Bagikan melalui

Menyebarkan Layanan Federasi Direktori Aktif di Azure

Layanan Federasi Direktori Aktif (AD FS) menyediakan kemampuan federasi identitas dan akses menyeluruh (SSO) web yang disederhanakan dan diamankan. Pengguna yang terfederasi dengan ID Microsoft Entra atau Microsoft 365 dapat mengautentikasi menggunakan kredensial lokal untuk mengakses semua sumber daya cloud. Akibatnya, penyebaran Anda harus memiliki infrastruktur LAYANAN Federasi Direktori Aktif yang sangat tersedia untuk memastikan akses ke sumber daya baik lokal maupun di cloud.

Menyebarkan Layanan Federasi Direktori Aktif di Azure dapat membantu mencapai ketersediaan tinggi tanpa terlalu banyak upaya. Ada beberapa keuntungan menyebarkan Layanan Federasi Direktori Aktif di Azure:

  • Kekuatan set ketersediaan Azure memberi Anda infrastruktur yang sangat tersedia.
  • Penyebaran mudah diskalakan. Jika Anda membutuhkan lebih banyak performa, Anda dapat dengan mudah bermigrasi ke komputer yang lebih kuat menggunakan proses penyebaran yang disederhanakan di Azure.
  • Redundansi geografis Azure memastikan infrastruktur Anda sangat tersedia di seluruh dunia.
  • portal Azure membuat infrastruktur Anda lebih mudah dikelola dengan opsi manajemen yang sangat disederhanakan.

Prinsip desain

Diagram berikut menunjukkan topologi dasar yang direkomendasikan untuk menyebarkan infrastruktur LAYANAN Federasi Direktori Aktif di Azure.

Diagram yang memperlihatkan topologi dasar yang direkomendasikan untuk menyebarkan infrastruktur LAYANAN Federasi Direktori Aktif di Azure.

Kami merekomendasikan topologi jaringan Anda mengikuti prinsip-prinsip umum ini:

  • Sebarkan Layanan Federasi Direktori Aktif di server terpisah untuk menghindari pengaruh performa pengontrol domain Anda.
  • Anda harus menyebarkan server proksi aplikasi web (WAP) sehingga pengguna dapat menjangkau Layanan Federasi Direktori Aktif saat mereka tidak berada di jaringan perusahaan.
  • Anda harus menyiapkan server proksi aplikasi web di zona demiliterisasi (DMZ) dan hanya mengizinkan akses TCP/443 antara DMZ dan subnet internal.
  • Untuk memastikan ketersediaan tinggi LAYANAN Federasi Direktori Aktif dan server proksi aplikasi web, sebaiknya gunakan load balancer internal untuk server Ad FS dan Azure Load Balancer untuk server proksi aplikasi web.
  • Untuk memberikan redundansi pada penyebaran Layanan Federasi Direktori Aktif Anda, kami sarankan Anda mengelompokkan dua atau beberapa komputer virtual (VM) dalam ketersediaan yang ditetapkan untuk beban kerja serupa. Konfigurasi ini memastikan bahwa selama peristiwa pemeliharaan yang direncanakan atau tidak direncanakan, setidaknya satu VM tersedia.
  • Anda harus menyebarkan server proksi aplikasi web di jaringan DMZ terpisah. Anda dapat membagi satu jaringan virtual menjadi dua subnet dan kemudian menyebarkan server proksi aplikasi web dalam subnet terisolasi. Anda dapat mengonfigurasi pengaturan grup keamanan jaringan untuk setiap subnet dan hanya mengizinkan komunikasi yang diperlukan antara dua subnet.

Menyebarkan jaringan

Saat membuat jaringan, Anda dapat membuat dua subnet di jaringan virtual yang sama atau membuat dua jaringan virtual yang berbeda. Sebaiknya gunakan pendekatan jaringan tunggal, karena membuat dua jaringan virtual terpisah juga memerlukan pembuatan dua gateway jaringan virtual terpisah untuk tujuan komunikasi.

Membuat jaringan virtual

Untuk membuat jaringan virtual:

  1. Masuk ke portal Azure dengan akun Azure Anda.

  2. Di portal, cari dan pilih Jaringan virtual.

  3. Pada halaman Jaringan virtual, pilih + Buat.

  4. Di Buat jaringan virtual, buka tab Dasar dan konfigurasikan pengaturan berikut:

    • Konfigurasikan pengaturan berikut di bawah Detail proyek:

      • Untuk Langganan, pilih nama langganan Anda.

      • Untuk Grup sumber daya, pilih nama grup sumber daya yang sudah ada atau pilih Buat baru untuk membuat yang baru.

    • Konfigurasikan pengaturan berikut untuk detail Instans:

      • Untuk Nama jaringan virtual, masukkan nama untuk jaringan virtual Anda.

      • Untuk Wilayah, pilih wilayah tempat Anda ingin membuat jaringan virtual.

  5. Pilih Selanjutnya.

  6. Di tab Keamanan , aktifkan layanan keamanan apa pun yang ingin Anda gunakan, lalu pilih Berikutnya.

  7. Pada tab Alamat IP, pilih nama subnet yang ingin Anda edit. Untuk contoh ini, kami mengedit subnet default yang dibuat layanan secara otomatis.

  8. Pada halaman Edit subnet , ganti nama subnet menjadi INT.

  9. Masukkan alamat IP dan informasi ukuran Subnet untuk subnet Anda untuk menentukan ruang alamat IP.

  10. Untuk Grup keamanan jaringan, pilih Buat baru.

  11. Untuk contoh ini, masukkan nama NSG_INT dan pilih OK, lalu pilih Simpan. Anda sekarang memiliki subnet pertama Anda.

    Cuplikan layar memperlihatkan cara mengedit subnet dan menambahkan grup keamanan jaringan internal.

  12. Untuk membuat subnet kedua Anda, pilih + Tambahkan subnet.

  13. Pada halaman Tambahkan subnet , masukkan DMZ untuk nama subnet kedua, lalu masukkan informasi tentang subnet Anda ke bidang kosong untuk menentukan ruang alamat IP.

  14. Untuk Grup keamanan jaringan, pilih Buat baru.

  15. Masukkan nama NSG_DMZ, pilih OK, lalu pilih Tambahkan.

    Cuplikan layar memperlihatkan cara menambahkan subnet baru yang menyertakan grup keamanan jaringan.

  16. Pilih Tinjau + buat, lalu pilih Buat.

Anda sekarang memiliki jaringan virtual yang mencakup dua subnet, masing-masing dengan kelompok keamanan jaringan terkait.

Cuplikan layar memperlihatkan subnet baru dan grup keamanan jaringan mereka.

Mengamankan jaringan virtual

Grup keamanan jaringan (NSG) berisi daftar aturan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke instans VM Anda di jaringan virtual. Anda dapat mengaitkan NSG dengan subnet atau instans komputer virtual individual dalam subnet tersebut. Saat NSG dikaitkan dengan subnet, aturan ACL berlaku untuk semua instans VM di subnet tersebut.

NSG yang terkait dengan subnet Anda secara otomatis menyertakan beberapa aturan masuk dan keluar default. Anda tidak dapat menghapus aturan keamanan default, tetapi dapat menimpanya dengan yang prioritasnya lebih tinggi. Dan, Anda dapat menambahkan lebih banyak aturan masuk dan keluar sesuai dengan tingkat keamanan yang Anda inginkan.

Sekarang, tambahkan beberapa aturan ke masing-masing dari dua kelompok keamanan kami. Untuk contoh pertama, mari kita tambahkan aturan keamanan masuk ke grup keamanan NSG_INT .

  1. Pada halaman Subnet jaringan virtual Anda, pilih NSG_INT.

  2. Di sebelah kiri, pilih Aturan keamanan masuk, lalu pilih + Tambahkan.

  3. Di Tambahkan aturan keamanan masuk, konfigurasikan aturan dengan informasi berikut:

    • Untuk Sumber, masukkan 10.0.1.0/24.

    • Untuk rentang port Sumber, biarkan kosong jika Anda tidak ingin mengizinkan lalu lintas atau memilih tanda bintang (*) untuk mengizinkan lalu lintas pada port apa pun.

    • Untuk Tujuan, masukkan 10.0.0.0/24.

    • Untuk Layanan, pilih HTTPS. Layanan secara otomatis mengisi bidang informasi untuk rentang port tujuan dan Protokol tergantung pada layanan mana yang Anda pilih.

    • Untuk Tindakan, pilih Izinkan.

    • Untuk Prioritas, masukkan 1010.

    • Untuk Nama, masukkan AllowHTTPSFromDMZ.

    • Untuk Deskripsi, masukkan Izinkan komunikasi HTTPS dari DMZ.

  4. Setelah selesai, pilih Tambahkan.

    Cuplikan layar memperlihatkan cara menambahkan aturan keamanan masuk. Aturan keamanan masuk baru sekarang ditambahkan ke bagian atas daftar aturan untuk NSG_INT.

  5. Ulangi langkah-langkah ini dengan nilai yang diperlihatkan dalam tabel berikut. Selain aturan baru yang Anda buat, Anda harus menambahkan aturan tambahan berikut dalam urutan prioritas yang tercantum untuk membantu mengamankan subnet internal dan DMZ Anda.

    NSG Jenis aturan Sumber Tujuan Layanan Perbuatan Prioritas Nama Deskripsi
    NSG_INT Keluar Mana pun Tag Layanan/Internet Kustom (80/Apa pun) Tolak 100 DenyInternetOutbound Tidak ada akses ke internet.
    NSG_DMZ Masuk Apa pun Apa pun Kustom (Tanda Bintang (*)/Apa pun) Izinkan 1010 AllowHTTPSFromInternet Izinkan HTTPS dari internet ke DMZ.
    NSG_DMZ Keluar Mana pun Tag Layanan/Internet Kustom (80/Apa pun) Tolak 100 DenyInternetOutbound Apa pun kecuali HTTPS ke internet diblokir.

  6. Setelah Anda selesai memasukkan nilai untuk setiap aturan baru, pilih Tambahkan dan lanjutkan ke aturan berikutnya hingga dua aturan keamanan baru ditambahkan untuk setiap NSG.

Setelah konfigurasi, halaman NSG akan terlihat seperti cuplikan layar berikut:

Cuplikan layar memperlihatkan NSG setelah Anda menambahkan aturan keamanan.

Catatan

Jika jaringan virtual memerlukan autentikasi sertifikat pengguna klien, seperti autentikasi clientTLS menggunakan sertifikat pengguna X.509, Anda harus mengaktifkan port TCP 49443 untuk akses masuk.

Membuat koneksi ke lokal

Anda memerlukan koneksi ke lokal untuk menyebarkan DC di Azure. Anda dapat menyambungkan infrastruktur lokal ke infrastruktur Azure Anda menggunakan salah satu opsi berikut:

  • Titik-ke-Situs
  • Situs-ke-situs Virtual Network
  • ExpressRoute

Sebaiknya gunakan ExpressRoute jika organisasi Anda tidak memerlukan koneksi situs-ke-situs atau Virtual Network situs-ke-situs. ExpressRoute memungkinkan Anda membuat koneksi privat antara pusat data Azure dan infrastruktur yang ada di tempat Anda atau di lingkungan kolokasi. Koneksi ExpressRoute juga tidak terhubung ke internet publik, yang membuatnya lebih andal, lebih cepat, dan lebih aman. Untuk mempelajari selengkapnya tentang ExpressRoute dan berbagai opsi konektivitas menggunakan ExpressRoute, baca Gambaran umum teknis ExpressRoute.

Membuat set ketersediaan

Untuk setiap peran (DC/AD FS dan WAP), buat set ketersediaan yang masing-masing berisi setidaknya dua komputer. Konfigurasi ini membantu mencapai ketersediaan yang lebih tinggi untuk setiap peran. Saat membuat set ketersediaan, Anda harus memutuskan domain mana yang ingin Anda gunakan:

  • Di domain kesalahan, VM berbagi sumber daya dan sakelar jaringan fisik yang sama. Kami merekomendasikan minimal dua domain kesalahan. Nilai defaultnya adalah 2 dan Anda dapat membiarkannya apa adanya untuk penyebaran ini.

  • Di domain pembaruan, komputer dimulai ulang bersama selama pembaruan. Kami merekomendasikan minimal dua domain pembaruan. Nilai defaultnya adalah 5, dan Anda dapat membiarkannya apa adanya untuk penyebaran ini.

Untuk membuat set ketersediaan:

  1. Cari dan pilih Set ketersediaan di portal Azure, lalu pilih + Buat.

  2. Di Buat set ketersediaan, buka tab Dasar dan masukkan informasi berikut:

    • Di bawah Detail proyek:

      • Untuk Langganan, pilih nama langganan Anda.

      • Untuk Grup sumber daya, pilih grup sumber daya yang sudah ada atau Buat baru untuk membuat yang baru.

