Implementatie van hoge beschikbaarheid voor meerdere geografische locaties van AD FS in Azure met Azure Traffic Manager

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

AD FS-implementatie in Azure biedt stapsgewijze richtlijnen voor het implementeren van een eenvoudige AD FS-infrastructuur voor uw organisatie in Azure. Dit artikel bevat de volgende stappen voor het maken van een cross-geografische implementatie van AD FS in Azure met behulp van Azure Traffic Manager. Azure Traffic Manager helpt bij het maken van een geografisch verspreide hoge beschikbaarheid en krachtige AD FS-infrastructuur voor uw organisatie door gebruik te maken van verschillende routeringsmethoden die beschikbaar zijn voor verschillende behoeften van de infrastructuur.

Een maximaal beschikbare AD FS-infrastructuur voor meerdere geografische gebieden maakt het volgende mogelijk:

• Verwijdering van single point of failure: Met failovermogelijkheden van Azure Traffic Manager kunt u een maximaal beschikbare AD FS-infrastructuur bereiken, zelfs wanneer een van de datacenters in een deel van de wereldbol uitvalt
• Verbeterde prestaties: U kunt de voorgestelde implementatie in dit artikel gebruiken om een krachtige AD FS-infrastructuur te bieden waarmee gebruikers sneller kunnen verifiëren.

Ontwerpbeginselen

De basisontwerpprincipes zijn hetzelfde als vermeld in ontwerpprincipes in het artikel AD FS-implementatie in Azure. In het bovenstaande diagram ziet u een eenvoudige uitbreiding van de basisimplementatie naar een andere geografische regio. Hieronder vindt u enkele punten om rekening mee te houden bij het uitbreiden van uw implementatie naar een nieuwe geografische regio

• Virtueel netwerk: U moet een nieuw virtueel netwerk maken in de geografische regio die u wilt implementeren aanvullende AD FS-infrastructuur. In het bovenstaande diagram ziet u Geo1 VNET en Geo2 VNET als de twee virtuele netwerken in elke geografische regio.
• Domeincontrollers en AD FS-servers in nieuw geografisch VNET: Het wordt aanbevolen om domeincontrollers in de nieuwe geografische regio te implementeren, zodat de AD FS-servers in de nieuwe regio geen contact hoeven te maken met een domeincontroller in een ander ver weg netwerk om een verificatie te voltooien en zo de prestaties te verbeteren.
• Opslagaccounts: Opslagaccounts zijn gekoppeld aan een regio. Omdat u machines in een nieuwe geografische regio gaat implementeren, moet u nieuwe opslagaccounts maken die in de regio moeten worden gebruikt.
• Netwerkbeveiligingsgroepen: Als opslagaccounts kunnen netwerkbeveiligingsgroepen die in een regio zijn gemaakt, niet worden gebruikt in een andere geografische regio. Daarom moet u nieuwe netwerkbeveiligingsgroepen maken die vergelijkbaar zijn met die in de eerste geografische regio voor INT- en DMZ-subnet in de nieuwe geografische regio.
• DNS-labels voor openbare IP-adressen: Azure Traffic Manager kan alleen verwijzen naar eindpunten via DNS-labels. Daarom moet u DNS-labels maken voor de openbare IP-adressen van de externe load balancers.
• Azure Traffic Manager: Met Microsoft Azure Traffic Manager kunt u de distributie van gebruikersverkeer naar uw service-eindpunten beheren die worden uitgevoerd in verschillende datacenters over de hele wereld. Azure Traffic Manager werkt op DNS-niveau. Dns-antwoorden worden gebruikt om verkeer van eindgebruikers om te leiden naar wereldwijd gedistribueerde eindpunten. Clients maken vervolgens rechtstreeks verbinding met deze eindpunten. Met verschillende routeringsopties voor Prestaties, Gewogen en Prioriteit kunt u eenvoudig de routeringsoptie kiezen die het meest geschikt is voor de behoeften van uw organisatie.
• V-net-naar-V-net-connectiviteit tussen twee regio's: U hoeft geen verbinding te hebben tussen de virtuele netwerken zelf. Omdat elk virtueel netwerk toegang heeft tot domeincontrollers en AD FS- en WAP-server op zichzelf heeft, kunnen ze zonder enige connectiviteit tussen de virtuele netwerken in verschillende regio's werken.

Stappen voor het integreren van Azure Traffic Manager

AD FS implementeren in de nieuwe geografische regio

Volg de stappen en richtlijnen in AD FS-implementatie in Azure om dezelfde topologie in de nieuwe geografische regio te implementeren.

DNS-labels voor openbare IP-adressen van de internetgerichte (openbare) load balancers

Zoals hierboven vermeld, kan Azure Traffic Manager alleen verwijzen naar DNS-labels als eindpunten en is het daarom belangrijk om DNS-labels te maken voor de openbare IP-adressen van de externe load balancers. Hieronder ziet u hoe u uw DNS-label kunt configureren voor het openbare IP-adres.

Azure Traffic Manager implementeren

Volg de onderstaande stappen om een Traffic Manager-profiel te maken. Voor meer informatie kunt u ook verwijzen naar Een Azure Traffic Manager-profiel beheren.

1. Een Traffic Manager-profiel maken: Geef uw Traffic Manager-profiel een unieke naam. Deze naam van het profiel maakt deel uit van de DNS-naam en fungeert als voorvoegsel voor het Traffic Manager-domeinnaamlabel. De naam/voorvoegsel wordt toegevoegd aan .trafficmanager.net om een DNS-label voor uw Traffic Manager te maken. In de onderstaande schermopname ziet u dat het DNS-voorvoegsel traffic manager wordt ingesteld als mysts en het resulterende DNS-label wordt mysts.trafficmanager.net.

   

2. Verkeersrouteringsmethode: Er zijn drie routeringsopties beschikbaar in Traffic Manager:

   • Prioriteit

   • Prestatie

   • Gewogen

     Prestaties is de aanbevolen optie om een zeer responsieve AD FS-infrastructuur te realiseren. U kunt echter elke routeringsmethode kiezen die het meest geschikt is voor uw implementatiebehoeften. De AD FS-functionaliteit wordt niet beïnvloed door de geselecteerde routeringsoptie. Zie Traffic Manager-verkeersrouteringsmethoden voor meer informatie. In de bovenstaande voorbeeldschermafbeelding ziet u de geselecteerde prestatiemethode .

3. Eindpunten configureren: Klik op de pagina Traffic Manager op eindpunten en selecteer Toevoegen. Hiermee wordt een pagina Eindpunt toevoegen geopend die vergelijkbaar is met de onderstaande schermopname

   

   Volg de onderstaande richtlijn voor de verschillende invoerwaarden:

   Type: Selecteer Het Azure-eindpunt, omdat we verwijzen naar een openbaar IP-adres van Azure.

   Naam: Maak een naam die u aan het eindpunt wilt koppelen. Dit is niet de DNS-naam en heeft geen invloed op DNS-records.

   Doelresourcetype: Selecteer Openbaar IP-adres als de waarde voor deze eigenschap.

   Doelresource: Hiermee kunt u kiezen uit de verschillende DNS-labels die u beschikbaar hebt in uw abonnement. Kies het DNS-label dat overeenkomt met het eindpunt dat u configureert.

   Voeg eindpunt toe voor elke geografische regio waarnaar u azure Traffic Manager verkeer wilt routeren. Raadpleeg Eindpunten toevoegen, uitschakelen, inschakelen of verwijderen voor meer informatie en gedetailleerde stappen voor het toevoegen/configureren van eindpunten in Traffic Manager

4. Test configureren: Klik op de pagina Traffic Manager op Configuratie. Op de configuratiepagina moet u de monitorinstellingen wijzigen om te testen op HTTP-poort 80 en relatief pad /adfs/probe

   

   Notitie

   Zorg ervoor dat de status van de eindpunten ONLINE is zodra de configuratie is voltooid. Als alle eindpunten de status 'gedegradeerd' hebben, probeert Azure Traffic Manager het beste het verkeer te routeren, ervan uitgaande dat de diagnose onjuist is en alle eindpunten bereikbaar zijn.

5. DNS-records wijzigen voor Azure Traffic Manager: Uw federation-service moet een CNAME zijn naar de DNS-naam van Azure Traffic Manager. Maak een CNAME in de openbare DNS-records, zodat degene die de federation-service probeert te bereiken, de Azure Traffic Manager bereikt.

   Als u bijvoorbeeld de federation-service wilt laten verwijzen fs.fabidentity.com naar Traffic Manager, moet u uw DNS-resourcerecord als volgt bijwerken:

   fs.fabidentity.com IN CNAME mysts.trafficmanager.net

De routering en AD FS-aanmelding testen

Routeringstest

Een zeer eenvoudige test voor de routering is het pingen van de DNS-naam van de federation-service vanaf een computer in elke geografische regio. Afhankelijk van de gekozen routeringsmethode wordt het eindpunt dat daadwerkelijk pingt, weergegeven in de pingweergave. Als u bijvoorbeeld de routering van prestaties hebt geselecteerd, wordt het eindpunt dat het dichtst bij de regio van de client staat, bereikt. Hieronder ziet u de momentopname van twee pings van twee verschillende regioclientcomputers, één in de regio EastAsia en één in VS - west.

AD FS-aanmeldingstest

De eenvoudigste manier om AD FS te testen is met behulp van de IdpInitiatedSignon.aspx pagina. Om dat te kunnen doen, is het vereist om de IdpInitiatedSignOn in te schakelen op de AD FS-eigenschappen. Volg de onderstaande stappen om uw AD FS-installatie te controleren

1. Voer de onderstaande cmdlet uit op de AD FS-server, met behulp van PowerShell, om deze in te stellen op ingeschakeld. Set-AdfsProperties -EnableIdPInitiatedSignonPage $waar

2. Vanaf elke externe computertoegang https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx

3. U ziet de AD FS-pagina zoals hieronder:

   

   en bij geslaagde aanmelding krijgt u een bericht met succes, zoals hieronder wordt weergegeven:

   

Verwante koppelingen

• Eenvoudige AD FS-implementatie in Azure
• Microsoft Azure Traffic Manager
• Verkeersrouteringsmethoden voor Traffic Manager

Volgende stappen

• Een Azure Traffic Manager-profiel beheren
• Eindpunten toevoegen, uitschakelen, inschakelen of verwijderen