Alias windows server 2012

Содержание
  1. Alias windows server 2012
  2. Answered by:
  3. Question
  4. Answers
  5. All replies
  6. Alias windows server 2012
  7. Answered by:
  8. Question
  9. Answers
  10. All replies
  11. Apex ANAME / ALIAS record in Windows Server 2012 R2 DNS Manager
  12. Symptoms
  13. Why is there only a matching cert at www.example.com and not example.com?
  14. Why not put the matching cert on that upstream server?
  15. Constraint
  16. Настройка лабораторной среды для служб федерации Active Directory в Windows Server 2012 R2 Set up the lab environment for AD FS in Windows Server 2012 R2
  17. Шаг 1. Настройка контроллера домена (DC1) Step 1: Configure the domain controller (DC1)
  18. Создание тестовых учетных записей Active Directory Create test Active Directory accounts
  19. Создание учетной записи GMSA Create a GMSA account
  20. Шаг 2. Настройка сервера федерации (ADFS1) с помощью службы регистрации устройств. Step 2: Configure the federation server (ADFS1) by using Device Registration Service
  21. Установка SSL-сертификата сервера Install a server SSL certificate
  22. Установка роли сервера AD FS Install the AD FS server role
  23. Настройка сервера федерации Configure the federation server
  24. Настройка службы регистрации устройств Configure Device Registration Service
  25. Добавление записей ресурсов узла (А) и псевдонима (CNAME) в DNS Add Host (A) and Alias (CNAME) Resource Records to DNS
  26. Шаг 3. Настройка веб-сервера (WebServ1) и примера приложения на основе утверждений Step 3: Configure the web server (WebServ1) and a sample claims-based application
  27. Установка роли веб-сервера и Windows Identity Foundation Install the Web Server role and Windows Identity Foundation
  28. Установка набора инструментов Windows Identity Foundation SDK Install Windows Identity Foundation SDK
  29. Настройка примера приложения на базе утверждений в IIS Configure the simple claims app in IIS
  30. Создание отношений доверия с проверяющей стороной на сервере федерации Create a relying party trust on your federation server
  31. Шаг 4. Настройка клиентского компьютера (клиент1) Step 4: Configure the client computer (Client1)

Alias windows server 2012

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

I noticed that once you publish an app through the GUI wizards it cannot be easily be modified.

If let’s say the executable file is changed in the future, when I go edit properties, the filepath and alias are grayed out.

With powershell I have been able to use the following command to modify the filepath (assume originally was app1.exe):

Now this works, file path is changed.

But if I want to change the alias from alias1 to alias2, I don’t seem to be able to do this.

Does anyone know how to achieve this?

Any help very much appreciated, thanks in advance.

Answers

Thanks for your comment.

Sorry for late response. But I am afraid that the way which you want is not possible and we need to republish the RemoteApp as needed for our work.

Thanks for your understanding and support!

All replies

Thank you for posting in Windows Server Forum.

We can only change the alias by deleting the RemoteApp and re-creating it using Powershell. Please check below blog for more information.
Step by Step Windows 2012 R2 Remote Desktop Services – Part 4
http://msfreaks.wordpress.com/2014/01/08/step-by-step-windows-2012-r2-remote-desktop-services-part-4/

Thank you for posting in Windows Server Forum.

We can only change the alias by deleting the RemoteApp and re-creating it using Powershell. Please check below blog for more information.
Step by Step Windows 2012 R2 Remote Desktop Services – Part 4
http://msfreaks.wordpress.com/2014/01/08/step-by-step-windows-2012-r2-remote-desktop-services-part-4/

Hi Dharmesh and thanks for your reply.

The reason why I wanted to change the alias is this:

Therefore I have to un-publish the old one and then re-publish the new one for the same application basically.

When I launch Server Manager to modify the executable name, it is grayed-out and also the alias is grayed out. I cannot understand why Microsoft would not allow me to edit the fields. In Citrix Delivery Console I can do that.

I managed to change the executable name with powershell but not the alias.

It would be great if all fields could be changed without re-publishing the app again.

Источник

Alias windows server 2012

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

I have a server upgraded from Windows 2008 R2 to Windows Server 2012.

I need to access the share on a server locally with an alias (CNAME). \\alias.domain.name\localshare

The DFS still work but not with the alias.

