準備網路基礎結構以設定外部網路存取
適用於:Azure、Office 365、Power BI、Windows Intune
若要使用下列程式完成所有工作,您必須先以 Administrators 群組的成員身分登入計算機,或已委派對等許可權。
.gif "檢查清單")
檢查清單:準備網路基礎結構以設定外部網路存取
| 部署工作 | 本節中主題的連結 | 完成 |
|---|---|---|
1.準備兩部執行 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 操作系統的計算機,以設定為同盟伺服器 Proxy。 如果您在 Windows Server 2012 R2 中使用 AD FS,Proxy 計算機也必須執行 Windows Server 2012 R2,而且您必須部署 Web 應用程式 Proxy – 新的遠端存取角色服務,可用來設定 AD FS 進行外部網路存取。 視您擁有的用戶數目而定,您可以使用現有的 Web 或 Proxy 伺服器或使用專用電腦。 |
N/A |
.gif "複選框")
|
2.在公司網路中新增同盟服務的名稱(您在公司網路中 NLB 主機上稍早建立的叢集 DNS 名稱),並將其相關聯的叢集 IP 位址新增至周邊網路中每個同盟伺服器 Proxy 或 Web 應用程式 Proxy 計算機上的主機檔案。 |
|
|
3.在周邊網路中 NLB 主機上建立新的叢集 DNS 名稱和叢集 IP 位址,然後將同盟伺服器計算機新增至 NLB 叢集。 如果您針對目前的 NLB 主機使用 Windows Server 技術,請根據您的作業系統版本選擇正確的連結。 重要 用於這個新 NLB 叢集的叢集 DNS 名稱必須符合公司網路中同盟服務的名稱。 注意 這個步驟在搭配單一 AD FS 同盟伺服器的 SSO 解決方案測試部署中是選擇性的。 |
若要在 Windows Server 2003 和 Windows Server 2003 R2 上建立及設定 NLB 叢集,請參閱 檢查清單:啟用和設定網路負載平衡。 若要在 Windows Server 2008 上建立及設定 NLB 叢集,請參閱 建立網路負載平衡叢集。 若要在 Windows Server 2008 R2 上建立及設定 NLB 叢集,請參閱 建立網路負載平衡叢集。 如需 Windows Server 2012 或 Windows Server 2012 R2 中 NLB 的詳細資訊,請參閱 網路負載平衡概觀。 |
|
4.在周邊網路 DNS 中為 NLB 叢集建立新的資源記錄,以將 NLB 叢集的叢集 DNS 名稱指向其叢集 IP 位址。 |
|
|
5.使用與公司網路中同盟伺服器所使用的相同伺服器驗證憑證。 如果您在 Windows Server 2008 或 Windows Server 2012 中使用 AD FS,您必須在同盟伺服器 Proxy 計算機的預設網站上安裝此憑證。 如果您在 Windows Server 2012 R2 中使用 AD FS,您必須將此憑證匯入到將做為 Web 應用程式 Proxy 之電腦上的個人憑證存放區。 |
將伺服器驗證憑證匯入 Proxy 計算機 |
|
將叢集 DNS 名稱和 IP 位址新增至 Proxy 電腦上的主機檔案
若要讓同盟伺服器 Proxy 或 Web 應用程式 Proxy 在周邊網路中如預期般運作,您必須將專案新增至每個同盟伺服器 Proxy 或 Web 應用程式 Proxy 計算機上的主機檔案,該電腦指向公司網路中 NLB 所裝載的叢集 DNS 名稱(例如,fs.fabrikam.com),以及其 IP 位址(例如, 172.16.1.3). 將這個專案新增至主機檔案可讓同盟伺服器 Proxy 或 Web 應用程式 Proxy 正確地路由傳送用戶端起始的呼叫至周邊網路內的同盟伺服器或周邊網路外部。
將叢集 DNS 名稱和 IP 位址新增至 Proxy 上的主機檔案
流覽至 %systemroot%\Winnt\System32\Drivers 目錄資料夾,並找出 主機 檔案。
啟動 [記事本],然後開啟 主機 檔案。
在 主機 檔案中新增同盟伺服器的IP位址和主機名,如下列範例所示:
172.16.1.3fs.fabrikam.com
儲存並關閉檔案。
重要
如果公司網路中 NLB 主機上的叢集 IP 位址變更,您必須在每個同盟伺服器 Proxy 或 Web 應用程式 Proxy 上更新本機主機檔案。
針對周邊 NLB 主機上設定的叢集 DNS 名稱,將資源記錄新增至周邊 DNS
若要在周邊網路或周邊網路外部的用戶端服務驗證要求,AD FS 需要在裝載組織區域的外部 DNS 伺服器上設定名稱解析(例如,fabrikam.com)。
若要這樣做,請將主機 (A) 資源記錄新增至只提供叢集 DNS 名稱周邊網路的外部 DNS 伺服器(例如“fs.fabrikam.com”),以指向剛剛設定的外部叢集 IP 位址。
若要將資源記錄新增至周邊 DNS,以取得在周邊 NLB 主機上設定的叢集 DNS 名稱
在周邊網路的 DNS 伺服器上,開啟 DNS 嵌入式管理單元。 按兩下 [開始]
,指向 [系統管理工具 ],然後按兩下 [ DNS ]。在主控台樹中,以滑鼠右鍵按兩下適用的正向對應區域(例如,fabrikam.com),然後按兩下 [[新增主機] [A] 或 [AAAA]。
在 Name中,只輸入您在周邊網路中 NLB 主機上指定的叢集 DNS 名稱(這應該與同盟服務的名稱相同)。 例如,針對 FQDN fs.fabrikam.com,輸入 fs 。
在 IP 位址中,輸入您在周邊網路中 NLB 主機上指定之新叢集 IP 位址的 IP 位址。 例如,192.0.2.3。
點選 [[新增主機]。
將伺服器驗證憑證匯入 Proxy 計算機
取得公司網路中其中一個同盟伺服器所使用的伺服器驗證憑證之後,您必須手動將該憑證安裝到其中一個:
如果您在 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 中使用 AD FS,則組織中每個同盟伺服器 Proxy 的默認網站
如果您是在 Windows Server 2012 R2 中使用 AD FS,則組織中每個 Web 應用程式 Proxy 的個人存放區。
由於此憑證必須由AD FS和 Microsoft 雲端服務的用戶端信任,因此請使用由公用 (第三方) CA 所簽發的 SSL 憑證,或由隸屬於公開信任根目錄的 CA 所簽發的 SSL 憑證:例如,VeriSign 或 Thawte。 如需從公用 CA 安裝憑證的相關信息,請參閱 IIS 7.0:要求因特網伺服器證書。
注意
此伺服器驗證憑證的主體名稱必須符合您稍早在 NLB 主機上建立的叢集 DNS 名稱 FQDN(例如,fs.fabrikam.com)。 如果尚未安裝 Internet Information Services (IIS),您必須先安裝 IIS 才能完成這項工作。 第一次安裝 IIS 時,建議您在安裝伺服器角色期間出現提示時,使用預設功能選項。
將伺服器驗證憑證匯入同盟伺服器 Proxy 上的預設網站
按兩下 [開始]
,指向 [所有程式] ,指向 [系統管理工具 ],然後按兩下 [Internet Information Services [IIS] 管理員 。在主控台樹中,按兩下 ComputerName。
在中央窗格中,按兩下 伺服器憑證。
在 [
動作 ] 窗格中,按兩下 [匯入]。 在 [匯入憑證] 對話框中,按兩下 [...] 按鈕。
瀏覽至 pfx 憑證檔案的位置,反白顯示它,然後按兩下 [開啟]。
輸入憑證的密碼,然後按下 [確定] [確定]。
將伺服器驗證憑證匯入至 Web 應用程式 Proxy 的個人存放區
- 您可以使用 匯入憑證 中的步驟來完成這項工作。
下一步
既然您已為 Web 應用程式 Proxy 或同盟伺服器 Proxy 準備網路基礎結構,下一個步驟是根據您想要使用的 AD FS 版本,完成下列主題或下列檢查清單中的工作:
在 Windows Server 2012 R2 上設定 AD FS 的額外網路存取
檢查清單:在舊版 Windows Server 上設定 AD FS 的額外網路存取