爲聯合服務器代理角色配置計算機

在使用所需的證書配置了計算機並安裝了聯合身份驗證服務代理角色服務後，你就能夠將計算機配置爲聯合服務器代理。可使用如下過程，以便計算機以聯合服務器代理角色進行操做。

重要
在使用此過程來配置聯合服務器代理計算機以前，請確保你已按照聯合服務器代理列出的順序遵循了Checklist: Setting Up a Federation Server Proxy中的全部步驟。請確保已部署至少一個聯合服務器而且已實現受權聯合服務器代理配置所需的全部必要憑據。你還必須在默認網站上配置安全套接字層 (SSL) 綁定，不然此嚮導不會啓動。在聯合服務器代理能夠正常工做以前，必須先完成全部這些任務。

 

在完成計算機設置後，驗證聯合服務器代理是否按預期方式工做。有關詳細信息，請參閱Verify That a Federation Server Proxy Is Operational。

本地計算機上的 Administrators 中的成員身份或等效身份是完成這些過程所需的最低要求。要查看有關如何使用相應賬戶和組成員關係的詳細信息，請訪問本地默認組和域默認組 (http://go.microsoft.com/fwlink/?LinkId=83477)（可能爲英文網頁）。

配置計算機以用於聯合服務器代理角色

---

1. 有兩種方法啓動 AD FS 聯合服務器配置嚮導。若要啓動該向導，請執行下列操做之一：

   • 在「開始」屏幕上，鍵入 AD FS Federation Server Proxy Configuration Wizard，而後按 ENTER。
     
     
   • 在安裝嚮導完成後的任意時間，打開 Windows 資源管理器、導航至「C:\Windows\ADFS」文件夾，而後再雙擊「FspConfigWizard.exe」。
     
     

2. 使用這兩種方法中的任意一種，啓動該向導，而後在「歡迎使用」頁上，單擊「下一步」。

3. 在「指定聯合身份驗證服務名稱」頁上，在「聯合身份驗證服務名稱」下，鍵入表示聯合身份驗證服務的名稱，此計算機將爲其以代理角色進行操做。

4. 根據你的特定網絡要求，肯定是否將須要使用 HTTP 代理服務器將請求轉發到聯合身份驗證服務。若是是這樣，則選中「將請求發送到此聯合身份驗證服務時使用 HTTP 代理服務器」複選框、在「HTTP 代理服務器地址」下鍵入代理服務器的地址、單擊「測試鏈接」以驗證鏈接性，而後單擊「下一步」。

5. 在收到提示時，指定在此聯合服務器代理和聯合身份驗證服務之間創建信任所需的憑據。

   默認狀況下，只有聯合身份驗證服務使用的服務賬戶或本地 BUILTIN\Administrators 組的成員能夠受權聯合服務器代理。

6. 在「已準備好應用設置」頁上，查看詳細信息。若是設置正確，請單擊「下一步」以開始使用這些代理設置配置此計算機。

7. 在「配置結果」頁上，查看結果。完成全部配置步驟後，單擊「關閉」以退出嚮導。

   沒法使用 Microsoft 管理控制檯 (MMC) 管理單元來管理聯合服務器代理。若要配置你的組織中的每一個聯合服務器代理，請使用 Windows PowerShell cmdlet。

配置用於代理操做的備用 TCP/IP 端口

---

默認狀況下，聯合服務器代理服務配置爲使用對應 HTTPS 通訊的 TCP 端口 443 和對應 HTTP 通訊的端口 80 來與聯合服務器進行通訊。若要配置不一樣的端口，例如對應 HTTPS 的 TCP 端口 444 和對應 HTTP 的端口 81，則必須完成如下任務。

注意
若是你想要先將 AD FS 部署爲在備用 TCP/IP 端口下執行，你應首先在聯合服務器和聯合服務器代理計算機上修改 IIS 協議綁定中對應 HTTP 和 HTTPS 的端口。應先執行此操做，再運行 AD FS 配置嚮導以進行初始配置。若是首先配置 Internet 信息服務 (IIS)，則在 AD FS 內進行基於嚮導的配置時，將會發現備用的 TCP/IP 端口設置，並且沒有必要執行如下過程。若是你想要之後更改端口設置，應首先更新 IIS 協議綁定，而後使用如下過程來相應地更新端口設置。有關編輯 IIS 綁定的詳細信息，請參閱 Microsoft 知識庫中的文章 149605 (http://go.microsoft.com/fwlink/?LinkId=190275)。

 

配置要使用的聯合服務器代理的備用 TCP/IP 端口

---

1. 配置聯合服務器以使用非默認端口。

   若要執行此操做，請將非默認端口號與 HttpsPort 和 HttpPort 選項一塊兒包括在內做爲 Set-ADFSProperties cmdlet 的一部分，來指定非默認端口號。例如，若要配置這些端口，可在Windows PowerShell計算機上的 聯合服務器 會話中使用如下命令：

    

   複製

   Set-ADFSProperties -HttpsPort 444
   Set-ADFSProperties -HttpPort 81
   

2. 配置聯合服務器代理以使用非默認端口。

   若要執行此操做，請將非默認端口號與 HttpsPort 和 HttpPort 選項一塊兒包括在內做爲 Set-ADFSProxyProperties cmdlet 的一部分，來指定非默認端口號。例如，若要配置這些端口，可在Windows PowerShell計算機上的 聯合服務器 會話中使用如下命令：

    

   複製

   Set-ADFSProxyProperties -HttpsPort 444
   Set-ADFSProxyProperties -HttpPort 81
   

   注意
   默認狀況下，沒有爲聯合服務器代理服務啓用終結點 URL。若是你要配置新的聯合服務器安裝，則必須首先啓用聯合服務器代理服務終結點。例如，對於此過程當中的示例所引用的全部終結點，假定你已爲代理啓用了它們，方法是在「AD FS 管理」管理單元中將其選中，而後選擇「在代理上啓用」。

    

3. 更新聯合服務器代理上的 IIS 安裝，以便將安全聲明標記語言 (SAML) 和 WS 信任終結點配置爲反映已更新的端口號。若要執行此操做，可使用記事原本修改 Web.config 文件中（該文件位於聯合服務器代理計算機上的 systemdrive%\inetpub\adfs\ls\ 中）的如下部分。例如，假設你的聯合服務器名爲 sts1.contoso.com，而且新的端口號是 444，請在聯合服務器代理計算機上瀏覽到 Web.config 文件所在的位置並使用記事本將其打開、找到如下部分、修改下面突出顯示的端口號，而後保存並退出記事本。

    

   複製

   <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
         wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
   

4. 將聯合服務器代理服務的用戶賬戶添加到相關終結點 URL 的訪問控制列表 (ACL) 中。例如，若是端口號是 1234，而且用於運行 AD FS 聯合服務器代理服務的用戶賬戶是內置的網絡服務賬戶，則在命令提示符下鍵入如下命令：

    

   複製

   netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
   netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
   netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"
   
   netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
   

   必須同時在聯合服務器和聯合服務器代理計算機上運行上述命令。