It was working before the upgrade.

There are fixes for 2003/2000 but it is not working for Win2012.

Ex: Connecting to SMB share on a Windows 2000-based computer or a Windows Server 2003-based computer may not work with an alias name http://support.microsoft.com/kb/281308?wa=wsignin1.0

Any idea how to fix this for Windows Server 2012?

Answers

2. Go to HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Lsa

3. Create REG_DWORD with name DisableLoopbackCheck and value 1

4. Now you can test it 🙂

All replies

Have you try to access it with FQDN? Does it work? Please also verify the currently logon user have proper right to access the Share folder.

Best Regards,
Aiden

Aiden Cao
TechNet Community Support

FQDN/Netbios/DFS it all works when I acces the share remotely. No prompt for credentials.

Locally on the server where the share is, logged in as administrator (or a domain admins user) I am prompt for credentials if I use the CNAME (alias) of the server. If I use the server name/FQDN/DFS it all works.

It may be something with SMB 3 being more strict. On win2k3/Win2008 aplying the regkey DisableStrictNameChecking worked.

Quote from the fix: http://support.microsoft.com/kb/281308?wa=wsignin1.0

Start Registry Editor (Regedt32.exe).

Источник

Apex ANAME / ALIAS record in Windows Server 2012 R2 DNS Manager

Some DNS hosts offer a way to have an A record that serves an IP address which is determined on-the-fly (or frequently enough via scheduled job) by resolving some other hostname behind the scenes. This is used when example.com (and not a subdomain like www.example.com) MUST point to a host whose IP address changes from time to time, without requiring human intervention every time it changes. The result is that resolving example.com produces an A record, where that A record’s IP address is determined by the nameserver dynamically by looking up the IP address of another.example.com which itself could be a CNAME.

DNS Made Easy and easyDNS call it an «ANAME record», Route 53 calls it an «alias resource record», CloudFlare calls it «CNAME Flattening», DNSimple calls it an «ALIAS record». Regardless of what they call it, a standard A record is returned when resolving the hostname.

I haven’t come across a publication on how one might implement this, although it’s a fairly obvious concept. I intend to replicate this behavior in my nameserver, which is the DNS Manager in Windows Server 2012 R2. Does a plugin for DNS Manager exist for doing this?

EDIT: To avoid the XY problem I’m going to provide full background, starting with The Problem in terms of symptoms, and traversing back through the dependencies since they are an indication of what solutions have and haven’t been tried.

Symptoms

SSL/TLS connections to the apex domain (example.com) generate a certificate mismatch. Such connections are not attempted very often, but increasingly so, due to things such as automatic host detection by email clients. For example, we just put in Exchange as our client-facing mail server, and when adding user@example.com as an Exchange account in Android or Mac Mail, the auto host discovery apparently derives «typical» hostnames such as example.com, mail.example.com, exchange.example.com, etc., and gives the user a Big Scary Warning that the CN on the certificate at example.com is not example.com. We actually use exchange.example.com which has a matching cert, but the auto detection must be trying example.com first.

The mismatch warning also occurs when a web browser is pointed to https://example.com, but this is mitigated by the fact that most people type example.com into their address bar, not prefixed with https://, so they end up being upgraded to https://www.example.com with a redirect when necessary. Since www.example.com has a CNAME, so it is able to point to a host where there is no CN mismatch.

Why is there only a matching cert at www.example.com and not example.com?

The server with our matching cert (which, by the way, can easily have SAN entries to match both example.com and *.example.com, no trouble there) is located on an AWS ELB (elastic load balancer) for which Amazon warns that the IP address may change at any time. Due to the dynamic IP address, the ELB is only to be referred to via its hostname, which means a CNAME/ANAME/Flattening/etc. That’s why we are able to point www.example.com to the ELB, but not example.com. Amazon suggests using Route 53 to overcome any limitations. When that is not possible, the only solution is to have example.com’s A record point not to the ELB, but instead to the upstream server to which normally the ELB reverse proxies.

Читайте также:  Anselsdk64 dll для windows 7

Why not put the matching cert on that upstream server?

Only the ELB itself is dedicated to me, so only the ELB can have my wildcard cert installed. The upstream server is shared among the hosting provider’s clientele. I could have the hosting company add example.com to their laundry list of SANs on their certificate and there wouldn’t be a mismatch, but instead I am interested in making full use of the ELB for various reasons.

Constraint

We are fixed on running DNS in-house on Win2012R2, while all WWW hosts must be on AWS for resiliency.

Источник

Настройка лабораторной среды для служб федерации Active Directory в Windows Server 2012 R2 Set up the lab environment for AD FS in Windows Server 2012 R2

В этой статье описаны шаги по настройке тестовой среды, которую можно использовать для выполнения инструкций следующих пошаговых руководств. This topic outlines the steps to configure a test environment that can be used to complete the walkthroughs in the following walkthrough guides:

Не рекомендуется устанавливать на одном компьютере и веб-сервер, и сервер федерации. We do not recommend that you install the web server and the federation server on the same computer.

Для настройки данной тестовой среды выполните следующие шаги. To set up this test environment, complete the following steps:

Шаг 1. Настройка контроллера домена (DC1) Step 1: Configure the domain controller (DC1)

Для целей этой тестовой среды можно вызвать корневой Active Directory домена contoso.com и указать в pass@word1 качестве пароля администратора. For the purposes of this test environment, you can call your root Active Directory domain contoso.com and specify pass@word1 as the administrator password.

Создание тестовых учетных записей Active Directory Create test Active Directory accounts

После того как контроллер домена станет функциональным, можно создать тестовую группу и тестовые учетные записи пользователей в этом домене и добавить учетную запись пользователя в учетную запись группы. After your domain controller is functional, you can create a test group and test user accounts in this domain and add the user account to the group account. Эти учетные записи используются для выполнения пошаговых инструкций в соответствующих руководствах, которые перечислены ранее в этой статье. You use these accounts to complete the walkthroughs in the walkthrough guides that are referenced earlier in this topic.

Создайте следующие учетные записи. Create the following accounts:

Пользователь: Роберт хатлэй со следующими учетными данными: имя пользователя: роберс и пароль: P@ssword User: Robert Hatley with the following credentials: User name: RobertH and password: P@ssword

Группа: Finance Group: Finance

Создание учетной записи GMSA Create a GMSA account

Учетная запись групповой управляемой учетной записи службы (GMSA) требуется во время установки и настройки службы федерации Active Directory (AD FS) (AD FS). The group Managed Service Account (GMSA) account is required during the Active Directory Federation Services (AD FS) installation and configuration.

Создание групповой управляемой учетной записи службы To create a GMSA account

Откройте командное окно Windows PowerShell и введите: Open a Windows PowerShell command window and type:

Шаг 2. Настройка сервера федерации (ADFS1) с помощью службы регистрации устройств. Step 2: Configure the federation server (ADFS1) by using Device Registration Service

Чтобы настроить другую виртуальную машину, установите Windows Server 2012 R2 и подключите ее к домену contoso.com. To set up another virtual machine, install Windows Server 2012 R2 and connect it to the domain contoso.com. Настройте компьютер после его присоединения к домену, а затем перейдите к установке и настройке роли AD FS. Set up the computer after you have joined it to the domain, and then proceed to install and configure the AD FS role.

Установка SSL-сертификата сервера Install a server SSL certificate

Необходимо установить SSL-сертификат на сервере ADFS1 в хранилище локального компьютера. You must install a server Secure Socket Layer (SSL) certificate on the ADFS1 server in the local computer store. Сертификат ДОЛЖЕН иметь следующие атрибуты. The certificate MUST have the following attributes:

Имя субъекта (CN): adfs1.contoso.com Subject Name (CN): adfs1.contoso.com

Альтернативное имя субъекта (DNS): adfs1.contoso.com Subject Alternative Name (DNS): adfs1.contoso.com

Альтернативное имя субъекта (DNS): enterpriseregistration.contoso.com Subject Alternative Name (DNS): enterpriseregistration.contoso.com

Дополнительные сведения о настройке SSL-сертификатов см. в разделе Настройка SSL и TLS на веб-сайте в домене с помощью ЦС предприятия. For more information about setting up SSL certificates, see Configure SSL/TLS on a Web site in the domain with an Enterprise CA.

Установка роли сервера AD FS Install the AD FS server role

Установка службы роли службы федерации To install the Federation Service role service

Запустите диспетчер серверов. Start Server Manager. Для запуска диспетчера серверов щелкните Диспетчер серверов на экране Запуск в ОС Windows или щелкните Диспетчер серверов на панели задач Windows рабочего стола Windows. To start Server Manager, click Server Manager on the Windows Start screen, or click Server Manager on the Windows taskbar on the Windows desktop. На вкладке Быстрый запуск плитки приветствия на странице Панель мониторинга щелкните Добавить роли и компоненты. On the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. Либо выберите пункт Добавить роли и компоненты в меню Управление. Alternatively, you can click Add Roles and Features on the Manage menu.

На странице Перед работой нажмите кнопку Далее. On the Before you begin page, click Next.

На странице Выбор типа установки щелкните Установка ролей или компонентов, а затем нажмите кнопку Далее. On the Select installation type page, click Role-based or feature-based installation, and then click Next.

На странице Выбор целевого сервера щелкните Выбрать сервер из пула серверов, убедитесь, что выбран целевой компьютер, а затем нажмите кнопку Далее. On the Select destination server page, click Select a server from the server pool, verify that the target computer is selected, and then click Next.

На странице Выбор ролей сервера выберите пункт Службы федерации Active Directory и нажмите кнопку Далее. On the Select server roles page, click Active Directory Federation Services, and then click Next.

На странице Выбор компонентов нажмите кнопку Далее. On the Select features page, click Next.

На странице Служба федерации Active Directory нажмите кнопку Далее. On the Active Directory Federation Service (AD FS) page, click Next.

После проверки информации на странице Проверьте выбранные компоненты установки установите флажок При необходимости автоматически перезагрузить конечный сервер, после чего нажмите кнопку Установить. After you verify the information on the Confirm installation selections page, select the Restart the destination server automatically if required check box, and then click Install.

На странице Ход установки проверьте, правильно ли установились все компоненты, и нажмите кнопку Закрыть. On the Installation progress page, verify that everything installed correctly, and then click Close.

Настройка сервера федерации Configure the federation server

Следующий шаг — настройка сервера федерации. The next step is to configure the federation server.

Настройка сервера федерации To configure the federation server

На странице Панель мониторинга диспетчера сервера установите флажок Уведомления, а затем выберите Настроить службу федерации на этом сервере. On the Server Manager Dashboard page, click the Notifications flag, and then click Configure the federation service on the server.

Откроется Мастер конфигурации служб федерации Active Directory. The Active Directory Federation Service Configuration Wizard opens.

На странице Приветствие щелкните Создать первый сервер федерации на ферме серверов федерации и нажмите кнопку Далее. On the Welcome page, select Create the first federation server in a federation server farm, and then click Next.

На странице Подключиться к AD DS укажите учетную запись с правами администратора домена для домена Active Directory contoso.com, к которому подсоединен этот компьютер, а затем нажмите кнопку Далее. On the Connect to AD DS page, specify an account with domain administrator rights for the contoso.com Active Directory domain that this computer is joined to, and then click Next.

На странице Укажите свойства службы выполните следующее, а затем нажмите кнопку Далее. On the Specify Service Properties page, do the following, and then click Next:

Импортируйте полученный ранее SSL-сертификат. Import the SSL certificate that you have obtained earlier. Этот сертификат является необходимым сертификатом аутентификации службы. This certificate is the required service authentication certificate. Перейдите в расположение SSL-сертификата. Browse to the location of your SSL certificate.

Чтобы предоставить имя для вашей службы федерации, введите adfs1.contoso.com. To provide a name for your federation service, type adfs1.contoso.com. Это то же значение, что и предоставленное при регистрации SSL-сертификата в службах сертификатов Active Directory (AD CS). This value is the same value that you provided when you enrolled an SSL certificate in Active Directory Certificate Services (AD CS).

Читайте также:  Torrent низкая скорость скачивания windows 10

Для предоставления отображаемого имени службы федерации введите Contoso Corporation. To provide a display name for your federation service, type Contoso Corporation.

На странице Укажите учетную запись службы выберите Использовать существующую учетную запись пользователя домена или групповую управляемую учетную запись служб, а затем укажите учетную запись GMSA fsgmsa, созданную при создании контроллера домена. On the Specify Service Account page, select Use an existing domain user account or group Managed Service Account, and then specify the GMSA account fsgmsa that you created when you created the domain controller.

На странице Укажите базу данных конфигурации выберите Создать на этом сервере базу данных на основе внутренней базы данных Windows, а затем нажмите кнопку Далее. On the Specify Configuration Database page, select Create a database on this server using Windows Internal Database, and then click Next.

На странице Просмотр параметров проверьте выбранные параметры конфигурации и нажмите кнопку Далее. On the Review Options page, verify your configuration selections, and then click Next.

На странице Предварительные проверки убедитесь, что все предварительные проверки успешно пройдены, и нажмите кнопку Настроить. On the Pre-requisite Checks page, verify that all prerequisite checks were successfully completed, and then click Configure.

На странице Результаты проверьте результаты, убедитесь, что конфигурация успешно завершена, а затем нажмите Для развертывания службы федерации нужно выполнить следующие действия. On the Results page, review the results, check whether the configuration has completed successfully, and then click Next steps required for completing your federation service deployment.

Настройка службы регистрации устройств Configure Device Registration Service

Настройка службы регистрации устройств для Windows Server 2012 RTM To configure Device Registration Service for Windows Server 2012 RTM

Дальнейший шаг актуален для сборки Windows Server 2012 R2 RTM. The following step applies to the Windows Server 2012 R2 RTM build.

Откройте командное окно Windows PowerShell и введите: Open a Windows PowerShell command window and type:

В ответ на запрос ввода учетной записи службы введите contoso\fsgmsa$. When you are prompted for a service account, type contoso\fsgmsa$.

Теперь запустите командлет Windows PowerShell. Now run the Windows PowerShell cmdlet.

На сервере ADFS1 на консоли Управление AD FS перейдите в раздел Политики аутентификации. On the ADFS1 server, in the AD FS Management console, navigate to Authentication Policies. Выберите Редактировать глобальную первичную аутентификацию. Select Edit Global Primary Authentication. Установите флажок в поле Включить аутентификацию устройств и нажмите кнопку ОК. Select the check box next to Enable Device Authentication, and then click OK.

Добавление записей ресурсов узла (А) и псевдонима (CNAME) в DNS Add Host (A) and Alias (CNAME) Resource Records to DNS

В DC1 необходимо убедиться, что для службы регистрации устройств созданы следующие записи доменной службы имен (DNS). On DC1, you must ensure that the following Domain Name System (DNS) records are created for Device Registration Service.

Ввод Entry Тип Type Адрес Address
adfs1 adfs1 Узел (A) Host (A) IP-адрес сервера AD FS IP address of the AD FS server
enterpriseregistration enterpriseregistration Псевдоним (CNAME) Alias (CNAME) adfs1.contoso.com adfs1.contoso.com

Можно воспользоваться следующей процедурой для добавления записи ресурса узла (А) на корпоративные серверы DNS-имен для сервера федерации и службы регистрации устройств. You can use the following procedure to add a host (A) resource record to corporate DNS name servers for the federation server and Device Registration Service.

Членство в группе «Администраторы» или эквивалентной ей группе является минимальным требованием для выполнения этой процедуры. Membership in the Administrators group or an equivalent is the minimum requirement to complete this procedure. Проверьте сведения об использовании соответствующих учетных записей и членства в группах в ГИПЕРССЫЛКе » https://go.microsoft.com/fwlink/?LinkId=83477 » локальных и доменных групп по умолчанию ( https://go.microsoft.com/fwlink/p/?LinkId=83477 ). Review details about using the appropriate accounts and group memberships in the HYPERLINK «https://go.microsoft.com/fwlink/?LinkId=83477» Local and Domain Default Groups (https://go.microsoft.com/fwlink/p/?LinkId=83477).

Добавление записей ресурсов узла (А) и псевдонима (CNAME) в DNS для сервера федерации To add a host (A) and alias (CNAME) resource records to DNS for your federation server

В DC1 из диспетчера серверов в меню Сервис щелкните DNS, чтобы открыть оснастку DNS. On DC1, from Server Manager, on the Tools menu, click DNS to open the DNS snap-in.

В дереве консоли разверните DC1, затем — Зоны прямого просмотра, щелкните правой кнопкой мыши contoso.com, а затем щелкните Новый узел (А или АААА). In the console tree, expand DC1, expand Forward Lookup Zones, right-click contoso.com, and then click New Host (A or AAAA).

