Share via

Preparar tu infraestructura de red para configurar el acceso a extranet

  • Artículo

Se aplica a: Azure, Office 365, Power BI, Windows Intune

Para completar todas las tareas mediante los procedimientos siguientes, primero debes iniciar sesión en los equipos como miembro del grupo de administradores o te deben haber delegado permisos equivalentes.

ChecklistLista de comprobación: Preparar la infraestructura de red para configurar el acceso a la extranet

Tarea de implementación Vínculos a temas en esta sección Completado

1. Prepare dos equipos que ejecuten el Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 sistema operativo que se va a configurar como proxy de servidor de federación. Si utilizas AD FS en Windows Server 2012 R2, los equipos proxy también deben ejecutar Windows Server 2012 R2 y debes implementar el proxy de aplicación web, un nuevo servicio de rol de acceso remoto que se puede utilizar para configurar AD FS para acceso de extranet. En función del número de usuarios de que disponga, podrá usar los servidores web o proxy existentes o un equipo dedicado.

N/D

 Checkbox

2. Agregue el nombre del servicio de federación en la red corporativa (el nombre DNS del clúster que creó anteriormente en el host NLB de la red corporativa) y su dirección IP de clúster asociada a los archivos de hosts en cada servidor proxy de federación o equipo proxy de aplicación web en la red perimetral.

Agregar el nombre DNS del clúster y la dirección IP a los archivos de hosts en el equipo de servidor proxy

 Checkbox

3. Cree un nuevo nombre DNS de clúster y una dirección IP del clúster en el host NLB en la red perimetral y, a continuación, agregue los equipos del servidor de federación al clúster NLB. Si usa la tecnología Windows Server en sus hosts de NLB actuales, elija el vínculo adecuado a la derecha en función de la versión del sistema operativo.

Importante

El nombre DNS del clúster usado para este nuevo clúster de NLB debe coincidir con el nombre del Servicio de federación de la red corporativa.

Nota

Este paso es opcional en una implementación de prueba de esta solución de SSO con un servidor de federación de AD FS único.

Para crear y configurar clústeres NLB en Windows Server 2003 y Windows Server 2003 R2, consulte Lista de comprobación: Habilitación y configuración del equilibrio de carga de red.

Para crear y configurar clústeres NLB en Windows Server 2008, consulte Creación de clústeres de equilibrio de carga de red.

Para crear y configurar clústeres NLB en Windows Server 2008 R2, consulte Creación de clústeres de equilibrio de carga de red.

Para obtener más información sobre NLB en Windows Server 2012 o Windows Server 2012 R2, consulte Información general sobre el equilibrio de carga de red.

 Checkbox

4. Cree un nuevo registro de recursos para el clúster NLB en el DNS de red perimetral que apunte el nombre DNS del clúster NLB a su dirección IP del clúster.

Agregar un registro de host (A) para trazar el perímetro de DNS para un servidor web habilitado para ADFS

 Checkbox

5. Use el mismo certificado de autenticación de servidor que el utilizado por los servidores de federación en la red corporativa. Si utilizas AD FS en Windows Server 2008 o Windows Server 2012, debes instalar este certificado en el sitio web predeterminado del equipo del servidor proxy de federación. Si utilizas AD FS en Windows Server 2012 R2, debes importar este certificado al almacén de certificados personales en el equipo que servirá de proxy de aplicación web.

Importar un certificado de autenticación de servidor al equipo proxy

 Checkbox

Agregar el nombre DNS del clúster y la dirección IP a los archivos de hosts en el equipo de servidor proxy

Para que el servidor proxy de federación o el proxy de aplicación web funcionen según lo esperado en la red perimetral, debes agregar una entrada al archivo hosts en cada servidor proxy de federación o equipo proxy de aplicación web que apunte al nombre DNS del clúster hospedado por el NLB en la red corporativa (por ejemplo, fs.fabrikam.com) y su dirección IP (por ejemplo, 172.16.1.3). Agregar esta entrada al archivo hosts permite que el servidor proxy de federación o el proxy de aplicación web enruten correctamente una llamada iniciada por un cliente a un servidor de federación dentro de la red perimetral o fuera de la red perimetral.

Para agregar el nombre DNS del clúster y la dirección IP a los archivos de hosts en el servidor proxy

  1. Navega a la carpeta del directorio %systemroot%\Winnt\System32\Drivers y ubica el archivo hosts.

  2. Inicia el Bloc de notas y abre el archivo hosts.

  3. Agrega la dirección IP y el nombre de host de un servidor de federación al archivo hosts, como se muestra en el ejemplo siguiente:

    172.16.1.3fs.fabrikam.com

  4. Guarde y cierre el archivo.

Importante

Si la dirección IP del clúster en el host NLB en la red corporativa cambia en algún momento, debes actualizar el archivo hosts local en cada servidor proxy de federación o proxy de aplicación web.

Agregar un registro de recurso al DNS de la red perimetral para el nombre DNS del clúster configurado en el host de NLB perimetral

Para atender las solicitudes de autenticación de clientes en la red perimetral o fuera de la red perimetral, AD FS requiere la configuración de la resolución de nombres en los servidores DNS orientados al exterior que hospedan la zona de la organización (por ejemplo, fabrikam.com).

Para ello, agregue un registro de recurso de host (A) para un servidor DNS de uso externo que sirve únicamente a la red perimetral del nombre DNS del clúster (por ejemplo, “fs.fabrikam.com”) que se asigna a la dirección IP del clúster externo que se acaba de configurar.

Para agregar un registro de recurso al DNS de la red perimetral para el nombre DNS del clúster configurado en el host de NLB perimetral

  1. En un servidor DNS para la red perimetral, abra el complemento DNS. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en DNS.

  2. En el árbol de la consola, haz clic con el botón secundario en la zona de búsqueda directa correspondiente (por ejemplo, fabrikam.com) y haz clic en Host nuevo (A o AAAA).

  3. En Nombre, escribe solo el nombre DNS del clúster que has especificado en el host NLB en la red perimetral (debe ser el mismo nombre DNS que el nombre del servicio de federación). Por ejemplo, para el FQDN fs.fabrikam.com, escribe fs.

  4. En Dirección IP, escribe la nueva dirección IP del clúster que has especificado en el host NLB en la red perimetral. Por ejemplo, 192.0.2.3.

  5. Haz clic en Agregar host.

Importar un certificado de autenticación de servidor al equipo proxy

Después de obtener un certificado de autenticación de servidor utilizado por uno de los servidores de federación en la red corporativa, debes instalar manualmente ese certificado en:

  1. El sitio web predeterminado para cada servidor proxy de federación en su organización, si utilizas AD FS en Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012.

  2. El almacén personal de cada proxy de aplicación web en tu organización, si utilizas AD FS en Windows Server 2012 R2.

Dado que los clientes de AD FS y los servicios en la nube de Microsoft deben confiar en este certificado, utiliza un certificado SSL emitido por una CA pública (otro fabricante) o por una CA subordinada a una raíz de confianza pública; por ejemplo, VeriSign o Thawte. Para obtener información sobre la instalación de certificados desde una CA pública, vea Solicitar un certificado de servidor de Internet (IIS 7).

Nota

El nombre de sujeto de este certificado de autenticación de servidor debe coincidir con el FQDN del nombre DNS del clúster (por ejemplo, fs.fabrikam.com) creado anteriormente en el host de NLB. Para completar esta tarea, debe instalar primero los servicios de Internet Information Services (IIS), en caso de que no se hayan instalado aún. Al instalar los IIS por primera vez, se recomienda usar las opciones de característica predeterminadas cuando se le indique durante la instalación del rol de servidor.

Para importar un certificado de autenticación de servidor en el sitio web predeterminado del servidor proxy de federación

  1. Haz clic en Inicio, apunta a Todos los programas, Herramientas administrativas y haz clic en Administrador de Internet Information Services (IIS).

  2. En el árbol de consola, haz clic en nombreDeEquipo.

  3. En el panel central, haz doble clic en Certificados de servidor.

  4. En el panel Acciones, haz clic en Importar.

  5. En el cuadro de diálogo Importar certificado , haga clic en el botón ... .

  6. Ve a la ubicación del archivo .pfx del certificado, resáltalo y haz clic en Abrir.

  7. Escribe una contraseña para el certificado y haz clic en Aceptar.

Para importar un certificado de autenticación de servidor a un almacén personal del proxy de aplicación web

  1. Puede usar los pasos descritos en Importar un certificado para completar esta tarea.

Paso siguiente

Ahora que has preparado la infraestructura de la red para proxy de aplicación web o servidores proxy de federación, el paso siguiente es completar las tareas del tema siguiente o de la lista de comprobación siguiente, según la versión de AD FS que desees utilizar:

Consulte también

Conceptos

Lista de comprobación: Uso de AD FS para implementar y administrar el inicio de sesión único