    • Di bawah Detail instans:

      • Untuk Nama, masukkan nama untuk set ketersediaan Anda. Untuk contoh ini, masukkan contosodcset.

      • Untuk Wilayah, pilih wilayah yang ingin Anda gunakan.

      • Untuk domain Kesalahan, biarkan pada nilai default 2.

      • Untuk Perbarui domain, biarkan pada nilai default 5.

      • Untuk Gunakan disk terkelola, pilih Tidak (Klasik) untuk contoh ini.

    Cuplikan layar memperlihatkan cara membuat set ketersediaan.

  3. Setelah selesai, pilih Tinjau + buat, lalu Buat.

  4. Ulangi langkah-langkah sebelumnya untuk membuat set ketersediaan kedua dengan nama contososac2.

Menyebarkan komputer virtual

Langkah selanjutnya adalah menyebarkan VM yang menghosting berbagai peran dalam infrastruktur Anda. Kami merekomendasikan minimal dua komputer di setiap set ketersediaan. Untuk contoh ini, kami membuat empat VM untuk penyebaran dasar.

Untuk membuat VM:

  1. Cari dan pilih Komputer virtual di portal Azure.

  2. Pada halaman Komputer virtual, pilih + Buat, lalu pilih Komputer virtual Azure.

  3. Di Buat komputer virtual, buka tab Dasar dan masukkan informasi berikut:

    • Di bawah Detail proyek:

      • Untuk Langganan, pilih nama langganan Anda.

      • Untuk Grup sumber daya, pilih grup sumber daya yang sudah ada atau Buat baru untuk membuat yang baru.

    • Di bawah Detail instans:

      • Untuk Nama komputer virtual, masukkan nama untuk VM Anda. Untuk komputer pertama dalam contoh ini, masukkan contosodc1.

      • Untuk Wilayah, pilih wilayah yang ingin Anda gunakan.

      • Untuk Opsi ketersediaan, pilih Set ketersediaan.

      • Untuk Set ketersediaan, pilih contosodcset

      • Untuk Jenis keamanan, pilih Standar.

      • Untuk Langganan, pilih nama langganan Anda.

      • Untuk Gambar, pilih gambar yang ingin Anda gunakan, lalu pilih Konfigurasikan pembuatan VM dan pilih Gen 1.

    • Di bawah Akun administrator:

      • Untuk Jenis autentikasi, pilih kunci umum SSH.

      • Untuk Nama pengguna, masukkan nama pengguna yang akan digunakan untuk akun tersebut.

      • Untuk Nama pasangan kunci, masukkan nama pasangan kunci yang akan digunakan untuk akun tersebut.

    • Untuk apa pun yang tidak ditentukan, Anda dapat meninggalkan nilai default.

  4. Setelah selesai, pilih Berikutnya: Disk. Cuplikan layar memperlihatkan langkah pertama dalam cara membuat komputer virtual.

  5. Di tab Jaringan , masukkan informasi berikut ini:

    • Untuk jaringan virtual, pilih nama jaringan virtual yang berisi subnet yang Anda buat di bagian sebelumnya.

    • Untuk Subnet, pilih subnet INT Anda.

    • Di Grup keamanan jaringan NIC, pilih Tidak Ada.

    • Untuk apa pun yang tidak ditentukan, Anda dapat membiarkan default. Cuplikan layar memperlihatkan tab Jaringan untuk cara membuat komputer virtual.

  6. Setelah Anda membuat semua pilihan Anda, pilih Tinjau + buat, lalu pilih Buat.

Ulangi langkah-langkah ini menggunakan informasi dalam tabel ini untuk membuat tiga VM yang tersisa:

Nama komputer virtual Subnet Opsi ketersediaan Rangkaian ketersediaan Akun Penyimpanan
contosodc2 INT Rangkaian ketersediaan contosodcset contososac2
contosowap1 DMZ Rangkaian ketersediaan contosowapset contososac1
contosowap2 DMZ Rangkaian ketersediaan contosowapset contososac2

Pengaturan tidak menentukan NSG karena Azure memungkinkan Anda menggunakan NSG di tingkat subnet. Anda dapat mengontrol lalu lintas jaringan mesin dengan menggunakan NSG individual yang terkait dengan subnet atau objek kartu antarmuka jaringan (NIC). Untuk informasi selengkapnya, lihat Apa itu kelompok keamanan jaringan (NSG).

Jika Anda mengelola DNS, kami sarankan Anda menggunakan alamat IP statis. Anda bisa menggunakan Azure DNS dan merujuk ke komputer baru dengan Azure FQDN mereka di catatan DNS untuk domain Anda. Untuk informasi selengkapnya, lihat Mengubah alamat IP privat menjadi statis.

Halaman Komputer virtual Anda harus menampilkan keempat VM setelah penyebaran selesai.

Mengonfigurasi server DC dan AD FS

Untuk mengautentikasi permintaan masuk apa pun, AD FS perlu menghubungi DC. Untuk menghemat perjalanan mahal dari Azure ke DC lokal untuk autentikasi, kami sarankan Anda menyebarkan replika DC di Azure. Untuk mencapai ketersediaan tinggi, lebih baik membuat set ketersediaan setidaknya dua DC.

Pengendali Domain Peran Akun Penyimpanan
contosodc1 Replika contososac1
contosodc2 Replika contososac2

Kami sarankan Anda melakukan hal-hal berikut:

  • Mempromosikan dua server sebagai DC replika dengan DNS

  • Konfigurasikan server Layanan Federasi Direktori Aktif dengan menginstal peran Layanan Federasi Direktori Aktif menggunakan manajer server.

Membuat dan menyebarkan load balancer internal (ILB)

Untuk membuat dan menyebarkan ILB:

  1. Cari dan pilih Load Balancer di portal Azure dan pilih + Buat.

  2. Di Buat load balancer, masukkan atau pilih informasi ini di tab Dasar :

    • Di bawah Detail proyek:

      • Untuk Langganan, pilih nama langganan Anda.

      • Untuk Grup sumber daya, pilih grup sumber daya yang sudah ada atau Buat baru untuk membuat yang baru.

    • Di bawah Detail instans:

      • Untuk Nama, masukkan nama load balancer Anda.

      • Untuk Wilayah, pilih wilayah yang ingin Anda gunakan.

      • Untuk Jenis, pilih Internal.

    • Biarkan SKU dan Tingkat sebagai defaultnya lalu pilih Berikutnya: Konfigurasi IP FrontendCuplikan layar memperlihatkan tab Dasar untuk cara membuat load balancer.

  3. Pilih + Tambahkan konfigurasi IP frontend, lalu masukkan atau pilih informasi ini di halaman Tambahkan konfigurasi IP frontend.

    • Untuk Nama, masukkan nama konfigurasi IP frontend.

    • Untuk Jaringan virtual, pilih jaringan virtual tempat Anda ingin menyebarkan Layanan Federasi Direktori Aktif Anda.

    • Untuk Subnet, pilih INT, yang merupakan subnet internal yang Anda buat di bagian sebelumnya.

    • Untuk Penugasan, pilih Statis.

    • Untuk alamat IP, masukkan alamat IP Anda.

    • Biarkan Zona ketersediaan sebagai default lalu pilih Tambahkan. Cuplikan layar memperlihatkan cara menambahkan konfigurasi IP frontend saat Anda membuat load balancer.

  4. Pilih Berikutnya: Kumpulan backend, lalu pilih + Tambahkan kumpulan backend.

  5. Pada halaman Tambahkan kumpulan backend, masukkan nama untuk kumpulan backend ke bidang Nama . Di area konfigurasi IP, pilih + Tambahkan.

  6. Pada halaman Tambahkan kumpulan backend, pilih VM untuk menyelaraskan dengan kumpulan backend, pilih Tambahkan, lalu pilih Simpan. Cuplikan layar memperlihatkan cara menambahkan kumpulan backend saat Anda membuat load balancer.

  7. Pilih Berikutnya: Aturan Masuk.

  8. Pada tab Aturan masuk, pilih Tambahkan aturan penyeimbangan beban, lalu masukkan informasi berikut di halaman Tambahkan aturan penyeimbangan beban:

    • Untuk Nama, masukkan nama untuk aturan tersebut.

    • Untuk Alamat IP Frontend, pilih alamat yang Anda buat sebelumnya.

    • Untuk Kumpulan backend, pilih kumpulan backend yang Anda buat sebelumnya.

    • Untuk Protokol, pilih TCP.

    • Untuk Port, masukkan 443.

    • Untuk Port backend, pilih Buat baru, lalu masukkan nilai berikut untuk membuat pemeriksaan kesehatan:

      • Untuk Nama, masukkan nama pemeriksaan kesehatan.

      • Untuk Protokol, masukkan HTTP.

      • Untuk Port, masukkan 80.

      • Untuk Jalur, masukkan /adfs/probe.

      • Untuk Interval, biarkan pada nilai default 5.

      • Setelah selesai, pilih Simpan.

    • Setelah selesai, pilih Simpan untuk menyimpan aturan masuk.

  9. Pilih Simpan untuk menyimpan aturan masuk. Cuplikan layar memperlihatkan cara menambahkan aturan penyeimbangan beban.

  10. Pilih Tinjau + buat, lalu pilih Buat.

Setelah Memilih Buat dan penyebaran ILB, Anda dapat melihatnya dalam daftar load balancer, seperti yang ditunjukkan pada cuplikan layar berikut.

Cuplikan layar memperlihatkan load balancer baru yang baru saja Anda buat.

Memperbarui server DNS dengan ILB

Menggunakan server DNS internal Anda, buat catatan A untuk ILB. Pengaturan ini memastikan bahwa semua data yang dikirimkan ke fs.contoso.com berakhir di ILB menggunakan rute yang sesuai. Catatan A harus untuk layanan federasi dengan alamat IP yang menunjuk ke alamat IP ILB. Misalnya, jika alamat IP ILB adalah 10.3.0.8 dan layanan federasi yang diinstal fs.contoso.com, buat catatan A untuk fs.contoso.com menunjuk ke 10.3.0.8.

Peringatan

Jika Anda menggunakan Database Internal Windows (WID) untuk database Layanan Federasi Direktori Aktif Anda, atur nilai ini untuk sementara menunjuk ke server LAYANAN Federasi Direktori Aktif utama Anda. Jika Anda tidak membuat perubahan pengaturan sementara ini, proksi aplikasi web gagal mendaftar. Setelah Anda berhasil mendaftarkan semua server proksi aplikasi web, ubah entri DNS ini untuk menunjuk ke load balancer.

Catatan

Jika penyebaran Anda juga menggunakan IPv6, buat catatan AAAA yang sesuai.

Mengonfigurasi server proksi aplikasi web untuk menjangkau server AD FS

Untuk memastikan bahwa server proksi aplikasi web dapat menjangkau server LAYANAN Federasi Direktori Aktif di belakang ILB, buat rekaman di file %systemroot%\system32\drivers\etc\hosts untuk ILB. Nama khusus (DN) harus menjadi nama layanan federasi, seperti fs.contoso.com. Dan entri IP harus menjadi alamat IP ILB, yang dalam contoh ini adalah 10.3.0.8.

Peringatan

Jika Anda menggunakan Database Internal Windows (WID) untuk database Layanan Federasi Direktori Aktif Anda, atur nilai ini untuk sementara menunjuk ke server LAYANAN Federasi Direktori Aktif utama Anda. Jika tidak, proksi aplikasi web gagal pendaftaran. Setelah Anda berhasil mendaftarkan semua server proksi aplikasi web, ubah entri DNS ini untuk menunjuk ke load balancer.

Menginstal peran proksi aplikasi web

Setelah Anda memastikan bahwa server proksi aplikasi web dapat menjangkau server LAYANAN Federasi Direktori Aktif di belakang ILB, Anda selanjutnya dapat menginstal server proksi aplikasi web. Server proksi aplikasi web tidak perlu digabungkan ke domain. Instal peran proksi aplikasi web di dua server proksi aplikasi web dengan memilih peran Akses Jarak Jauh. Manajer server memandu Anda untuk menyelesaikan penginstalan WAP.

Untuk informasi selengkapnya tentang cara menyebarkan WAP, lihat Menginstal dan Mengonfigurasi Server proksi aplikasi web.

Membuat dan menyebarkan load balancer yang menghadap internet (publik)

Untuk membuat dan menyebarkan load balancer yang menghadap internet:

  1. Di portal Azure, pilih Load balancer lalu pilih Buat.

  2. Di Buat load balancer, buka tab Dasar dan konfigurasikan pengaturan berikut:

    • Di bawah Detail proyek:

      • Untuk Langganan, pilih nama langganan Anda.

      • Untuk Grup sumber daya, pilih grup sumber daya yang sudah ada atau Buat baru untuk membuat yang baru.

    • Di bawah Detail instans:

      • Untuk Nama, masukkan nama load balancer Anda.

      • Untuk Wilayah, pilih wilayah yang ingin Anda gunakan.

      • Untuk Jenis, pilih Publik.

    • Biarkan SKU dan Tingkat sebagai defaultnya lalu pilih Berikutnya : Konfigurasi IP Frontend

    Cuplikan layar memperlihatkan cara menambahkan aturan penyeimbangan beban yang menghadap publik.

  3. Pilih + Tambahkan konfigurasi IP frontend, lalu masukkan atau pilih informasi ini di halaman Tambahkan konfigurasi IP frontend.

    • Untuk Nama, masukkan nama konfigurasi IP frontend.

    • Untuk jenis IP, pilih Alamat IP.

    • Untuk Alamat IP Publik, pilih alamat IP publik yang ingin Anda gunakan dari daftar drop-down atau pilih Buat untuk membuat yang baru, lalu pilih Tambahkan.

    Cuplikan layar memperlihatkan cara menambahkan konfigurasi IP frontend saat Anda membuat load balancer publik.

  4. Pilih Berikutnya: Kumpulan backend, lalu pilih + Tambahkan kumpulan backend.

  5. Pada halaman Tambahkan kumpulan backend, masukkan nama untuk kumpulan backend ke bidang Nama . Di area konfigurasi IP, pilih + Tambahkan.

  6. Pada halaman Tambahkan kumpulan backend, pilih VM untuk menyelaraskan dengan kumpulan backend, pilih Tambahkan, lalu pilih Simpan. Cuplikan layar memperlihatkan cara menambahkan kumpulan backend saat Anda membuat load balancer publik.

  7. Pilih Berikutnya: Aturan Masuk, lalu pilih Tambahkan aturan penyeimbangan beban. Di halaman Tambahkan aturan penyeimbangan beban, konfigurasikan pengaturan berikut:

    • Untuk Nama, masukkan nama untuk aturan tersebut.

    • Untuk Alamat IP Frontend, pilih alamat yang Anda buat sebelumnya.

    • Untuk Kumpulan backend, pilih kumpulan backend yang Anda buat sebelumnya.

    • Untuk Protokol, pilih TCP.

    • Untuk Port, masukkan 443.

    • Untuk port Backend, masukkan 443.

    • Untuk Pemeriksaan kesehatan, masukkan nilai berikut:

      • Untuk Nama, masukkan nama pemeriksaan kesehatan.

      • Untuk Protokol, masukkan HTTP.

      • Untuk Port, masukkan 80.

      • Untuk Jalur, masukkan /adfs/probe.

      • Untuk Interval, biarkan pada nilai default 5.

      • Setelah selesai, pilih Simpan.

    • Setelah selesai, pilih Simpan untuk menyimpan aturan masuk.

  8. Pilih Tinjau + buat, lalu pilih Buat.

Setelah Anda memilih Buat dan ILB publik disebarkan, itu harus berisi daftar load balancer.

Cuplikan layar memperlihatkan cara menyimpan aturan masuk.

Menetapkan label DNS ke IP publik

Untuk mengonfigurasi label DNS untuk IP publik:

  1. Di portal Azure, cari alamat IP Publik, lalu pilih alamat IP yang ingin Anda edit.

  2. Di bawah Pengaturan, pilih Konfigurasi.

  3. Di bawah Berikan label DNS (opsional), tambahkan entri di bidang teks (seperti fs.contoso.com) yang diselesaikan ke label DNS load balancer eksternal (seperti contosofs.westus.cloudapp.azure.com).

  4. Pilih Simpan untuk menyelesaikan penetapan label DNS.

Menguji rincian masuk Layanan Federasi Direktori Aktif

Cara term mudah untuk menguji Layanan Federasi Direktori Aktif adalah dengan menggunakan halaman IdpInitiatedSignOn.aspx. Untuk melakukannya, Anda harus mengaktifkan IdpInitiatedSignOn pada properti Layanan Federasi Direktori Aktif.

Untuk memeriksa apakah Anda mengaktifkan properti IdpInitiatedSignOn:

  1. Di PowerShell, jalankan cmdlet berikut di server LAYANAN Federasi Direktori Aktif untuk mengaturnya agar diaktifkan.

    Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true

  2. Dari komputer eksternal apa pun, akses https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.

  3. Anda akan melihat halaman Layanan Federasi Direktori Aktif berikut:

    Cuplikan layar halaman masuk pengujian.