В поле Имя введите требуемое имя фермы AD FS. In Name, type the name you want to use for your AD FS farm. Для данного пошагового руководства введите adfs1. For this walkthrough, type adfs1.

В поле IP-адрес введите IP-адрес сервера ADFS1. In IP address, type the IP address of the ADFS1 server. Нажмите кнопку Добавить узел. Click Add Host.

Щелкните правой кнопкой contoso.com, а затем — Новый псевдоним (CNAME). Right-click contoso.com, and then click New Alias (CNAME).

В диалоговом окне Новая запись ресурса введите enterpriseregistration в поле Имя псевдонима. In the New Resource Record dialog box, type enterpriseregistration in the Alias name box.

В поле полного доменного имени целевого узла введите adfs1.contoso.com и нажмите кнопку ОК. In the Fully Qualified Domain Name (FQDN) of the target host box, type adfs1.contoso.com, and then click OK.

В реальном развертывании, если у компании несколько суффиксов имени участника-пользователя, необходимо создать несколько записей CNAME, по одной для каждого из этих суффиксов в DNS. In a real-world deployment, if your company has multiple user principal name (UPN) suffixes, you must create multiple CNAME records, one for each of those UPN suffixes in DNS.

Шаг 3. Настройка веб-сервера (WebServ1) и примера приложения на основе утверждений Step 3: Configure the web server (WebServ1) and a sample claims-based application

Настройте виртуальную машину (WebServ1), установив операционную систему Windows Server 2012 R2 и подключая ее к домену contoso.com. Set up a virtual machine (WebServ1) by installing the Windows Server 2012 R2 operating system and connect it to the domain contoso.com. После подключения к домену можно продолжить установку и настройку роли веб-сервера. After it is joined to the domain, you can proceed to install and configure the Web Server role.

Для завершения пошаговых руководств, перечисленных ранее в этом разделе, необходимо иметь пример приложения, безопасность которого обеспечивается вашим сервером федерации (ADFS1). To complete the walkthroughs that were referenced earlier in this topic, you must have a sample application that is secured by your federation server (ADFS1).

Вы можете скачать пакет SDK для Windows Identity Foundation ( https://www.microsoft.com/download/details.aspx?id=4451 в состав которого входит пример приложения на основе утверждений. You can download Windows Identity Foundation SDK (https://www.microsoft.com/download/details.aspx?id=4451, which includes a sample claims-based application.

Для настройки веб-сервера с использованием примера приложения на основе утверждений необходимо выполнить следующие действия. You must complete the following steps to set up a web server with this sample claims-based application.

Эти действия были протестированы на веб-сервере под управлением операционной системы Windows Server 2012 R2. These steps have been tested on a web server that runs the Windows Server 2012 R2 operating system.

Установка роли веб-сервера и Windows Identity Foundation Install the Web Server role and Windows Identity Foundation

Необходимо иметь доступ к установочному носителю Windows Server 2012 R2. You must have access to the Windows Server 2012 R2 installation media.

В диспетчере серверов на вкладке Быстрый запуск плитки Приветствие на странице Панель мониторинга щелкните Добавить роли и компоненты. From Server Manager, on the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. Либо выберите пункт Добавить роли и компоненты в меню Управление. Alternatively, you can click Add Roles and Features on the Manage menu.

На странице Перед работой нажмите кнопку Далее. On the Before you begin page, click Next.

На странице Выбор типа установки щелкните Установка ролей или компонентов, а затем нажмите кнопку Далее. On the Select installation type page, click Role-based or feature-based installation, and then click Next.

На странице Выбор целевого сервера щелкните Выбрать сервер из пула серверов, убедитесь, что выбран целевой компьютер, а затем нажмите кнопку Далее. On the Select destination server page, click Select a server from the server pool, verify that the target computer is selected, and then click Next.

На странице Выбор ролей сервера установите флажок в поле Веб-сервер (IIS), щелкните Добавить компоненты и нажмите кнопку Далее. On the Select server roles page, select the check box next to Web Server (IIS), click Add Features, and then click Next.

На странице Выбор компонентов выберите Windows Identity Foundation 3.5 и нажмите кнопку Далее. On the Select features page, select Windows Identity Foundation 3.5, and then click Next.

На странице Роль веб-сервера (IIS) нажмите кнопку Далее. On the Web Server Role (IIS) page, click Next.

На странице Выбор служб ролей выберите и разверните узел Разработка приложений. On the Select role services page, select and expand Application Development. Выберите ASP.NET 3.5, щелкните Добавление компонентов и нажмите кнопку Далее. Select ASP.NET 3.5, click Add Features, and then click Next.

На странице Подтверждение выбранных элементов для установки щелкните Указать альтернативный исходный путь. On the Confirm installation selections page, click Specify an alternate source path. Введите путь к каталогу SxS, который находится на установочном носителе Windows Server 2012 R2. Enter the path to the Sxs directory that is located in the Windows Server 2012 R2 installation media. Например, D:\Sources\Sxs. For example D:\Sources\Sxs. Нажмите кнопку ОК, а затем кнопку Установить. Click OK, and then click Install.

Установка набора инструментов Windows Identity Foundation SDK Install Windows Identity Foundation SDK

Настройка примера приложения на базе утверждений в IIS Configure the simple claims app in IIS

Установите действующий SSL-сертификат из хранилища сертификатов компьютера. Install a valid SSL certificate in the computer certificate store. Сертификат должен содержать имя веб-сервера, webserv1.contoso.com. The certificate should contain the name of your web server, webserv1.contoso.com.

Копируйте содержимое из папки C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp в папку C:\Inetpub\Claimapp. Copy the contents of C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp to C:\Inetpub\Claimapp.

Редактируйте файл Default.aspx.cs, чтобы фильтрация утверждений не осуществлялась. Edit the Default.aspx.cs file so that no claim filtering takes place. Этот шаг нужен для того, чтобы в примере приложения отображались все утверждения, изданные сервером федерации. This step is performed to ensure that the sample application displays all the claims that are issued by the federation server. Выполните следующие действия. Do the following:

Откройте Default.aspx.cs в текстовом редакторе. Open Default.aspx.cs in a text editor.

Закомментируйте утверждение IF целиком, включая круглые скобки. Comment out the entire IF statement and its braces. Укажите комментарии, вводя символы «//» (без кавычек) в начале строки. Indicate comments by typing «//» (without the quotes) at the beginning of a line.

Оператор FOREACH теперь должен выглядеть так же, как в примере кода. Your FOREACH statement should now look like this code example.

Сохраните и закройте Default.aspx.cs. Save and close Default.aspx.cs.

Откройте web.config в текстовом редакторе. Open web.config in a text editor.

Сохраните и закройте web.config. Save and close web.config.

Настройка диспетчера IIS Manager Configure IIS Manager

Откройте диспетчер служб IIS. Open Internet Information Services (IIS) Manager.

Перейдите в раздел Пулы приложений, щелкните правой кнопкой DefaultAppPool, чтобы выбрать Дополнительные параметры. Go to Application Pools, right-click DefaultAppPool to select Advanced Settings. Задайте для параметра Загрузить профиль пользователя значение True и нажмите кнопку ОК. Set Load User Profile to True, and then click OK.

Щелкните правой кнопкой Веб-сайт по умолчанию, чтобы выбрать команду Редактировать привязки. Right-click Default Web Site to select Edit Bindings.

Добавьте привязку HTTPS в порт 443 с установленным SSL-сертификатом. Add an HTTPS binding to port 443 with the SSL certificate that you have installed.

Щелкните правой кнопкой Веб-сайт по умолчанию, чтобы выбрать Добавить приложение. Right-click Default Web Site to select Add Application.

Задайте псевдоним claimapp и физический путь c:\inetpub\claimapp. Set the alias to claimapp and the physical path to c:\inetpub\claimapp.

Для настройки claimapp для работы с сервером федерации выполните следующие действия. To configure claimapp to work with your federation server, do the following:

Запустите FedUtil.exe, расположенный в C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5. Run FedUtil.exe, which is located in C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5.

Задайте для расположения конфигурации приложения значение C:\inetput\claimapp\web.config и задайте для URI приложения URL-адрес сайта https://webserv1.contoso.com /клаимапп/. Set the application configuration location to C:\inetput\claimapp\web.config and set the application URI to the URL for your site, https://webserv1.contoso.com /claimapp/. Нажмите кнопку Далее. Click Next.

Выберите Отключить проверку цепочки сертификатов, а затем нажмите кнопку Далее. Select Disable certificate chain validation, and then click Next.

Щелкните Без шифрования и нажмите кнопку Далее. Select No encryption, and then click Next. На странице Предложенные утверждения нажмите кнопку Далее. On the Offered claims page, click Next.

Установите флажок, чтобы Запланировать задание для выполнения ежедневных обновлений метаданных WS-Federation. Select the check box next to Schedule a task to perform daily WS-Federation metadata updates. Нажмите кнопку Готово. Click Finish.

Теперь вы должны защитить пример приложения, которое выполняется на веб-сервере, с AD FS. You must now secure your sample application that runs on your web server with AD FS. Для этого достаточно добавить отношения доверия с проверяющей стороной на сервер федерации (ADFS1). You can do this by adding a relying party trust on your federation server (ADFS1). См. видео в статье Серии видеороликов с практическими рекомендациями по работе со службами федерации Active Directory: добавление отношения доверия с проверяющей стороной. For a video, see Active Directory Federation Services How-To Video Series: Add a Relying Party Trust.

Создание отношений доверия с проверяющей стороной на сервере федерации Create a relying party trust on your federation server

На сервере федерации (ADFS1) в разделе Консоль управления AD FS перейдите в область Отношения доверия с проверяющей стороной, а затем щелкните Добавить отношения доверия с проверяющей стороной. On you federation server (ADFS1), in the AD FS Management console, navigate to Relying Party Trusts, and then click Add Relying Party Trust.

На странице Укажите отображаемое имя укажите отображаемое имя отношений доверия с проверяющей стороной, claimapp, а затем нажмите кнопку Далее. On the Specify Display Name page, specify the display name for your relying party trust, claimapp, and then click Next.

На странице Настроить многофакторную аутентификацию сейчас? выберите Я не хочу сейчас указывать параметры многофакторной аутентификации для отношений доверия с этой проверяющей стороной и нажмите кнопку Далее. On the Configure Multi-factor Authentication Now? page, select I do not want to specify multi-factor authentication setting for this relying party trust at this time, and then click Next.

На странице Выберите правила авторизации выпуска выберите Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее. On the Choose Issuance Authorization Rules page, select Permit all users to access this relying party, and then click Next.

На странице Готово к добавлению отношений доверия щелкните Далее. On the Ready to Add Trust page, click Next.

В диалоговом окне Изменение правил для утверждений щелкните Добавить правило. On the Edit Claim Rules dialog box, click Add Rule.

На странице Выберите тип правила выберите Отправлять утверждения с использованием пользовательского правила, а затем нажмите кнопку Далее. On the Choose Rule Type page, select Send Claims Using a Custom Rule, and then click Next.

На странице Настройка правил утверждений в поле Имя правила утверждений введите All Claims. On the Configure Claim Rule page, in the Claim rule name box, type All Claims. В поле Пользовательское правило введите следующее правило утверждений. In the Custom rule box, type the following claim rule.

Нажмите кнопку Готово, а затем — кнопку ОК. Click Finish, and then click OK.

Шаг 4. Настройка клиентского компьютера (клиент1) Step 4: Configure the client computer (Client1)

Настройте другую виртуальную машину и установите Windows 8.1. Set up another virtual machine and install Windows 8.1. Эта виртуальная машина должна быть в той же виртуальной сети, что и другие машины. This virtual machine must be on the same virtual network as the other machines. Эта машина НЕ должна быть объединена в домен Contoso. This machine should NOT be joined to the Contoso domain.

Клиент ДОЛЖЕН доверять SSL-сертификату, используемому для сервера федерации (ADFS1), настроенного в разделе Step 2: Configure the federation server (ADFS1) with Device Registration Service. The client MUST trust the SSL certificate that is used for the federation server (ADFS1), which you set up in Step 2: Configure the federation server (ADFS1) with Device Registration Service. Система также должна быть в состоянии проверить информацию об отзыве сертификата. It must also be able to validate certificate revocation information for the certificate.

Необходимо также настроить и использовать учетную запись Microsoft для входа на Клиент1. You also must set up and use a Microsoft account to log on to Client1.

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector