Подготовка сетевой инфраструктуры для настройки доступа к экстрасети

Область применения: Azure, Office 365, Power BI, Windows Intune

Чтобы выполнить все задачи с помощью следующих процедур, необходимо сначала войти на компьютеры в качестве члена группы администраторов или делегировать эквивалентные разрешения.

контрольный список : подготовка сетевой инфраструктуры для настройки доступа к экстрасети

Задача развертывания	Ссылки на разделы в этом разделе	Завершённый
1. Подготовка двух компьютеров под управлением операционной системы Windows Server 2008, Windows Server 2008 R2 или Операционной системы Windows Server 2012 для настройки в качестве прокси-сервера федерации. Если вы используете AD FS в Windows Server 2012 R2, прокси-компьютеры также должны запускать Windows Server 2012 R2 и развертывать прокси-сервер веб-приложения — новую службу роли удаленного доступа, которая может использоваться для настройки AD FS для доступа к экстрасети. В зависимости от количества пользователей, можно использовать существующие веб-серверы или прокси-серверы или использовать выделенный компьютер.	N/A
2. Добавьте имя службы федерации в корпоративной сети (dns-имя кластера, созданное ранее на узле NLB в корпоративной сети) и связанный с ним IP-адрес кластера к файлам узлов на каждом прокси-сервере федерации или прокси-компьютере прокси веб-приложения в сети периметра.	Добавление DNS-имени кластера и IP-адреса в файл узлов на прокси-компьютере
3. Создайте dns-имя кластера и IP-адрес кластера на узле NLB в сети периметра, а затем добавьте компьютеры сервера федерации в кластер NLB. Если вы используете технологию Windows Server для текущих узлов NLB, выберите соответствующую ссылку справа на основе версии операционной системы. Важный DNS-имя кластера, используемое для этого нового кластера NLB, должно соответствовать имени службы федерации в корпоративной сети. Заметка Этот шаг является необязательным в тестовом развертывании этого решения единого входа с одним сервером федерации AD FS.	Сведения о создании и настройке кластеров NLB в Windows Server 2003 и Windows Server 2003 R2 см. в разделе Контрольный список. Включение и настройка балансировки нагрузки сети. Сведения о создании и настройке кластеров NLB в Windows Server 2008 см. в статье Создание кластеров балансировки нагрузки сети. Сведения о создании и настройке кластеров NLB в Windows Server 2008 R2 см. в статье Создание кластеров балансировки нагрузки сети. Дополнительные сведения о NLB в Windows Server 2012 или Windows Server 2012 R2 см. в статье Обзор балансировки нагрузки сети.
4. Создайте новую запись ресурсов для кластера NLB в dns сети периметра, указывающую DNS-имя кластера NLB на IP-адрес кластера.	добавление записи узла (A) в DNS периметра для веб-сервера с поддержкой ADFS
5. Используйте тот же сертификат проверки подлинности сервера, что и серверы федерации в корпоративной сети. Если вы используете AD FS в Windows Server 2008 или Windows Server 2012, необходимо установить этот сертификат на веб-сайте прокси-сервера федерации по умолчанию. Если вы используете AD FS в Windows Server 2012 R2, необходимо импортировать этот сертификат в хранилище личных сертификатов на компьютере, который будет работать в качестве прокси веб-приложения.	Импорт сертификата проверки подлинности сервера на прокси-компьютер

Добавление DNS-имени кластера и IP-адреса в файл узлов на прокси-компьютере

Чтобы прокси-сервер федерации или прокси-сервер веб-приложения работал должным образом в сети периметра, необходимо добавить запись в файл узлов на каждом прокси-сервере федерации или на компьютере прокси-сервера веб-приложения, который указывает на DNS-имя кластера, размещенное nLB в корпоративной сети (например, fs.fabrikam.com) и его IP-адрес (например, 172.16.1.3). Добавление этой записи в файл узлов позволяет прокси-серверу федерации или прокси-серверу веб-приложения правильно направлять вызов, инициированный клиентом, на сервер федерации в пределах сети периметра или за пределами сети периметра.

Добавление DNS-имени кластера и IP-адреса в файл узлов на прокси-сервере

1. Перейдите в папку каталога %systemroot%\Winnt\System32\Drivers и найдите узлы.

2. Запустите Блокнот и откройте узлы.