  4. Cobalah untuk masuk. Jika berhasil masuk, Anda akan melihat pesan muncul, seperti yang ditunjukkan pada cuplikan layar berikut.

    Cuplikan layar yang memperlihatkan pesan keberhasilan pengujian.

Templat untuk menyebarkan Layanan Federasi Direktori Aktif di Azure

Templat ini menyebarkan penyiapan enam komputer, dengan dua komputer masing-masing untuk Pengendali Domain, Layanan Federasi Direktori Aktif, dan WAP.

Layanan Federasi Direktori Aktif di Templat Penyebaran Azure

Anda dapat menggunakan jaringan virtual yang ada atau membuat jaringan virtual baru saat menyebarkan templat ini. Tabel berikut mencantumkan parameter yang bisa Anda gunakan untuk mengkustomisasi penyebaran.

Parameter Deskripsi
Location Wilayah tempat Anda ingin menyebarkan sumber daya.
StorageAccountType Jenis Akun Penyimpanan yang ingin Anda buat.
VirtualNetworkUsage Menunjukkan apakah akan membuat jaringan virtual baru atau menggunakan jaringan virtual yang sudah ada.
VirtualNetworkName Nama jaringan virtual. Wajib pada penggunaan jaringan virtual yang ada atau baru.
VirtualNetworkResourceGroupName Menentukan nama grup sumber daya tempat jaringan virtual yang ada berada. Saat Anda menggunakan jaringan virtual yang ada, opsi ini adalah parameter wajib sehingga penyebaran dapat menemukan ID jaringan virtual yang ada.
VirtualNetworkAddressRange Rentang alamat jaringan virtual baru. Wajib jika membuat jaringan virtual baru.
InternalSubnetName Nama subnet internal. Wajib untuk opsi penggunaan jaringan virtual baru dan yang sudah ada.
InternalSubnetAddressRange Rentang alamat subnet internal, yang berisi Pengendali Domain dan server AD FS. Wajib jika membuat jaringan virtual baru.
DMZSubnetAddressRange Rentang alamat subnet DMZ, yang berisi server proksi aplikasi Windows. Wajib jika membuat jaringan virtual baru.
DMZSubnetName Nama subnet internal, yang wajib pada opsi penggunaan jaringan virtual baru dan yang sudah ada.
ADDC01NICIPAddress Alamat IP internal Pengendali Domain pertama. Alamat IP ini secara statis ditetapkan ke DC dan harus merupakan alamat IP yang valid dalam subnet Internal.
ADDC02NICIPAddress Alamat IP internal Pengendali Domain kedua. Alamat IP ini secara statis ditetapkan ke DC dan harus merupakan alamat IP yang valid dalam subnet Internal.
ADFS01NICIPAddress Alamat IP internal server AD FS pertama. Alamat IP ini secara statis ditetapkan ke server Layanan Federasi Direktori Aktif dan harus merupakan alamat IP yang valid dalam subnet Internal.
ADFS02NICIPAddress Alamat IP internal server AD FS kedua. Alamat IP ini secara statis ditetapkan ke server Layanan Federasi Direktori Aktif dan harus merupakan alamat IP yang valid dalam subnet Internal.
WAP01NICIPAddress Alamat IP internal server WAP pertama. Alamat IP ini secara statis ditetapkan ke server WAP dan harus merupakan alamat IP yang valid dalam subnet DMZ.
WAP02NICIPAddress Alamat IP internal server WAP kedua. Alamat IP ini secara statis ditetapkan ke server WAP dan harus merupakan alamat IP yang valid dalam subnet DMZ.
ADFSLoadBalancerPrivateIPAddress Alamat IP internal load balancer Layanan Federasi Direktori Aktif. Alamat IP ini secara statis ditetapkan ke load balancer dan harus menjadi alamat IP yang valid dalam subnet Internal.
ADDCVMNamePrefix Awalan nama VM untuk Pengendali Domain.
ADFSVMNamePrefix Awalan nama VM untuk server LAYANAN Federasi Direktori Aktif.
WAPVMNamePrefix Awalan nama VM untuk server WAP.
ADDCVMSize Ukuran VM Pengendali Domain.
UKURAN ADFSVM Ukuran VM server LAYANAN Federasi Direktori Aktif.
WAPVMSize Ukuran VM server WAP.
AdminUserName Nama Administrator lokal VM.
AdminPassword Kata sandi untuk akun Administrator lokal VM.

Langkah berikutnya