Vorbereiten der Netzwerkinfrastruktur für die Konfiguration des Extranetzugriffs
Gilt für: Azure, Office 365, Power BI, Windows Intune
Damit alle Aufgaben mithilfe der folgenden Verfahren abgeschlossen werden können, müssen Sie an den Computern als Mitglied der Gruppe Administratoren angemeldet sein, oder Ihnen müssen gleichwertige Berechtigungen delegiert worden sein.
Prüfliste: Vorbereiten der Netzwerkinfrastruktur zum Konfigurieren des Extranetzugriffs
Bereitstellungsaufgabe | Links zu Themen in diesem Abschnitt | Abgeschlossen |
---|---|---|
1. Vorbereiten von zwei Computern, auf denen entweder der Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 Betriebssystem als Verbundserverproxy eingerichtet werden soll. Wenn Sie AD FS in Windows Server 2012 R2 verwenden, müssen Ihre Proxycomputer ebenfalls Windows Server 2012 R2 ausführen, und Sie müssen einen Webanwendungsproxy bereitstellen – einen neuen Remotezugriff-Rollendienst, der zum Konfigurieren von AD FS für Extranetzugriff verwendet werden kann. Je nach Anzahl der Benutzer können Sie vorhandene Web- oder Proxyserver oder einen dedizierten Computer verwenden. |
– |
|
2. Fügen Sie den Namen des Verbunddiensts im Unternehmensnetzwerk hinzu (der Cluster-DNS-Name, den Sie zuvor im NLB-Host im Unternehmensnetzwerk erstellt haben) und dessen zugeordnete Cluster-IP-Adresse den Hosts-Dateien auf jedem Verbundserverproxy- oder Webanwendungsproxycomputer im Umkreisnetzwerk. |
Hinzufügen des DNS-Clusternamens und der IP-Adresse zur Hostdatei auf dem Proxycomputer |
|
3. Erstellen Sie einen neuen Cluster-DNS-Namen und eine Cluster-IP-Adresse auf dem NLB-Host im Umkreisnetzwerk, und fügen Sie dann den Verbundservercomputern zum NLB-Cluster hinzu. Wenn Sie für Ihre derzeitigen NLB-Hosts die Windows Server-Technologie verwenden, wählen Sie auf der rechten Seite den entsprechenden Link für die verwendete Betriebssystemversion aus. Wichtig Der DNS-Clustername für diesen neuen NLB-Cluster muss mit dem Namen des Verbunddiensts im Unternehmensnetzwerk übereinstimmen. Hinweis Dieser Schritt ist in einer Testbereitstellung dieser SSO-Lösung und einem einzelnen AD FS-Verbundserver optional. |
Informationen zum Erstellen und Konfigurieren von NLB-Clustern auf Windows Server 2003 und Windows Server 2003 R2 finden Sie unter Prüfliste: Aktivieren und Konfigurieren des Netzwerklastenausgleichs. Informationen zum Erstellen und Konfigurieren von NLB-Clustern auf Windows Server 2008 finden Sie unter Erstellen von Netzwerklastenausgleichsclustern. Informationen zum Erstellen und Konfigurieren von NLB-Clustern auf Windows Server 2008 R2 finden Sie unter Erstellen von Netzwerklastenausgleichsclustern. Weitere Informationen zu NLB in Windows Server 2012 oder Windows Server 2012 R2 finden Sie unter Übersicht über den Netzwerklastenausgleich. |
|
4. Erstellen Sie einen neuen Ressourcendatensatz für den NLB-Cluster im Umkreisnetzwerk-DNS, der den Cluster-DNS-Namen des NLB-Clusters auf seine Cluster-IP-Adresse verweist. |
Hinzufügen eines Hosteintrags (A) zum Umkreis-DNS für einen ADFS-fähigen Webserver |
|
5. Verwenden Sie das gleiche Serverauthentifizierungszertifikat wie das von den Verbundservern im Unternehmensnetzwerk verwendete. Wenn Sie AD FS in Windows Server 2008 oder Windows Server 2012 verwenden, müssen Sie dieses Zertifikat auf der Standardwebsite des Verbundserverproxy-Computers installieren. Wenn Sie AD FS in Windows Server 2012 R2 verwenden, müssen Sie dieses Zertifikat in den persönlichen Zertifikatspeicher auf dem Computer importieren, der als Webanwendungsproxy fungiert. |
Importieren eines Serverauthentifizierungszertifikats auf den Proxycomputer |
Hinzufügen des DNS-Clusternamens und der IP-Adresse zur Hostdatei auf dem Proxycomputer
Damit der Verbundserverproxy oder der Webanwendungsproxy im Umkreisnetzwerk wie erwartet arbeitet, müssen Sie der hosts-Datei auf jedem Verbundserverproxy- oder Webanwendungsproxy-Computer einen Eintrag hinzufügen, der auf den DNS-Clusternamen, der vom NLB-Cluster im Unternehmensnetzwerk gehostet wird (z. B. fs.fabrikam.com), und seine IP-Adresse (z. B. 172.16.1.3) verweist. Durch das Hinzufügen dieses Eintrags zur hosts-Datei kann der Verbundserverproxy oder Webanwendungsproxy ein vom Client initiierten Aufruf eines Verbundservers im Umkreisnetzwerk oder außerhalb des Umkreisnetzwerks ordnungsgemäß weiterleiten.
So fügen Sie den DNS-Clusternamen und die IP-Adresse der Hostdatei auf dem Proxy hinzu
Navigieren Sie zum Ordner %systemroot%\Winnt\System32\Drivers, und suchen Sie dann nach der hosts-Datei.
Starten Sie den Editor, und öffnen Sie dann die hosts-Datei.
Fügen Sie die IP-Adresse und den Hostnamen eines Verbundservers wie im folgenden Beispiel gezeigt in der hosts-Datei hinzu:
172.16.1.3fs.fabrikam.com
Speichern und schließen Sie die Datei.
Wichtig
Wenn sich die IP-Clusteradresse auf dem NLB-Host im Unternehmensnetzwerk ändert, müssen Sie die lokale hosts-Datei auf jedem Verbundserverproxy oder Webanwendungsproxy aktualisieren.
Hinzufügen eines Ressourceneintrags für den auf dem NLB-Host des Umkreisnetzwerks konfigurierten DNS-Clusternamen zum Umkreisnetzwerk-DNS
Damit Authentifizierungsanforderungen von Clients im Umkreisnetzwerk oder außerhalb des Umkreisnetzwerks verarbeitet werden können, erfordert AD FS, dass Namensauflösung für extern ausgerichtete DNS-Server konfiguriert ist, die die Zone der Organisation hosten (z. B. fabrikam.com).
Dazu fügen Sie dem nach außen gerichteten DNS-Server, auf dem nur Anforderungen aus dem Umkreisnetzwerk für den DNS-Clusternamen verarbeitet werden (z. B. „fs.fabrikam.com“) einen Hostressourceneintrag (A-Eintrag) hinzu, der auf die eben konfigurierte externe IP-Clusteradresse zeigt.
So fügen Sie dem Umkreisnetzwerk-DNS für den auf dem NLB-Host des Umkreisnetzwerks konfigurierten DNS-Clusternamen einen Ressourceneintrag hinzu
Öffnen Sie auf einem DNS-Server für das Umkreisnetzwerk das DNS-Snap-In. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf DNS.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die zutreffende Forward-Lookup-Zone (z. B. fabrikam.com), und klicken Sie dann auf Neuer Host (A oder AAAA).
Geben Sie unter In Name nur den Namen des DNS-Clusternamens ein, den Sie auf dem NLB-Host im Umkreisnetzwerk angegeben haben (dies sollte der gleiche DNS-Name wie der Name des Verbunddiensts sein). Geben Sie für den FQDN fs.fabrikam.com z. B. fs ein.
Geben Sie unter IP-Adresse die IP-Adresse für die neue IP-Clusteradresse ein, die Sie auf dem NLB-Host im Umkreisnetzwerk angegeben haben. Beispiel: 192.0.2.3.
Klicken Sie auf Host hinzufügen.
Importieren eines Serverauthentifizierungszertifikats auf den Proxycomputer
Nachdem Sie ein Serverauthentifizierungszertifikat abgerufen haben, das von einem der Verbundserver im Unternehmensnetzwerk verwendet wird, müssen Sie dieses Zertifikat manuell an einem der folgenden Speicherorte installieren:
Auf der Standardwebsite für jeden Verbundserverproxy in Ihrer Organisation, wenn Sie AD FS in Windows Server 2008, Windows Server 2008 R2 oder Windows Server 2012 verwenden.
Im persönlichen Speicher jedes Webanwendungsproxys in Ihrer Organisation, wenn Sie AD FS in Windows Server 2012 R2 verwenden.
Da dieses Zertifikat für Clients von AD FS und Microsoft Cloud Services vertrauenswürdig sein muss, verwenden Sie ein SSL-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (Drittanbieter) oder von einer Zertifizierungsstelle ausgestellt wird, die einer öffentlichen vertrauenswürdigen Stammzertifizierungsstelle unterstellt ist, z. B. VeriSign oder Thawte. Informationen zum Installieren eines Zertifikats aus einer öffentlichen Zertifizierungsstelle finden Sie unter IIS 7.0: Anfordern eines Internetserverzertifikats.
Hinweis
Der Antragstellername für das Serverauthentifizierungszertifikat muss mit dem FQDN des Cluster-DNS-Namen (z. B., „fs.fabrikam.com“) übereinstimmen, den Sie vorher auf dem NLB-Host erstellt haben. Wenn Internetinformationsdienste (IIS) noch nicht installiert wurde, müssen Sie IIS zunächst installieren, bevor die Aufgabe abgeschlossen werden kann. Wenn Sie IIS erstmalig installieren, wird empfohlen, die Installation der Serverrolle mit den Standardoptionen auszuführen, wenn Sie zu der entsprechenden Angabe aufgefordert werden.
So importieren Sie ein Serverauthentifizierungszertifikat in die Standardwebsite auf dem Verbundserverproxy
Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.
Klicken Sie in der Konsolenstruktur auf ComputerName.
Doppelklicken Sie im mittleren Bereich auf Serverzertifikate.
Klicken Sie im Bereich Aktionen auf Importieren.
Klicken Sie im Dialogfeld " Zertifikat importieren " auf die Schaltfläche ... .
Suchen Sie nach dem Speicherort der Zertifikatsdatei mit der Erweiterung PFX, wählen Sie sie aus, und klicken Sie auf Öffnen.
Geben Sie das Kennwort für das Zertifikat ein, und klicken Sie auf OK.
So importieren Sie ein Serverauthentifizierungszertifikat in den persönlichen Speicher des Webanwendungsproxys
- Sie können die Schritte in " Zertifikat importieren " verwenden, um diese Aufgabe abzuschließen.
Nächster Schritt
Da Sie nun Ihre Netzwerkinfrastruktur für Webanwendungsproxys oder Verbundserverproxys vorbereitet haben, besteht der nächste Schritt abhängig von der Version von AD FS, die Sie verwenden möchten, im Ausführen der Aufgaben im folgenden Thema oder in der folgenden Prüfliste:
Konfigurieren des Extranetzugriffs für AD FS unter Windows Server 2012 R2
Prüfliste: Konfigurieren des Extranetzugriffs für AD FS in älteren Versionen von Windows Server
Weitere Informationen
Konzepte
Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens