准备网络基础结构以配置 Extranet 访问
适用于:Azure、Office 365、Power BI、Windows Intune
若要使用以下过程完成所有任务,你必须先以管理员组成员的身份登录到计算机,或者被委派了同等的权限。
.gif "Checklist")
清单:准备网络基础结构以配置 Extranet 访问
| 部署任务 | 指向本节各主题的链接 | 已完成 |
|---|---|---|
1.准备运行 Windows Server 2008、Windows Server 2008 R2 或Windows Server 2012操作系统的两台计算机,以设置为联合服务器代理。 如果在 Windows Server 2012 R2 中使用 AD FS,则代理计算机也必须运行 Windows Server 2012 R2,并且你必须部署 Web 应用程序代理 – 一个新的远程访问角色服务,可用于配置 AD FS 进行 Extranet 访问。 根据你所具有的用户数量,你可以使用现有 Web 服务器或代理服务器,或者使用专用计算机。 |
空值 |
.gif "Checkbox") |
2. 在企业网络中添加联合身份验证服务的名称, (之前在公司网络中的 NLB 主机上创建的群集 DNS 名称) 及其关联的群集 IP 地址添加到外围网络中每个联合服务器代理或 Web 应用程序代理计算机上的主机文件。 |
|
|
3.在外围网络中 NLB 主机上创建新的群集 DNS 名称和群集 IP 地址,然后将联合服务器计算机添加到 NLB 群集。 如果你将 Windows Server 技术用于你当前的 NLB 主机,则根据操作系统版本选择右侧适当的链接。 重要 用于此新的 NLB 群集的群集 DNS 名称必须与公司网络中联合身份验证服务的名称相匹配。 注意 在此 SSO 解决方案的包含一台 AD FS 联合服务器的测试部署中,此步骤是可选的。 |
若要在 Windows Server 2003 和 Windows Server 2003 R2 上创建和配置 NLB 群集,请参阅清单:启用和配置网络负载均衡。 若要在 Windows Server 2008 上创建和配置 NLB 群集,请参阅创建网络负载均衡群集。 若要在 Windows Server 2008 R2 上创建和配置 NLB 群集,请参阅创建网络负载均衡群集。 有关 Windows Server 2012 或 Windows Server 2012 R2 中的 NLB 的详细信息,请参阅网络负载均衡概述。 |
|
4. 在外围网络 DNS 中为 NLB 群集创建新的资源记录,该记录将 NLB 群集的群集 DNS 名称指向其群集 IP 地址。 |
|
|
5.使用与企业网络中联合服务器所使用的证书相同的服务器身份验证证书。 如果你在 Windows Server 2008 或 Windows Server 2012 中使用 AD FS,则必须在联合服务器代理计算机的默认网站中安装此证书。 如果你在 Windows Server 2012 R2 中使用 AD FS,则必须将此证书导入到充当 Web 应用程序代理的计算机上的“个人证书”存储中。 |
将服务器身份验证证书导入代理计算机 |
|
将群集 DNS 名称和 IP 地址添加到代理计算机上的主机文件
若要使联合服务器代理或 Web 应用程序代理在外围网络中按预期工作,必须在每台联合服务器代理计算机或 Web 应用程序代理计算机上的 hosts 文件中添加一个条目,该条目指向企业网络中的 NLB 托管的群集 DNS 名称(例如 fs.fabrikam.com)及其 IP 地址(例如 172.16.1.3)。 在 hosts 文件中添加此条目后,联合服务器代理或 Web 应用程序代理便可以正确地将客户端发起的调用路由到外围网络内部或外部的联合服务器。
将群集 DNS 名称和 IP 地址添加到代理上的主机文件
导航到 %systemroot%\Winnt\System32\Drivers 目录文件夹并找到 hosts 文件。
启动记事本,然后打开 hosts 文件。
在 hosts 文件中添加联合服务器的 IP 地址和主机名,如以下示例中所示:
172.16.1.3fs.fabrikam.com
保存并关闭该文件。
重要
如果企业网络中 NLB 主机上的群集 IP 地址发生变化,则你必须更新每个联合服务器代理或 Web 应用程序代理上的本地 hosts 文件。
在外围网络 DNS 中为在外围网络 NLB 主机上配置的群集 DNS 名称添加资源记录
为了向外围网络内部或外部的客户端发来的身份验证请求提供服务,AD FS 要求在托管组织区域(例如 fabrikam.com)的、面向外部的 DNS 服务器上配置名称解析。
为此,应向面向外部的 DNS 服务器添加一条主机 (A) 资源记录,以便只让外围网络将群集 DNS 名称(例如,fs.fabrikam.com)指向刚刚配置的外部群集 IP 地址。
在外围网络 DNS 中为在外围网络 NLB 主机上配置的群集 DNS 名称添加资源记录
在外围网络的 DNS 服务器上,打开 DNS 管理单元。 单击"开始"菜单,指向管理工具,然后单击 DNS。
在控制台树中,右键单击适用的正向查找区域(例如 fabrikam.com),然后单击“新建主机(A 或 AAAA)”。
在“名称”中,只键入你在外围网络中的 NLB 主机上指定的群集 DNS 名称(此 DNS 名称应该与联合身份验证服务的名称相同)。 例如,对于 FQDN fs.fabrikam.com,请键入 fs。
在“IP 地址”中,键入你在外围网络中的 NLB 主机上指定的新群集 IP 地址作为 IP 地址。 例如 192.0.2.3。
单击“添加主机”。
将服务器身份验证证书导入代理计算机
获取企业网络中的联合服务器之一使用的服务器身份验证证书后,必须手动将该证书安装到以下位置:
组织中每个联合服务器代理的默认网站(如果在 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 中使用 AD FS)
组织中每个 Web 应用程序代理的个人存储(如果在 Windows Server 2012 R2 中使用 AD FS)。
由于此证书必须受 AD FS 和 Microsoft 云服务的客户端的信任,因此,请使用公共(第三方)CA 颁发的 SSL 证书,或者隶属于公众信任根的 CA(例如 VeriSign 或 Thawte)颁发的 SSL 证书。 有关从公共 CA 安装证书的信息,请参阅 IIS 7.0:请求 Internet 服务器证书。
注意
此服务器身份验证证书的主题名称必须与你先前在 NLB 主机上创建的群集 DNS 名称的 FQDN(如 fs.fabrikam.com)匹配。 如果尚未安装 Internet Information Services (IIS),则必须先安装 IIS 才能完成此任务。 首次安装 IIS 时,建议你在安装服务器角色的过程中出现提示时使用默认的功能选项。
将服务器身份验证证书导入联合服务器代理上的默认网站
单击“开始”,指向“所有程序”,指向“管理工具”,然后单击“Internet Information Services (IIS)管理器”。
在控制台树中单击“ComputerName”。
在中间窗格中双击“服务器证书”。
在“操作”窗格中单击“导入”。
在“ 导入证书 ”对话框中,单击 “... ”按钮。
浏览到 pfx 证书文件所在的位置,突出显示它,然后单击“打开”。
键入该证书的密码,然后单击“确定”。
将服务器身份验证证书导入 Web 应用程序代理的个人存储
- 可以使用 导入证书 中的步骤来完成此任务。
后续步骤
准备好 Web 应用程序代理或联合服务器代理的网络基础结构后,下一步是根据需要使用的 AD FS 版本,完成以下主题或清单中的任务: