为联合服务器代理角色配置计算机

在使用所需的证书配置了计算机并安装了联合身份验证服务代理角色服务后,你就可以将计算机配置为联合服务器代理。可以使用以下过程,以便计算机以联合服务器代理角色进行操作。

重要
在使用此过程来配置联合服务器代理计算机之前,请确保你已按照联合服务器代理列出的顺序遵循了Checklist: Setting Up a Federation Server Proxy中的所有步骤。请确保已部署至少一个联合服务器并且已实现授权联合服务器代理配置所需的所有必要凭据。你还必须在默认网站上配置安全套接字层 (SSL) 绑定,否则此向导不会启动。在联合服务器代理可以正常工作之前,必须先完成所有这些任务。

在完成计算机设置后,验证联合服务器代理是否按预期方式工作。有关详细信息,请参阅Verify That a Federation Server Proxy Is Operational

本地计算机上的 Administrators 中的成员身份或等效身份是完成这些过程所需的最低要求。要查看有关如何使用相应帐户和组成员关系的详细信息,请访问本地默认组和域默认组 (http://go.microsoft.com/fwlink/?LinkId=83477)(可能为英文网页)。

配置计算机以用于联合服务器代理角色


  1. 有两种方法启动 AD FS 联合服务器配置向导。若要启动该向导,请执行下列操作之一:

    • 在“开始”屏幕上,键入 AD FS Federation Server Proxy Configuration Wizard,然后按 ENTER。
    • 在安装向导完成后的任意时间,打开 Windows 资源管理器、导航至“C:\Windows\ADFS”文件夹,然后再双击“FspConfigWizard.exe”。
  2. 使用这两种方法中的任意一种,启动该向导,然后在“欢迎使用”页上,单击“下一步”。
  3. 在“指定联合身份验证服务名称”页上,在“联合身份验证服务名称”下,键入表示联合身份验证服务的名称,此计算机将为其以代理角色进行操作。
  4. 根据你的特定网络要求,确定是否将需要使用 HTTP 代理服务器将请求转发到联合身份验证服务。如果是这样,则选中“将请求发送到此联合身份验证服务时使用 HTTP 代理服务器”复选框、在“HTTP 代理服务器地址”下键入代理服务器的地址、单击“测试连接”以验证连接性,然后单击“下一步”。
  5. 在收到提示时,指定在此联合服务器代理和联合身份验证服务之间建立信任所需的凭据。

    默认情况下,只有联合身份验证服务使用的服务帐户或本地 BUILTIN\Administrators 组的成员可以授权联合服务器代理。

  6. 在“已准备好应用设置”页上,查看详细信息。如果设置正确,请单击“下一步”以开始使用这些代理设置配置此计算机。
  7. 在“配置结果”页上,查看结果。完成所有配置步骤后,单击“关闭”以退出向导。

    无法使用 Microsoft 管理控制台 (MMC) 管理单元来管理联合服务器代理。若要配置你的组织中的每个联合服务器代理,请使用 Windows PowerShell cmdlet。

配置用于代理操作的备用 TCP/IP 端口


默认情况下,联合服务器代理服务配置为使用对应 HTTPS 通信的 TCP 端口 443 和对应 HTTP 通信的端口 80 来与联合服务器进行通信。若要配置不同的端口,例如对应 HTTPS 的 TCP 端口 444 和对应 HTTP 的端口 81,则必须完成以下任务。

注意
如果你想要先将 AD FS 部署为在备用 TCP/IP 端口下执行,你应首先在联合服务器和联合服务器代理计算机上修改 IIS 协议绑定中对应 HTTP 和 HTTPS 的端口。应先执行此操作,再运行 AD FS 配置向导以进行初始配置。如果首先配置 Internet 信息服务 (IIS),则在 AD FS 内进行基于向导的配置时,将会发现备用的 TCP/IP 端口设置,而且没有必要执行以下过程。如果你想要以后更改端口设置,应首先更新 IIS 协议绑定,然后使用以下过程来相应地更新端口设置。有关编辑 IIS 绑定的详细信息,请参阅 Microsoft 知识库中的文章 149605 (http://go.microsoft.com/fwlink/?LinkId=190275)。

配置要使用的联合服务器代理的备用 TCP/IP 端口


  1. 配置联合服务器以使用非默认端口。

    若要执行此操作,请将非默认端口号与 HttpsPortHttpPort 选项一起包括在内作为 Set-ADFSProperties cmdlet 的一部分,来指定非默认端口号。例如,若要配置这些端口,可在Windows PowerShell计算机上的 联合服务器 会话中使用以下命令:

    复制

    Set-ADFSProperties -HttpsPort 444
    Set-ADFSProperties -HttpPort 81
    
  2. 配置联合服务器代理以使用非默认端口。

    若要执行此操作,请将非默认端口号与 HttpsPortHttpPort 选项一起包括在内作为 Set-ADFSProxyProperties cmdlet 的一部分,来指定非默认端口号。例如,若要配置这些端口,可在Windows PowerShell计算机上的 联合服务器 会话中使用以下命令:

    复制

    Set-ADFSProxyProperties -HttpsPort 444
    Set-ADFSProxyProperties -HttpPort 81
    
    注意
    默认情况下,没有为联合服务器代理服务启用终结点 URL。如果你要配置新的联合服务器安装,则必须首先启用联合服务器代理服务终结点。例如,对于此过程中的示例所引用的所有终结点,假定你已为代理启用了它们,方法是在“AD FS 管理”管理单元中将其选中,然后选择“在代理上启用”。

  3. 更新联合服务器代理上的 IIS 安装,以便将安全声明标记语言 (SAML) 和 WS 信任终结点配置为反映已更新的端口号。若要执行此操作,可以使用记事本来修改 Web.config 文件中(该文件位于联合服务器代理计算机上的 systemdrive%\inetpub\adfs\ls\ 中)的以下部分。例如,假设你的联合服务器名为 sts1.contoso.com,并且新的端口号是 444,请在联合服务器代理计算机上浏览到 Web.config 文件所在的位置并使用记事本将其打开、找到以下部分、修改下面突出显示的端口号,然后保存并退出记事本。

    复制

    <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
          wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
    
  4. 将联合服务器代理服务的用户帐户添加到相关终结点 URL 的访问控制列表 (ACL) 中。例如,如果端口号是 1234,并且用于运行 AD FS 联合服务器代理服务的用户帐户是内置的网络服务帐户,则在命令提示符下键入以下命令:

    复制

    netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
    netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
    netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"
    
    netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
    

    必须同时在联合服务器和联合服务器代理计算机上运行上述命令。

时间: 2024-10-17 18:40:44

为联合服务器代理角色配置计算机的相关文章

【转】Nginx服务器的反向代理proxy_pass配置方法讲解

[转]Nginx服务器的反向代理proxy_pass配置方法讲解 转自:http://www.jb51.net/article/78746.htm 就普通的反向代理来讲Nginx的配置还是比较简单的,如: location ~ /* { proxy_pass http://127.0.0.1:8008; } 或者可以 location / { proxy_pass http://127.0.0.1:8008; } Apache2的反向代理的配置是: ProxyPass /ysz/ http://

Windows azure 联合身份验证服务配置(SSO)

说到SSO,相信大家已经很熟悉了,SSO=单点登录,当然也有叫目录集成的说法.那在windows azure上实现SSO会有什么效果呢?如果我们的机构内部已经在使用本地的 Active Directory,则可将其与我们的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加简化的登录体验. Azure AD 支持以下两种目录集成功能: l 目录同步 - 用于将本地目录对象(用户.组.联系人)与云同步,以帮助减小管理开 销.设置目录同步后,管理员可将本地 Active

Office365 联合身份验证服务配置-单点登录(SSO)