3. Добавьте IP-адрес и имя узла сервера федерации в узлах файла, как показано в следующем примере:

   172.16.1.3fs.fabrikam.com

4. Сохраните и закройте файл.

Важный

Если IP-адрес кластера на узле NLB в корпоративной сети когда-либо изменяется, необходимо обновить файл локальных узлов на каждом прокси-сервере федерации или прокси веб-приложения.

Добавление записи ресурсов в DNS периметра для DNS-имени кластера, настроенного на узле NLB периметра

Для запросов проверки подлинности службы от клиентов в сети периметра или за пределами сети периметра AD FS требуется настроить разрешение имен на внешних DNS-серверах, на которых размещается зона организации (например, fabrikam.com).

Для этого добавьте запись ресурсов узла (A) на внешний DNS-сервер, который служит только сети периметра для DNS-имени кластера (например, "fs.fabrikam.com") для указания на только что настроенный IP-адрес внешнего кластера.

Добавление записи ресурсов в DNS периметра для DNS кластера, настроенного на узле NLB периметра.

1. На DNS-сервере для сети периметра откройте оснастку DNS. Щелкните Пуск, наведите указатель на администрирование, а затем щелкните DNS.

2. В дереве консоли щелкните правой кнопкой мыши соответствующую зону поиска вперед (например, fabrikam.com), а затем щелкните новый узел (A или AAAA).

3. В именивведите только имя DNS-имени кластера, указанного на узле NLB в сети периметра (это должно быть то же DNS-имя, что и имя службы федерации). Например, для полного доменного имени fs.fabrikam.com введите fs.

4. В IP-адресвведите IP-адрес для нового IP-адреса кластера, указанного на узле NLB в сети периметра. Например, 192.0.2.3.

5. Щелкните Добавить узел.

Импорт сертификата проверки подлинности сервера на прокси-компьютер

После получения сертификата проверки подлинности сервера, используемого одним из серверов федерации в корпоративной сети, необходимо вручную установить этот сертификат на:.

1. Веб-сайт по умолчанию для каждого прокси-сервера федерации в организации, если вы используете AD FS в Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012

2. Личное хранилище каждого прокси-сервера веб-приложения в организации, если вы используете AD FS в Windows Server 2012 R2.

Так как этот сертификат должен быть доверенным клиентами AD FS и облачными службами Майкрософт, используйте SSL-сертификат, выданный общедоступным (сторонним) ЦС или ЦС, подчиненным общедоступному корневому каталогу. например, VeriSign или Thawte. Сведения об установке сертификата из общедоступного ЦС см. в статье IIS 7.0. Запрос сертификата сервера Интернета.

Заметка

Имя субъекта этого сертификата проверки подлинности сервера должно соответствовать полному доменному имени DNS кластера (например, fs.fabrikam.com), созданному ранее на узле NLB. Если службы IIS не установлены, сначала необходимо установить СЛУЖБЫ IIS, чтобы выполнить эту задачу. При первом установке СЛУЖБ IIS рекомендуется использовать параметры компонентов по умолчанию при появлении запроса во время установки роли сервера.

Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию на прокси-сервере федерации

1. Щелкните Запустить, наведите указатель на все программы, наведите указатель на администрирование, а затем щелкните диспетчер служб IIS.

2. В дереве консоли щелкните ComputerName.

3. В центральной области дважды щелкните сертификаты сервера.

4. В области действий щелкните Импорт.

5. В диалоговом окне Импорт сертификата нажмите кнопку ....

6. Перейдите к расположению PFX-файла сертификата, выделите его и нажмите кнопку Открыть.

7. Введите пароль для сертификата и нажмите кнопку ОК.

Импорт сертификата проверки подлинности сервера в личное хранилище прокси веб-приложения

1. Для выполнения этой задачи можно выполнить действия, описанные в импорта сертификата.

Следующий шаг

Теперь, когда вы подготовили сетевую инфраструктуру для прокси-серверов веб-приложений или серверов федерации, следующим шагом является выполнение задач в следующем разделе или в следующем контрольном списке в зависимости от того, какую версию AD FS вы хотите использовать:

• Настройка доступа экстрасети для AD FS в Windows Server 2012 R2

• контрольный список . Настройка доступа экстрасети для AD FS в устаревших версиях Windows Server

См. также

Концепции

контрольный список . Использование AD FS для реализации единого входа и управления ими