Utilizzare ISS ARR 3 (application request routing) per pubblicare ADFS 3.0
Ciao a tutti, insieme ad Angelo Mazzucchi (evidenzio la collaborazione PFE-MCS :-)) abbiamo eseguito questa installazione e volevamo condividerla.
Ci sono casi dove è necessario installare un WAP/ADFS Proxy ma non si ha a disposizione un server 2012/R2 ma solo 2008/R2. Oggi affrontiamo l'installazione di ARR per pubblicare ADFS 3.0.
Riassumendo:
- ADFS proxy 2.0 non può far parte di una Farm ADFS Proxy 3.0
- TMG 2010 non è supportato per pubblicare ADFS 3.0 (it depends!)
- RRAS “Single NIC” non è supportato (not tested multi-homed)
Nei casi precedenti ove si è in presenza di Non-SNI client (es: TMG), o dove si usa la SSL/TLS Termination, potrebbe essere possibile utilizzare un workaround come descritto nei seguenti link:
SSL Termination with Web Application Proxy and AD FS 2012 R2: http://blogs.technet.com/b/applicationproxyblog/archive/2014/07/04/ssl-termination-with-web-application-proxy-and-ad-fs-2012-r2.aspx
Understanding and fixing Proxy Trust CTL Issues with AD FS 2012 R2 and Web Application Proxy: http://blogs.technet.com/b/applicationproxyblog/archive/2014/05/28/understanding-and-fixing-proxy-trust-ctl-issues-with-ad-fs-2012-r2-and-web-application-proxy.aspx
How to support non-SNI capable Clients with Web Application Proxy and AD FS 2012 R2: http://blogs.technet.com/b/applicationproxyblog/archive/2014/06/19/how-to-support-non-sni-capable-clients-with-web-application-proxy-and-ad-fs-2012-r2.aspx
Installazione:
Per prima cosa abilitate il ruolo di IIS Server (da Add Remove Roles).
Ci sono due modalità di installazione di ARR; tramite WIF (windows installation framework) o manualmente. In questa guida illustreremo la seconda opzione.
- Tramite WIF: http://www.iis.net/downloads/microsoft/application-request-routing e seguire il wizard
- Manualmente: Per prima cosa scaricare i seguenti pacchetti ed installarli sul server dove configurerete ARR:
ExternalDiskCache_amd64_en-US.msi: http://download.microsoft.com/download/3/4/1/3415F3F9-5698-44FE-A072-D4AF09728390/ExternalDiskCache_amd64_en-US.msi
Rewrite_amd64_en-US.msi: http://download.microsoft.com/download/6/7/D/67D80164-7DD0-48AF-86E3-DE7A182D6815/rewrite_amd64_en-US.msi
Webfarm_v1.1_amd64_en_us.msi: http://download.microsoft.com/download/5/7/0/57065640-4665-4980-a2f1-4d5940b577b0/webfarm_v1.1_amd64_en_us.msi
Scaricare ISS ARR Extension: http://www.iis.net/downloads/microsoft/application-request-routing (ci sono tre opzioni: WebPI / x86 / x64)
Una volta installati tutti i pacchetti aprire Internet Information Services (IIS) Manager:
Selezionare Server Farm, cliccare con il tasto destro e selezionare Create Server Farm ed inserire il nome della Farm:
Inserire il nome del server ADFS:
Cliccare sulla Farm appena creata e si avrà la seguente schermata
Modificare i seguenti parametri:
Caching/Memory cache duration (seconds):
Health Test, impostare come segue:
Schermata Proxy, impostare “Pass through” e modificare:
Time-out (seconds) = 180
Response buffer threshold (KB) = 0
Schermata Routing Rules disabilitare SSL Offloading:
Cliccare sul nome Server e selezionare “URL Rewrite”
Ci saranno due opzioni di default, una HTTPS e l’altra HTTP. Nel nostro esempio è abilitata solamente la HTTPS
Editare HTTPS e configurare come segue:
Effettuare il Test pattern..... per verificare che restituisca esito positivo
Fare doppio click su “ARR_ADFS_loadbalance_SSL” e verificare che sia configurato come segue:
Cliccare su Application Pools, selezionare DefaultAppPool e cliccare su “Advanced Settings”:
Configurare come segue:
Process Model/Idle Time-out (minutes) = 0
Recycling/Regular Time Interval (minutes) = 0
Cliccare su Application Pools, selezionare DefaultAppPool, cliccare su “Recycling” e configurare come segue:
END
Un saluto!!
Alan