Delen via

Uw netwerkinfrastructuur voorbereiden voor het configureren van extranettoegang

  • Artikel

Van toepassing op: Azure, Office 365, Power BI, Windows Intune

Als u alle taken wilt voltooien met behulp van de volgende procedures, moet u eerst zijn aangemeld bij de computers als lid van de groep Administrators of gelijkwaardige machtigingen zijn gedelegeerd.

Controlelijst controlelijst: uw netwerkinfrastructuur voorbereiden voor het configureren van extranettoegang

Implementatietaak Koppelingen naar onderwerpen in deze sectie Volbracht

1. Bereid twee computers met het besturingssysteem Windows Server 2008, Windows Server 2008 R2 of Windows Server 2012 voor als federatieserverproxy. Als u AD FS gebruikt in Windows Server 2012 R2, moeten uw proxycomputers ook Windows Server 2012 R2 uitvoeren en u moet webtoepassingsproxy implementeren: een nieuwe ras-functieservice die kan worden gebruikt voor het configureren van uw AD FS voor extranettoegang. Afhankelijk van het aantal gebruikers dat u hebt, kunt u bestaande web- of proxyservers gebruiken of een speciale computer gebruiken.

N.V.T

 selectievakje

2. Voeg de naam van de Federation Service toe in het bedrijfsnetwerk (de DNS-naam van het cluster die u eerder hebt gemaakt op de NLB-host in het bedrijfsnetwerk) en het bijbehorende cluster-IP-adres aan de hosts-bestanden op elke federatieserverproxy of webtoepassingsproxycomputer in het perimeternetwerk.

de DNS-naam en het IP-adres van het cluster toevoegen aan het hostbestand op de proxycomputer

 selectievakje

3. Maak een nieuwe DNS-naam en cluster-IP-adres van het cluster op de NLB-host in het perimeternetwerk en voeg vervolgens de federatieservercomputers toe aan het NLB-cluster. Als u Windows Server-technologie gebruikt voor uw huidige NLB-hosts, kiest u de juiste koppeling naar rechts op basis van uw besturingssysteemversie.

Belangrijk

De DNS-naam van het cluster die voor dit nieuwe NLB-cluster wordt gebruikt, moet overeenkomen met de naam van de Federation Service in het bedrijfsnetwerk.

Notitie

Deze stap is optioneel in een testimplementatie van deze SSO-oplossing met één AD FS-federatieserver.

Als u NLB-clusters wilt maken en configureren in Windows Server 2003 en Windows Server 2003 R2, raadpleegt u Controlelijst: Netwerktaakverdeling inschakelen en configureren.

Als u NLB-clusters wilt maken en configureren in Windows Server 2008, raadpleegt u Netwerktaakverdelingsclusters maken.

Zie Netwerktaakverdelingsclusters maken en configureren in Windows Server 2008 R2.

Zie Overzicht van netwerktaakverdeling in Windows Server 2012 of Windows Server 2012 R2 voor meer informatie over NLB in Windows Server 2012 of Windows Server 2012 R2.

 selectievakje

4. Maak een nieuwe bronrecord voor het NLB-cluster in het perimeternetwerk-DNS die de DNS-naam van het cluster van het NLB-cluster naar het IP-adres van het cluster verwijst.

een hostrecord (A) toevoegen aan perimeter-DNS voor een webserver met ADFS-functionaliteit

 selectievakje

5. Gebruik hetzelfde serververificatiecertificaat als het certificaat dat wordt gebruikt door de federatieservers in het bedrijfsnetwerk. Als u AD FS gebruikt in Windows Server 2008 of Windows Server 2012, moet u dit certificaat installeren op de standaardwebsite van de federatieserverproxycomputer. Als u AD FS in Windows Server 2012 R2 gebruikt, moet u dit certificaat importeren in het archief met persoonlijke certificaten op de computer die werkt als uw webtoepassingsproxy.

Een serververificatiecertificaat importeren op de proxycomputer

 selectievakje

De DNS-naam en het IP-adres van het cluster toevoegen aan het hostbestand op de proxycomputer

Als u wilt dat de federatieserverproxy of webtoepassingsproxy werkt zoals verwacht in het perimeternetwerk, moet u een vermelding toevoegen aan het hostbestand op elke federatieserverproxy of webtoepassingsproxycomputer die verwijst naar de DNS-naam van het cluster die wordt gehost door de NLB in het bedrijfsnetwerk (bijvoorbeeld fs.fabrikam.com) en het BIJBEHORENDE IP-adres (bijvoorbeeld 172.16.1.3). Door deze vermelding toe te voegen aan het hosts-bestand, kan de federatieserverproxy of webtoepassingsproxy een door de client geïnitieerde aanroep naar een federatieserver in het perimeternetwerk of buiten het perimeternetwerk correct routeren.

De DNS-naam en het IP-adres van het cluster toevoegen aan het hostbestand op de proxy

  1. Navigeer naar de map %systemroot%map \Winnt\System32\Drivers en zoek de hosts bestand.

  2. Start Kladblok en open de hosts bestand.

  3. Voeg het IP-adres en de hostnaam van een federatieserver toe in het bestand hosts, zoals wordt weergegeven in het volgende voorbeeld:

    172.16.1.3fs.fabrikam.com

  4. Sla het bestand op en sluit het.

Belangrijk

Als het IP-adres van het cluster op de NLB-host in het bedrijfsnetwerk ooit wordt gewijzigd, moet u het lokale hosts-bestand bijwerken op elke federatieserverproxy of webtoepassingsproxy.

Een resourcerecord toevoegen aan de perimeter-DNS voor de cluster-DNS-naam die is geconfigureerd op de perimeter-NLB-host

Voor serviceverificatieaanvragen van clients in het perimeternetwerk of buiten het perimeternetwerk, vereist AD FS naamomzetting op externe DNS-servers die als host fungeren voor de zone van de organisatie (bijvoorbeeld fabrikam.com).

Hiervoor voegt u een hostbronrecord (A) toe aan de externe DNS-server die alleen het perimeternetwerk voor de dns-naam van het cluster (bijvoorbeeld 'fs.fabrikam.com') gebruikt om te verwijzen naar het IP-adres van het externe cluster dat zojuist is geconfigureerd.

Een resourcerecord toevoegen aan de perimeter-DNS voor de cluster-DNS-naam die is geconfigureerd op de host van de perimeter-NLB

  1. Open de DNS-module op een DNS-server voor het perimeternetwerk. Klik op Start, wijs Systeembeheeraan en klik vervolgens op DNS-.

  2. Klik in de consolestructuur met de rechtermuisknop op de toepasselijke zone voor forward lookup (bijvoorbeeld fabrikam.com) en klik vervolgens op Nieuwe host (A of AAAA).

  3. Typ in Naamalleen de naam van de DNS-naam van het cluster die u hebt opgegeven op de NLB-host in het perimeternetwerk (dit moet dezelfde DNS-naam zijn als de naam van de Federation Service). Typ bijvoorbeeld voor de FQDN-fs.fabrikam.comfs.

  4. Typ in IP-adreshet IP-adres voor het nieuwe cluster-IP-adres dat u hebt opgegeven op de NLB-host in het perimeternetwerk. Bijvoorbeeld 192.0.2.3.

  5. Klik op Host toevoegen.

Een serververificatiecertificaat importeren op de proxycomputer

Nadat u een serververificatiecertificaat hebt verkregen dat wordt gebruikt door een van de federatieservers in het bedrijfsnetwerk, moet u dat certificaat handmatig installeren op een van de volgende:

  1. De standaardwebsite voor elke federatieserverproxy in uw organisatie als u AD FS gebruikt in Windows Server 2008, Windows Server 2008 R2 of Windows Server 2012

  2. Het persoonlijke archief van elke webtoepassingsproxy in uw organisatie, als u AD FS gebruikt in Windows Server 2012 R2.

Omdat dit certificaat moet worden vertrouwd door clients van AD FS en Microsoft-cloudservices, gebruikt u een SSL-certificaat dat is uitgegeven door een openbare (externe) CA of door een CA die ondergeschikt is aan een openbaar vertrouwde basis; Bijvoorbeeld VeriSign of Thawte. Zie IIS 7.0 voor informatie over het installeren van een certificaat van een openbare CA: Een internetservercertificaat aanvragen.

Notitie

De onderwerpnaam van dit serververificatiecertificaat moet overeenkomen met de FQDN van de DNS-naam van het cluster (bijvoorbeeld fs.fabrikam.com) die u eerder op de NLB-host hebt gemaakt. Als IIS (Internet Information Services) niet is geïnstalleerd, moet u IIS eerst installeren om deze taak te voltooien. Wanneer u IIS voor de eerste keer installeert, wordt u aangeraden de standaardfunctieopties te gebruiken wanneer u hierom wordt gevraagd tijdens de installatie van de serverfunctie.

Een serververificatiecertificaat importeren in de standaardwebsite op de federatieserverproxy

  1. Klik op Start, wijs Alle programma'saan, wijs systeembeheeraan en klik vervolgens op IIS-beheer.

  2. Klik in de consolestructuur op ComputerName.

  3. Dubbelklik in het middelste deelvenster op Servercertificaten.

  4. Klik in het deelvenster Acties op importeren.

  5. Klik in het dialoogvenster Certificaat importeren op de knop ....

  6. Blader naar de locatie van het pfx-certificaatbestand, markeer het en klik vervolgens op Openen.

  7. Typ een wachtwoord voor het certificaat en klik vervolgens op OK.

Een serververificatiecertificaat importeren in het persoonlijke archief van de webtoepassingsproxy

  1. U kunt de stappen in Een certificaat importeren gebruiken om deze taak te voltooien.

Volgende stap

Nu u uw netwerkinfrastructuur hebt voorbereid voor webtoepassingsproxy's of federatieserverproxy's, is de volgende stap het voltooien van de taken in het volgende onderwerp of de volgende controlelijst, afhankelijk van de versie van AD FS die u wilt gebruiken:

Zie ook

Concepten

Checklist: AD FS gebruiken voor het implementeren en beheren van eenmalige aanmelding