A hálózati infrastruktúra előkészítése extranetes hozzáférés konfigurálására

Érintett kiadások: Azure, Office 365, Power BI, Windows Intune

Ha az alábbi eljárásokkal szeretné elvégezni az összes feladatot, először be kell jelentkeznie a számítógépekre a Rendszergazdák csoport tagjaként, vagy egyenértékű engedélyekkel kell rendelkeznie.

Ellenőrzőlista: A hálózati infrastruktúra előkészítése az extranetes hozzáférés konfigurálásához

Üzembehelyezési feladat	A szakasz témaköreihez kapcsolódó hivatkozások	Befejeződött
1. Készítse elő a Windows Server 2008, Windows Server 2008 R2 vagy Windows Server 2012 operációs rendszert futtató két számítógépet összevonási kiszolgálóproxyként való beállításhoz. Ha az AD FS-t az Windows Server 2012 R2-ben használja, a proxyszámítógépeknek Windows Server 2012 R2-t is futtatniuk kell, és telepítenie kell a Web alkalmazásproxy - egy új távelérési szerepkör-szolgáltatást, amely az AD FS extranetes hozzáférésre való konfigurálásához használható. A felhasználók számától függően használhat meglévő webes vagy proxykiszolgálót, vagy használhat dedikált számítógépet.	N/A
2. Adja hozzá az összevonási szolgáltatás nevét a vállalati hálózatban (a fürt DNS-nevét, amelyet korábban a hálózati terheléselosztási gazdagépen hozott létre a vállalati hálózaton) és a hozzá tartozó fürt IP-címét a szegélyhálózat minden egyes összevonási kiszolgálóproxyján vagy webalkalmazás-proxyszámítógépén található gazdagépfájlokhoz.	Adja hozzá a fürt DNS-nevét és IP-címét a proxyszámítógépen található gazdagépfájlhoz
3. Hozzon létre egy új fürt DNS-nevét és fürt IP-címét a szegélyhálózat hálózati terheléselosztási gazdagépén, majd adja hozzá az összevonási kiszolgáló számítógépeit az NLB-fürthöz. Ha Windows Server technológiát használ a jelenlegi hálózati terheléselosztási gazdagépeihez, válassza az operációs rendszer verziójának megfelelő, jobb oldali hivatkozást. Fontos Az új hálózati terheléselosztási fürthöz használt fürt DNS-nevének meg kell egyeznie a vállalati hálózat összevonási szolgáltatásának nevével. Megjegyzés Ez a lépés nem kötelező ennek az SSO-megoldásnak egyetlen AD FS összevonási kiszolgálóval végzett teszttelepítésében.	A hálózati terheléselosztási fürtök Windows Server 2003 és Windows Server 2003 R2 rendszeren való létrehozásához és konfigurálásához lásd: Ellenőrzőlista: Hálózati terheléselosztás engedélyezése és konfigurálása. Hálózati terheléselosztási fürtök Windows Server 2008 rendszeren való létrehozásáról és konfigurálásához lásd: Hálózati terheléselosztási fürtök létrehozása. A hálózati terheléselosztási fürtök Windows Server 2008 R2 rendszeren való létrehozásáról és konfigurálásához lásd: Hálózati terheléselosztási fürtök létrehozása. Az Windows Server 2012 vagy Windows Server 2012 R2 hálózati terheléselosztásáról további információt a hálózati terheléselosztás áttekintésében talál.
4. Hozzon létre egy új erőforrásrekordot az NLB-fürthöz a szegélyhálózati DNS-ben, amely az NLB-fürt DNS-nevét a fürt IP-címére pontokat ad.	Állomásrekord (A) hozzáadása a szegélyhálózati DNS-hez egy ADFS-kompatibilis webkiszolgálóhoz
5. Használja ugyanazt a kiszolgálói hitelesítési tanúsítványt, amelyet a vállalati hálózat összevonási kiszolgálói használnak. Ha az AD FS-t Windows Server 2008-ban vagy Windows Server 2012 használja, ezt a tanúsítványt az összevonási kiszolgálóproxy-számítógép alapértelmezett webhelyén kell telepítenie. Ha az AD FS-t az Windows Server 2012 R2-ben használja, importálnia kell ezt a tanúsítványt a személyes tanúsítványok tárolójába azon a számítógépen, amely a webes alkalmazásproxy fog működni.	Kiszolgálói hitelesítési tanúsítvány importálása a proxyszámítógépre

Adja hozzá a fürt DNS-nevét és IP-címét a proxyszámítógépen található gazdagépfájlhoz

Ahhoz, hogy az összevonási kiszolgálóproxy vagy a webes alkalmazásproxy a szegélyhálózaton a várt módon működjön, minden egyes összevonási kiszolgálóproxyn vagy webes alkalmazásproxy számítógépen hozzá kell adnia egy bejegyzést a gazdagépfájlhoz, amely a vállalati hálózat hálózati terheléselosztása (például fs.fabrikam.com) által üzemeltetett fürt DNS-nevére és IP-címére mutat (például: 172.16.1.3). Ha hozzáadja ezt a bejegyzést a gazdagépfájlhoz, az összevonási kiszolgálóproxy vagy a webes alkalmazásproxy megfelelően irányíthatja az ügyfél által kezdeményezett hívásokat egy összevonási kiszolgálóra a szegélyhálózaton belül vagy a szegélyhálózaton kívül.

A fürt DNS-nevének és IP-címének hozzáadása a proxyn található gazdagépfájlhoz

1. Keresse meg a %systemroot%\Winnt\System32\Drivers könyvtárat, és keresse meg a gazdagépfájlt .

2. Start menü Jegyzettömb, majd nyissa meg a gazdagépfájlt.

3. Adja hozzá az összevonási kiszolgáló IP-címét és állomásnevét a gazdagépek fájljában az alábbi példában látható módon:

   172.16.1.3fs.fabrikam.com

4. Mentse és zárja be a fájlt.

Fontos

Ha a vállalati hálózat hálózati terheléselosztási gazdagépén lévő fürt IP-címe megváltozik, frissítenie kell a helyi gazdagépfájlt az egyes összevonási kiszolgálóproxykon vagy webes alkalmazásproxy.

Erőforrásrekord hozzáadása a szegélyhálózati DNS-hez a szegélyhálózati hálózati terheléselosztási gazdagépen konfigurált fürt DNS-nevéhez

A peremhálózaton vagy a szegélyhálózaton kívüli ügyfelektől érkező hitelesítési kérések kiszolgálásához az AD FS-nek névfeloldást kell konfigurálnia a szervezet zónáját üzemeltető külső DNS-kiszolgálókon (például fabrikam.com).

Ehhez adjon hozzá egy gazdagép (A) erőforrásrekordot a külső elérésű DNS-kiszolgálóhoz, amely csak a szegélyhálózatot szolgálja ki a fürt DNS-nevének (például "fs.fabrikam.com") számára, hogy az imént konfigurált külső fürt IP-címére mutasson.

Erőforrásrekord hozzáadása a szegélyhálózati DNS-hez a szegélyhálózati hálózati terheléselosztási gazdagépen konfigurált fürt DNS-nevéhez

1. A szegélyhálózat DNS-kiszolgálóján nyissa meg a DNS beépülő modult. Kattintson Start menü, mutasson a Felügyeleti eszközök pontra, majd kattintson a DNS elemre.

2. A konzolfán kattintson a jobb gombbal a megfelelő előremutató keresési zónára (például fabrikam.com), majd kattintson az Új gazdagép (A vagy AAAA) elemre.

3. A Név mezőbe csak a szegélyhálózat hálózati terheléselosztási állomásán megadott fürt DNS-nevét írja be (ennek meg kell egyeznie az összevonási szolgáltatás nevével). A teljes tartománynév fs.fabrikam.com például írja be az fs értéket.

4. Az IP-cím mezőbe írja be a szegélyhálózat hálózati terheléselosztási gazdagépén megadott új fürt IP-címét. Például : 192.0.2.3.

5. Kattintson a Gazdagép hozzáadása gombra.

Kiszolgálói hitelesítési tanúsítvány importálása a proxyszámítógépre

Miután beszerezte a vállalati hálózat egyik összevonási kiszolgálója által használt kiszolgálóhitelesítési tanúsítványt, manuálisan telepítenie kell a tanúsítványt a következők egyikére:

1. A szervezet összes összevonási kiszolgálóproxyjának alapértelmezett webhelye, ha az AD FS-t Windows Server 2008, Windows Server 2008 R2 vagy Windows Server 2012

2. Ha az AD FS-t az Windows Server 2012 R2-ben használja, a szervezet minden webes alkalmazásproxy személyes tárolója.

Mivel ezt a tanúsítványt az AD FS és a Microsoft felhőszolgáltatás ügyfeleinek megbízhatónak kell lenniük, olyan SSL-tanúsítványt kell használnia, amelyet egy nyilvános (külső) hitelesítésszolgáltató vagy egy nyilvánosan megbízható legfelső szintű hitelesítésszolgáltató állít ki; például VeriSign vagy Thawte. A tanúsítványok nyilvános hitelesítésszolgáltatóról történő telepítésével kapcsolatos információkért lásd : IIS 7.0: Internetkiszolgáló-tanúsítvány igénylése.

Megjegyzés

A kiszolgálói hitelesítési tanúsítvány tulajdonosnevének meg kell egyeznie a hálózati terheléselosztási gazdagépen korábban létrehozott fürt DNS-nevének teljes tartománynevével (például fs.fabrikam.com). Ha Internet Information Services (IIS) nincs telepítve, a feladat elvégzéséhez először telepítenie kell az IIS-t. Az IIS első telepítésekor azt javasoljuk, hogy a kiszolgálói szerepkör telepítésekor az alapértelmezett funkcióbeállításokat használja.

Kiszolgálóhitelesítési tanúsítvány importálása az alapértelmezett webhelyre az összevonási kiszolgálóproxyn

1. Kattintson a Start menü, a Minden program, a Felügyeleti eszközök pontra, majd a Internet Information Services (IIS) kezelőre.

2. Kattintson a konzolfa Számítógépnév elemére.

3. A középső panelen kattintson duplán a Kiszolgálótanúsítványok elemre.

4. A Műveletek panelen kattintson az Importálás gombra.

5. A Tanúsítvány importálása párbeszédpanelen kattintson a ... gombra.

6. Tallózással keresse meg a pfx-tanúsítványfájl helyét, jelölje ki, majd kattintson a Megnyitás gombra.

7. Írja be a tanúsítvány jelszavát, majd kattintson az OK gombra.

Kiszolgálóhitelesítési tanúsítvány importálása a webes alkalmazásproxy személyes tárolójába

1. A feladat végrehajtásához használhatja a Tanúsítvány importálása című témakör lépéseit.

Következő lépés

Most, hogy előkészítette a hálózati infrastruktúrát webalkalmazás-proxykhoz vagy összevonási kiszolgálóproxykhoz, a következő lépés a következő témakör vagy az alábbi ellenőrzőlista feladatainak elvégzése attól függően, hogy az AD FS melyik verzióját szeretné használni:

• Extranetes hozzáférés konfigurálása az AD FS-hez Windows Server 2012 R2-n

• Ellenőrzőlista: Az AD FS extranetes hozzáférésének konfigurálása Windows Server régebbi verzióiban

Lásd még:

Alapelvek

Ellenőrzőlista: Az AD FS használata egyszeri bejelentkezés implementálásához és kezeléséhez