Подготовка инфраструктуры сети для настройки доступа к экстрасети

  • Статья

Область применения: Azure, Office 365, Power BI, Windows Intune

Чтобы выполнить все задачи с помощью приведенных ниже процедур, сначала нужно войти на компьютеры в качестве члена группы администраторов или получить эквивалентные разрешения.

ChecklistКонтрольный список. Подготовка сетевой инфраструктуры для настройки доступа к экстрасети

Задача развертывания Ссылки на подразделы этого раздела Завершено

1. Подготовьте два компьютера под управлением Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 операционную систему, настроенную в качестве прокси-сервера федерации. Если вы используете службы федерации Active Directory в Windows Server 2012 R2, на компьютерах прокси-сервера также должна быть установлена ОС Windows Server 2012 R2 и необходимо развернуть прокси-службу веб-приложения — новую службу роли удаленного доступа, с помощью которой можно настроить службы федерации Active Directory для доступа через экстрасеть. В зависимости от числа пользователей, можно выбрать существующие веб-серверы или прокси-серверы, либо использовать выделенный компьютер.

Н/Д

 Checkbox

2. Добавьте имя службы федерации в корпоративную сеть (DNS-имя кластера, созданное ранее на узле NLB в корпоративной сети) и связанный с ним IP-адрес кластера для файлов узлов на каждом прокси-сервере федерации или прокси-компьютере веб-приложения в сети периметра.

Добавление DNS-имени и IP-кластера в файл hosts на компьютере прокси-сервера

 Checkbox

3. Создайте dns-имя кластера и IP-адрес кластера на узле NLB в сети периметра, а затем добавьте компьютеры серверов федерации в кластер NLB. Если на узлах балансировки сетевой нагрузки применяется технология Windows Server, в области справа щелкните ссылку, соответствующую используемой версии операционной системы.

Важно!

DNS-имя нового кластера балансировки сетевой нагрузки должно совпадать с именем службы федерации в корпоративной сети.

Примечание

Этот шаг необязателен при тестовом развертывании решения SSO с использованием одного сервера федерации AD FS.

Чтобы создать и настроить кластеры NLB на Windows Server 2003 и Windows Server 2003 R2, см. контрольный список: включение и настройка балансировки сетевой нагрузки.

Сведения о создании и настройке кластеров балансировки сетевой нагрузки на Windows Server 2008 см. в статье "Создание кластеров балансировки сетевой нагрузки".

Сведения о создании и настройке кластеров NLB на Windows Server 2008 R2 см. в статье "Создание кластеров балансировки сетевой нагрузки".

Дополнительные сведения о NLB в Windows Server 2012 или Windows Server 2012 R2 см. в обзоре балансировки сетевой нагрузки.

 Checkbox

4. Создайте новую запись ресурса для кластера NLB в DNS сети периметра, которая указывает DNS-имя кластера NLB на IP-адрес кластера.

Добавьте запись узла (A) в службу DNS периметра для веб-сервера с поддержкой ADFS

 Checkbox

5. Используйте тот же сертификат проверки подлинности сервера, что и серверы федерации в корпоративной сети. При использовании служб федерации Active Directory в Windows Server 2008 или Windows Server 2012 этот сертификат необходимо установить на веб-сайте по умолчанию на компьютере прокси-сервера федерации. При использовании служб федерации Active Directory в Windows Server 2012 R2 этот сертификат необходимо импортировать в хранилище личных сертификатов на компьютере, на котором будет работать прокси-служба веб-приложения.

Импорт сертификата проверки подлинности сервера на компьютер прокси-сервера

 Checkbox

Добавление DNS-имени и IP-кластера в файл hosts на компьютере прокси-сервера

Чтобы прокси-сервер федерации или прокси-служба веб-приложения правильно работали в сети периметра, в файл hosts на каждом прокси-сервере федерации или компьютере с прокси-службой веб-приложения необходимо добавить запись, указывающую на DNS-имя кластера, размещенного в службе балансировки сетевой нагрузки в корпоративной сети (например, fs.fabrikam.com), и его IP-адрес (например, 172.16.1.3). Добавление этой записи в файл hosts позволяет прокси-серверу федерации или прокси-службе веб-приложения правильно маршрутизировать инициируемые клиентом вызовы на сервер федерации в сети периметра или за ее пределами.

Добавление DNS-имени и IP-кластера в файл hosts на компьютере прокси-сервера

  1. Перейдите в папку %systemroot%\Winnt\System32\Drivers и найдите файл hosts.

  2. Запустите Блокнот и откройте в нем файл hosts.

