中使用以下命令:
复制
Set-ADFSProxyProperties -HttpsPort 444 Set-ADFSProxyProperties -HttpPort 81
注意默认情况下,没有为联合服务器代理服务启用终结点 URL。如果你要配置新的联合服务器安装,则必须首先启用联合服务器代理服务终结点。例如,对于此过程中的示例所引用的所有终结点,假定你已为代理启用了它们,方法是在“AD FS 管理”管理单元中将其选中,然后选择“在代理上启用”。 - 更新联合服务器代理上的 IIS 安装,以便将安全声明标记语言 (SAML) 和 WS 信任终结点配置为反映已更新的端口号。若要执行此操作,可以使用记事本来修改 Web.config 文件中(该文件位于联合服务器代理计算机上的 systemdrive%\inetpub\adfs\ls\ 中)的以下部分。例如,假设你的联合服务器名为 sts1.contoso.com,并且新的端口号是 444,请在联合服务器代理计算机上浏览到 Web.config 文件所在的位置并使用记事本将其打开、找到以下部分、修改下面突出显示的端口号,然后保存并退出记事本。
复制
<securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport" wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
- 将联合服务器代理服务的用户帐户添加到相关终结点 URL 的访问控制列表 (ACL) 中。例如,如果端口号是 1234,并且用于运行 AD FS 联合服务器代理服务的用户帐户是内置的网络服务帐户,则在命令提示符下键入以下命令:
复制
netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service" netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service" netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
必须同时在联合服务器和联合服务器代理计算机上运行上述命令。