Preparar sua infraestrutura de rede para configurar o acesso à extranet

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

Para concluir todas as tarefas usando os procedimentos a seguir, você deve primeiro estar conectado aos computadores como membro do grupo Administradores ou ter recebido permissões equivalentes.

Lista de verificação: Prepare sua infraestrutura de rede para configurar o acesso à extranet

Tarefa de implantação	Links para tópicos nesta seção	Concluída |
1. Prepare dois computadores que executam o sistema operacional Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 para serem configurados como proxy de servidor de federação. Se você estiver usando o AD FS no Windows Server 2012 R2, seus computadores proxy também deverão executar o Windows Server 2012 R2 e você deverá implantar o Proxy de Aplicativo Web – um novo serviço de função de Acesso Remoto que pode ser usado para configurar o AD FS para acesso à extranet. Dependendo do número de usuários que você tem, você pode usar servidores Web ou proxy existentes ou usar um computador dedicado.	N/A
2. Adicione o nome do Serviço de Federação na rede corporativa (o nome DNS do cluster que você criou anteriormente no host NLB na rede corporativa) e seu endereço IP de cluster associado aos arquivos hosts em cada proxy de servidor de federação ou computador proxy de aplicativo Web na rede de perímetro.	Adicione o nome DNS do cluster e o endereço IP ao arquivo hosts no computador proxy
3. Crie um novo nome DNS e endereço IP do cluster no host NLB na rede de perímetro e, em seguida, adicione os computadores do servidor de federação ao cluster NLB. Se você estiver usando a tecnologia Windows Server para seus hosts NLB atuais, escolha o link apropriado à direita com base na versão do sistema operacional. Importante O nome DNS do cluster usado para esse novo cluster NLB deve corresponder ao nome do Serviço de Federação na rede corporativa. Observação Esta etapa é opcional em uma implantação de teste dessa solução de SSO com um único servidor de federação do AD FS.	Para criar e configurar clusters NLB no Windows Server 2003 e no Windows Server 2003 R2, consulte Lista de verificação: Habilitando e configurando o balanceamento de carga de rede. Para criar e configurar clusters NLB no Windows Server 2008, consulte Criando clusters de balanceamento de carga de rede. Para criar e configurar clusters NLB no Windows Server 2008 R2, consulte Criando clusters de balanceamento de carga de rede. Para obter mais informações sobre NLB no Windows Server 2012 ou Windows Server 2012 R2, consulte Visão geral do balanceamento de carga de rede.
4. Crie um novo registro de recurso para o cluster NLB no DNS da rede de perímetro que aponte o nome DNS do cluster NLB para seu endereço IP do cluster.	Adicionar um registro de host (A) ao DNS de perímetro para um servidor Web habilitado para ADFS
5. Use o mesmo certificado de autenticação de servidor usado pelos servidores de federação na rede corporativa. Se estiver a utilizar o AD FS no Windows Server 2008 ou no Windows Server 2012, tem de instalar este certificado no Web Site Predefinido do computador proxy do servidor de federação. Se você estiver usando o AD FS no Windows Server 2012 R2, deverá importar esse certificado para o armazenamento de Certificados Pessoais no computador que funcionará como seu Proxy de Aplicativo Web.	Importar um certificado de autenticação do servidor para o computador proxy

Adicione o nome DNS do cluster e o endereço IP ao arquivo hosts no computador proxy

Para que o proxy do servidor de federação ou o Proxy de Aplicativo Web funcione conforme o esperado na rede de perímetro, você deve adicionar uma entrada ao arquivo hosts em cada proxy de servidor de federação ou computador Proxy de Aplicativo Web que aponte para o nome DNS do cluster hospedado pelo NLB na rede corporativa (por exemplo, fs.fabrikam.com) e seu endereço IP (por exemplo, 172.16.1.3). Adicionar essa entrada ao arquivo hosts permite que o proxy do servidor de federação ou o Proxy de Aplicativo Web roteie corretamente uma chamada iniciada pelo cliente para um servidor de federação dentro da rede de perímetro ou fora da rede de perímetro.

Para adicionar o nome DNS e o endereço IP do cluster ao arquivo hosts no proxy

1. Navegue até a pasta de diretório %systemroot%\Winnt\System32\Drivers e localize o hospeda arquivo.

2. Inicie o bloco de notas e, em seguida, abra o hospeda arquivo.

3. Adicione o endereço IP e o nome do host de um servidor de federação no arquivo hosts , conforme mostrado no exemplo a seguir:

   172.16.1.3fs.fabrikam.com

4. Salve e feche o arquivo.

Importante

Se o endereço IP do cluster no host NLB na rede corporativa for alterado, você deverá atualizar o arquivo de hosts locais em cada proxy de servidor de federação ou Proxy de Aplicativo Web.

Adicionar um registro de recurso ao DNS do perímetro para o nome DNS do cluster configurado no host NLB do perímetro

Para atender a solicitações de autenticação de clientes na rede de perímetro ou fora dela, o AD FS exige que a resolução de nomes seja configurada em servidores DNS externos que hospedam a zona da organização (por exemplo, fabrikam.com).

Para fazer isso, adicione um Registro de Recursos de Host (A) ao servidor DNS externo que serve apenas a rede de perímetro para o nome DNS do cluster (por exemplo, "fs.fabrikam.com") para apontar para o endereço IP do cluster externo que acabou de ser configurado.

Para adicionar um registro de recurso ao DNS de perímetro para o nome DNS do cluster configurado no host NLB do perímetro

1. Em um servidor DNS para a rede de perímetro, abra o snap-in DNS. Clique Iniciar, aponte para Ferramentas Administrativase, em seguida, clique em DNS .

2. Na árvore de console, clique com o botão direito do mouse na zona de pesquisa direta aplicável (por exemplo, fabrikam.com) e clique em Novo Host (A ou AAAA).

3. Em Nome , digite apenas o nome do DNS do cluster especificado no host NLB na rede de perímetro (esse deve ser o mesmo nome DNS que o nome do Serviço de Federação). Por exemplo, para o fs.fabrikam.com FQDN, digite fs.

4. Em endereço IP, digite o endereço IP do novo endereço IP do cluster especificado no host NLB na rede de perímetro. Por exemplo, 192.0.2.3.

5. Clique Adicionar Host.

Importar um certificado de autenticação do servidor para o computador proxy

Depois de obter um certificado de autenticação de servidor usado por um dos servidores de federação na rede corporativa, você deve instalar manualmente esse certificado em:.

1. O Site Padrão para cada proxy de servidor de federação em sua organização, se você estiver usando o AD FS no Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012

2. O Repositório Pessoal de cada Proxy de Aplicativo Web em sua organização, se você estiver usando o AD FS no Windows Server 2012 R2.

Como esse certificado deve ser confiável para clientes do AD FS e dos serviços de nuvem da Microsoft, use um certificado SSL emitido por uma autoridade de certificação pública (de terceiros) ou por uma autoridade de certificação subordinada a uma raiz publicamente confiável; por exemplo, VeriSign ou Thawte. Para obter informações sobre como instalar um certificado de uma autoridade de certificação pública, consulte IIS 7.0: Solicitar um certificado de servidor de Internet.

Observação

O nome do assunto deste certificado de autenticação de servidor deve corresponder ao FQDN do nome DNS do cluster (por exemplo, fs.fabrikam.com) criado anteriormente no host NLB. Se o IIS (Serviços de Informações da Internet) não tiver sido instalado, você deverá instalar o IIS primeiro para concluir essa tarefa. Ao instalar o IIS pela primeira vez, recomendamos que você use as opções de recurso padrão quando solicitado durante a instalação da função de servidor.

Para importar um certificado de autenticação do servidor para o Site Padrão no proxy do servidor de federação

1. Clique Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativase, em seguida, clique em Gerenciador dos Serviços de Informações da Internet (IIS).

2. Na árvore de console, clique em ComputerName.

3. No painel central, clique duas vezes em Certificados de Servidor.

4. No painel Ações , clique em Importar.

5. Na caixa de diálogo Importar Certificado, clique no botão ....

6. Navegue até o local do arquivo de certificado pfx, destaque-o e clique em Abrir.

7. Digite uma senha para o certificado e clique em OK.

Para importar um certificado de autenticação de servidor para o Repositório Pessoal do Proxy de Aplicativo Web

1. Você pode usar as etapas em Importar um certificado para concluir essa tarefa.

Próximo passo

Agora que você preparou sua infraestrutura de rede para Proxies de Aplicativo Web ou proxies de servidor de federação, a próxima etapa é concluir as tarefas no tópico a seguir ou na lista de verificação a seguir, dependendo da versão do AD FS que você deseja usar:

• Configurar o acesso à extranet para AD FS no Windows Server 2012 R2

• Lista de verificação: Configurar o acesso à extranet para AD FS em versões herdadas do Windows Server

Ver também

Conceitos

Lista de verificação: Usar o AD FS para implementar e gerenciar de logon único