  3. Добавьте IP-адрес и имя узла сервера федерации в файл hosts, как показано в следующем примере:

    172.16.1.3fs.fabrikam.com

  4. Сохраните и закройте файл.

Важно!

Если IP-адрес кластера в узле NLB корпоративной сети изменяется, необходимо обновить локальный файл hosts на каждом прокси-сервере федерации или в прокси-службе веб-приложения.

Добавление в службу DNS периметра записи ресурса для DNS-имени кластера, настроенного на узле балансировки сетевой нагрузки периметра

Для обслуживания запросов проверки подлинности от клиентов в сети периметра или за ее пределами службам федерации Active Directory требуется, чтобы на внешних DNS-серверах, на которых размещается зона организации (например, fabrikam.com), было настроено разрешение имен.

Для этого необходимо добавить на DNS-сервер с выходом во внешнюю сеть, который обслуживает только сеть периметра, запись ресурса узла (A) для DNS-имени кластера (например, fs.fabrikam.com). Эта запись должна указывать на заданный внешний IP-адрес кластера.

Добавление в службу DNS периметра записи ресурса для DNS-имени кластера, настроенного на узле балансировки сетевой нагрузки периметра

  1. На DNS-сервере для сети периметра откройте оснастку DNS. Нажмите кнопку "Пуск", наведите указатель мыши на администрирование и щелкните DNS.

  2. В дереве консоли щелкните правой кнопкой мыши соответствующую зону прямого просмотра (например, fabrikam.com), а затем щелкните Создать узел (A или AAAA).

  3. В поле Имя введите только DNS-имя кластера, указанное в узле NLB сети периметра (оно должно совпадать с именем службы федерации). Например, для полного доменного имени fs.fabrikam.com введите fs.

  4. В поле IP-адрес введите IP-адрес нового кластера, указанный в узле NLB сети периметра. Например, 192.0.2.3.

  5. Нажмите кнопку Добавить узел.

Импорт сертификата проверки подлинности сервера на компьютер прокси-сервера

После получения сертификата проверки подлинности сервера, используемого одним из серверов федерации в корпоративной сети, необходимо вручную установить его в одно из следующих мест:

  1. веб-сайт по умолчанию для каждого прокси-сервера в вашей организации, если используются службы федерации Active Directory в Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012;

  2. личное хранилище сертификатов каждой прокси-службы веб-приложения в вашей организации, если используются службы федерации Active Directory в Windows Server 2012 R2.

Так как этот сертификат должен быть доверенным клиентами AD FS и облачными службами Майкрософт, используйте SSL-сертификат, выданный общедоступным (сторонним) ЦС или центром сертификации, подчиненным общедоступному корневому каталогу; Например, VeriSign или Thawte. Сведения об установке сертификата из общедоступного ЦС см. в разделе IIS 7.0. Запрос сертификата Internet Server.

Примечание

Имя субъекта для этого сертификата проверки подлинности сервера должно соответствовать полному доменному имени кластера DNS (например, fs.fabrikam.com), который был создан на узле балансировки сетевой нагрузки. Если службы IIS не установлены, для выполнения этой задачи необходимо установить их. При первой установке служб IIS рекомендуется использовать параметры по умолчанию, которые предлагаются в процессе установки роли сервера.

Импорт сертификата проверки подлинности сервера на веб-сайт по умолчанию на прокси-сервере федерации

  1. Нажмите кнопку Пуск, последовательно выберите Все программы, Администрирование, а затем щелкните Диспетчер IIS.

  2. В дереве консоли щелкните ComputerName.

  3. На средней панели дважды щелкните пункт Сертификаты сервера.

  4. На панели Действия щелкните Импорт.

  5. В диалоговом окне импорта сертификата нажмите кнопку ... .

  6. Перейдите к месту расположения файла сертификата pfx, выделите его, а затем нажмите кнопку Открыть.

  7. Наберите пароль для сертификата и нажмите кнопку ОК.

Импорт сертификата проверки подлинности сервера в личное хранилище сертификатов прокси-службы веб-приложения

  1. Для выполнения этой задачи можно выполнить действия, описанные в разделе "Импорт сертификата ".

Следующий шаг

Подготовив сетевую инфраструктуру для прокси-служб веб-приложений или прокси-серверов федерации, далее необходимо выполнить задачи, приведенные в следующем разделе или контрольном списке в зависимости от версии служб федерации Active Directory, которую вы планируете использовать:

См. также:

Основные понятия

Контрольный список: использование AD FS для внедрения и управления единым входом