Przygotowywanie infrastruktury sieciowej do konfigurowania dostępu do ekstranetu

Dotyczy: Azure, Office 365, Power BI, Windows Intune

Aby wykonać wszystkie zadania przy użyciu poniższych procedur, należy najpierw zalogować się na komputerach jako członek grupy Administratorzy lub mieć delegowane równoważne uprawnienia.

lista kontrolna : Przygotowanie infrastruktury sieciowej do konfigurowania dostępu do ekstranetu

Zadanie wdrożenia	Linki do tematów w tej sekcji	Zakończone
1. Przygotuj dwa komputery z systemem Operacyjnym Windows Server 2008, Windows Server 2008 R2 lub Windows Server 2012 do skonfigurowania jako federacyjny serwer proxy. Jeśli używasz usług AD FS w systemie Windows Server 2012 R2, komputery proxy muszą również uruchomić system Windows Server 2012 R2 i należy wdrożyć serwer proxy aplikacji internetowej — nową usługę roli dostępu zdalnego, która może służyć do konfigurowania usług AD FS na potrzeby dostępu ekstranetu. W zależności od liczby posiadanych użytkowników można użyć istniejących serwerów internetowych lub serwerów proxy albo użyć dedykowanego komputera.	N/A	pole wyboru
2. Dodaj nazwę usługi federacyjnej w sieci firmowej (nazwa DNS klastra utworzona wcześniej na hoście równoważenia obciążenia sieciowego w sieci firmowej) i skojarzony z nim adres IP klastra do plików hostów na każdym serwerze proxy usługi federacyjnej lub komputerze proxy aplikacji internetowej w sieci obwodowej.	Dodaj nazwę DNS klastra i adres IP do pliku hosts na komputerze proxy	pole wyboru
3. Utwórz nową nazwę DNS klastra i adres IP klastra na hoście równoważenia obciążenia sieciowego w sieci obwodowej, a następnie dodaj komputery serwerów federacyjnych do klastra równoważenia obciążenia sieciowego. Jeśli używasz technologii systemu Windows Server dla bieżących hostów równoważenia obciążenia sieciowego, wybierz odpowiedni link do prawej strony na podstawie wersji systemu operacyjnego. Ważny Nazwa DNS klastra używana dla tego nowego klastra równoważenia obciążenia sieciowego musi być zgodna z nazwą usługi federacyjnej w sieci firmowej. Nuta Ten krok jest opcjonalny we wdrożeniu testowym tego rozwiązania logowania jednokrotnego z pojedynczym serwerem federacyjnym usług AD FS.	Aby utworzyć i skonfigurować klastry równoważenia obciążenia sieciowego w systemach Windows Server 2003 i Windows Server 2003 R2, zobacz Lista kontrolna: Włączanie i konfigurowanie równoważenia obciążenia sieciowego. Aby utworzyć i skonfigurować klastry równoważenia obciążenia sieciowego w systemie Windows Server 2008, zobacz Tworzenie klastrów równoważenia obciążenia sieciowego. Aby utworzyć i skonfigurować klastry równoważenia obciążenia sieciowego w systemie Windows Server 2008 R2, zobacz Tworzenie klastrów równoważenia obciążenia sieciowego. Aby uzyskać więcej informacji na temat równoważenia obciążenia sieciowego w systemie Windows Server 2012 lub Windows Server 2012 R2, zobacz Równoważenie obciążenia sieciowego — omówienie.	pole wyboru
4. Utwórz nowy rekord zasobu dla klastra równoważenia obciążenia sieciowego w sieci obwodowej DNS, który wskazuje nazwę DNS klastra równoważenia obciążenia sieciowego na adres IP klastra.	Dodawanie rekordu hosta (A) do obwodowego systemu DNS dla serwera sieci Web z obsługą usług AD FS	pole wyboru
5. Użyj tego samego certyfikatu uwierzytelniania serwera co certyfikat używany przez serwery federacyjne w sieci firmowej. Jeśli używasz usług AD FS w systemie Windows Server 2008 lub Windows Server 2012, należy zainstalować ten certyfikat w domyślnej witrynie sieci Web komputera proxy serwera federacyjnego. Jeśli używasz usług AD FS w systemie Windows Server 2012 R2, należy zaimportować ten certyfikat do magazynu certyfikatów osobistych na komputerze, który będzie działać jako serwer proxy aplikacji internetowej.	Importowanie certyfikatu uwierzytelniania serwera do komputera proxy	pole wyboru

Dodaj nazwę DNS i adres IP klastra do pliku hosts na komputerze proxy

Aby serwer proxy usługi federacyjnej lub serwer proxy aplikacji internetowej działał zgodnie z oczekiwaniami w sieci obwodowej, należy dodać wpis do pliku hostów na każdym serwerze proxy usługi federacyjnej lub komputerze serwera proxy aplikacji internetowej wskazującym nazwę DNS klastra hostowaną przez równoważenie obciążenia sieciowego w sieci firmowej (na przykład fs.fabrikam.com) i jego adres IP (na przykład 172.16.1.3). Dodanie tego wpisu do pliku hosts umożliwia serwer proxy usługi federacyjnej lub serwer proxy aplikacji internetowej do prawidłowego kierowania wywołania zainicjowanego przez klienta do serwera federacyjnego w sieci obwodowej lub poza siecią obwodową.

Aby dodać nazwę DNS i adres IP klastra do pliku hosts na serwerze proxy

1. Przejdź do folderu katalogu %systemroot%\Winnt\System32\Drivers i znajdź plik hostów .

2. Uruchom Notatnik, a następnie otwórz hosty pliku.

3. Dodaj adres IP i nazwę hosta serwera federacyjnego w pliku hostów, jak pokazano w poniższym przykładzie:

   172.16.1.3fs.fabrikam.com

4. Zapisz i zamknij plik.

Ważny

Jeśli adres IP klastra na hoście równoważenia obciążenia sieciowego w sieci firmowej kiedykolwiek ulegnie zmianie, należy zaktualizować plik hostów lokalnych na każdym serwerze proxy usługi federacyjnej lub serwerze proxy aplikacji internetowej.