上篇文章我们介绍了office365国际版本及office365国内版本的功能介绍,今天主要说一下office365环境内配置实现SSO,其实说到sso相信大家已经很熟悉了(我们同样在之前的文章中有介绍windows azure部署sso)单点登录,当然也有叫目录集成的说法.那在office365上实现SSO会有什么效果呢?如果我们的机构内部已经在使用本地的 Active Directory,则可将其与我们的 Azure AD 目录相集成,借此可自动执行基于云的管理任务,并可向用户提供更加简化的

七、Web服务器Apache的配置和管理

万维网Web,是在Internet上以超文本为基础形成的信息网.用户通过浏览器可以访问Web服务器上的信息资源,目前在Linux操作系统上最常用的Web服务器软件是Apache.Apache是一种开源的HTTP服务器软件,可以在包括UNIX.Linux以及Windows在内的大多数主流计算机操作系统中运行. 7.1.Apache简介 Apache是一款开源软件,所以得到了开源社区支持,不断开发出新的功能特性,并修补了原来的缺陷 .经过多年来不断的完善,如今的Apache已经是最流行的Web服务器

Cisco PT模拟实验(18) 路由器DHCP服务器及中继配置

Cisco PT模拟实验(18) 路由器DHCP服务器及中继配置 实验目的: 掌握路由器DHCP服务器的配置方法 掌握DHCP中继代理的配置方法 掌握DHCP协议及其中继的原理及实现过程 实验背景: 随着公司网络规模不断扩大,公司内办公电脑越来越多,原先的固定IP接入方案已经不再适用于复杂多变的网络环境.为了简化网管的管理维护工作,公司决定采用将路由器配置为DHCP服务器,使得企业网内部主机接入后自动获取IP地址,从而实现主机之间的相互通信. 技术原理: DHCP(Dynamic Host Co

Nginx反向代理的配置

Chapter: Nginx基本操作释疑 1. Nginx的端口修改问题 2. Nginx 301重定向的配置 3. Windows下配置Nginx使之支持PHP 4. Linux下配置Nginx使之支持PHP 5. 以源码编译的方式安装PHP与php-fpm 6. Nginx多站点配置的一次实践 7. Nginx反向代理的配置 Nginx 作为 web 服务器一个重要的功能就是反向代理.其实我们在前面的一篇文章<Nginx多站点配置的一次实践>里,用的就是 Nginx 的反向代理,这里简单再

haproxy代理https配置方法

记得在之前的一篇文章中介绍了nginx反向代理https的方法,今天这里介绍下haproxy代理https的方法: haproxy代理https有两种方式:1)haproxy服务器本身提供ssl证书,后面的web服务器走正常的http 2)haproxy服务器本身只提供代理,后面的web服务器走https(配置ssl证书) 第一种方式:haproxy服务器本身提供ssl证书 注意:需要编译haproxy的时候支持ssl编译参数: #make TARGET=linux26 USE_OPENSSL=

nginx服务器代理获取接口数据

自从学会用nginx服务器代理抓取数据,妈妈再也不用担心我写DEMO时拿不到数据了,从此你也摆脱了自己造数据的烦恼.哇!又出新框架了,走,写个DEMO练习去,那我们用React.JS仿制个淘宝出来吧,淘宝数据怎么办???so easy , 直接去抓取接口数据就可以了. 一.下载nginx服务器 去nginx官网下载nginx服务器,我们就下载nginx/Windows-1.8.1 pgp 这个吧! 二.配置环境 1. 将下载的压缩包解压后获得如下图所示的文件夹: 2.打开conf文件夹并打开ng

Apache服务器的简单配置与安全策略

在之前讲的关于weevely后门分析中,有说到利用Apache的配置文件.htaccess来隐藏php后门.关于.htaccess文件的用途,在此结合Apache服务器的具体配置作一详解,也算是自己的学习笔记了... 一  Apache服务器的搭建 详见之前的博文:CentOS 6.0下phpvod搭建教程(LAMP+phpvod) 二  httpd.conf文件的全局配置 1. ServerRoot  设置服务器目录的绝对路径,即Apache服务器的安装及配置文件.一般在/etc/httpd目