Dodawanie rekordu zasobu do obwodowego systemu DNS dla nazwy DNS klastra skonfigurowanego na hoście równoważenia obciążenia sieciowego obwodowego

Aby obsługiwać żądania uwierzytelniania od klientów w sieci obwodowej lub poza siecią obwodową, usługi AD FS wymagają skonfigurowania rozpoznawania nazw na zewnętrznych serwerach DNS hostujących strefę organizacji (na przykład fabrikam.com).

W tym celu dodaj rekord zasobu hosta (A) do zewnętrznego serwera DNS, który obsługuje tylko sieć obwodową dla nazwy DNS klastra (na przykład "fs.fabrikam.com"), aby wskazać zewnętrzny adres IP klastra, który właśnie został skonfigurowany.

Aby dodać rekord zasobu do obwodowej usługi DNS dla nazwy DNS klastra skonfigurowanej na hoście równoważenia obciążenia sieciowego obwodowego

1. Na serwerze DNS dla sieci obwodowej otwórz przystawkę DNS. Kliknij przycisk Start, wskaż Narzędzia administracyjne, a następnie kliknij DNS.

2. W drzewie konsoli kliknij prawym przyciskiem myszy odpowiednią strefę wyszukiwania do przodu (na przykład fabrikam.com), a następnie kliknij nowy host (A lub AAAA).

3. W Nazwawpisz tylko nazwę nazwy DNS klastra określonej na hoście równoważenia obciążenia sieciowego w sieci obwodowej (powinna to być ta sama nazwa DNS co nazwa usługi federacyjnej). Na przykład w fs.fabrikam.com nazwy FQDN wpisz fs.

4. W adres IPwpisz adres IP nowego adresu IP klastra określonego na hoście równoważenia obciążenia sieciowego w sieci obwodowej. Na przykład 192.0.2.3.

5. Kliknij pozycję Dodajhosta.

Importowanie certyfikatu uwierzytelniania serwera do komputera proxy

Po uzyskaniu certyfikatu uwierzytelniania serwera używanego przez jeden z serwerów federacyjnych w sieci firmowej należy ręcznie zainstalować ten certyfikat na jedną z następujących metod:

1. Domyślna witryna sieci Web dla każdego serwera proxy serwera federacyjnego w organizacji, jeśli używasz usług AD FS w systemie Windows Server 2008, Windows Server 2008 R2 lub Windows Server 2012

2. Magazyn osobisty każdego serwera proxy aplikacji internetowej w organizacji, jeśli używasz usług AD FS w systemie Windows Server 2012 R2.

Ponieważ ten certyfikat musi być zaufany przez klientów usług AD FS i usług w chmurze firmy Microsoft, należy użyć certyfikatu SSL wystawionego przez publiczny urząd certyfikacji (innej firmy) lub urząd certyfikacji podrzędny publicznie zaufanego katalogu głównego; na przykład VeriSign lub Thawte. Aby uzyskać informacje na temat instalowania certyfikatu z publicznego urzędu certyfikacji, zobacz IIS 7.0: Żądanie certyfikatu serwera internetowego.

Nuta

Nazwa podmiotu tego certyfikatu uwierzytelniania serwera musi być zgodna z nazwą FQDN nazwy DNS klastra (na przykład fs.fabrikam.com) utworzonej wcześniej na hoście równoważenia obciążenia sieciowego. Jeśli nie zainstalowano usług Internet Information Services (IIS), należy najpierw zainstalować usługi IIS, aby wykonać to zadanie. Podczas instalowania usług IIS po raz pierwszy zalecamy użycie domyślnych opcji funkcji po wyświetleniu monitu podczas instalacji roli serwera.

Aby zaimportować certyfikat uwierzytelniania serwera do domyślnej witryny sieci Web na serwerze proxy serwera federacyjnego

1. Kliknij przycisk Uruchom, wskaż polecenie Wszystkie programy, wskaż Narzędzia administracyjne, a następnie kliknij Menedżera usług Internet Information Services (IIS).

2. W drzewie konsoli kliknij pozycję ComputerName.

3. W środkowym okienku kliknij dwukrotnie Certyfikaty serwera.

4. W okienku Akcje kliknij pozycję Importuj.

5. W oknie dialogowym importowania certyfikatu kliknij przycisk ....

6. Przejdź do lokalizacji pliku certyfikatu pfx, zaznacz go, a następnie kliknij Otwórz.

7. Wpisz hasło dla certyfikatu, a następnie kliknij przycisk OK.

Aby zaimportować certyfikat uwierzytelniania serwera do magazynu osobistego serwera proxy aplikacji internetowej

1. Aby wykonać to zadanie, możesz wykonać kroki opisane w Importowanie certyfikatu.

Następny krok

Po przygotowaniu infrastruktury sieciowej dla serwerów proxy aplikacji internetowej lub federacyjnych serwerów proxy, następnym krokiem jest wykonanie zadań w następującym temacie lub na poniższej liście kontrolnej, w zależności od wersji usług AD FS, której chcesz użyć:

• Konfigurowanie dostępu do ekstranetu dla usług AD FS w systemie Windows Server 2012 R2

• lista kontrolna : Konfigurowanie dostępu ekstranetu dla usług AD FS w starszych wersjach systemu Windows Server

Zobacz też

Pojęcia

lista kontrolna : użyj usług AD FS, aby zaimplementować logowania jednokrotnego i zarządzać nim