Distribuzione di Active Directory Federation Services in Azure

  • Articolo

Active Directory Federation Services (AD FS) offre funzionalità semplificate e protette di federazione delle identità e Single Sign-On (SSO) Web. La federazione con Microsoft Entra ID o Microsoft 365 permette agli utenti di essere autenticati usando credenziali locali e accedere a tutte le risorse cloud. Di conseguenza, diventa importante la presenza di un'infrastruttura AD FS a disponibilità elevata per garantire l'accesso alle risorse sia in locale sia nel cloud.

La distribuzione di AD FS in Azure consente di raggiungere facilmente la disponibilità elevata necessaria. La distribuzione di AD FS in Azure offre diversi vantaggi:

  • Disponibilità elevata: con la potenza dei set di disponibilità di Azure è possibile garantire un'infrastruttura a disponibilità elevata.
  • Scalabilità semplificata: se sono necessarie più prestazioni, Eseguire facilmente la migrazione a computer più potenti con poche selezioni in Azure.
  • Ridondanza tra aree geografiche: con la ridondanza geografica di Azure è possibile assicurarsi che l'infrastruttura sia a disponibilità elevata in tutto il mondo.
  • Facile da gestire: con le opzioni di gestione estremamente semplificate nel portale di Azure la gestione dell'infrastruttura è semplice e senza problemi.

Principi di progettazione

Questo diagramma illustra la topologia di base consigliata per iniziare a distribuire l'infrastruttura AD FS in Azure.

Screenshot of deployment design.

Di seguito sono riportati i principi alla base dei vari componenti della topologia:

  • Controller di dominio/Server AD FS: se sono presenti meno di 1.000 utenti, è possibile installare il ruolo AD FS nei controller di dominio. Se non si desidera alcun effetto sulle prestazioni dei controller di dominio o se si hanno più di 1.000 utenti, distribuire AD FS in server separati.
  • Server WAP: è necessario distribuire server del proxy dell'applicazione Web in modo che gli utenti possano raggiungere AD FS quando non sono nella rete aziendale.
  • Rete perimetrale: i server del proxy dell'applicazione Web vengono inseriti nella rete perimetrale ed è consentito solo l'accesso TCP/443 tra la rete perimetrale e la subnet interna.
  • Servizi di bilanciamento del carico: per garantire la disponibilità elevata dei server AD FS e dei server del proxy dell'applicazione Web, è consigliabile usare un bilanciamento del carico interno per i server AD FS e Azure Load Balancer per i server del proxy dell'applicazione Web.
  • Set di disponibilità: per fornire ridondanza alla distribuzione di AD FS, è consigliabile raggruppare due o più macchine virtuali in un set di disponibilità per carichi di lavoro simili. Questa configurazione garantisce che durante un evento di manutenzione pianificato o non pianificato sia disponibile almeno una macchina virtuale.
  • Account di archiviazione: è consigliabile avere due account di archiviazione. La presenza di un singolo account di archiviazione può causare la creazione di un singolo punto di errore. Se si dispone di un solo account di archiviazione, questo può causare la mancata disponibilità della distribuzione nell'evento improbabile in cui l'account di archiviazione presente degli errori. Due account di archiviazione consentono di associare un account di archiviazione per ogni riga di errore.
  • Separazione di rete: i server del proxy dell'applicazione Web devono essere distribuiti in una rete perimetrale separata. È possibile dividere una rete virtuale in due subnet e quindi distribuire i server del proxy dell'applicazione Web in una subnet isolata. È possibile configurare le impostazioni del gruppo di sicurezza di rete per ogni subnet e consentire solo la comunicazione necessaria tra le due subnet. Vengono forniti altri dettagli relativi allo scenario di distribuzione seguente.

Passaggi per la distribuzione di AD FS in Azure

Questa sezione descrive i passaggi per distribuire un'infrastruttura AD FS in Azure.

Distribuire la rete

Come descritto in precedenza, è possibile creare due subnet in una singola rete virtuale o creare due reti virtuali diverse. Questo articolo è incentrato sulla distribuzione di una singola rete virtuale e sulla sua suddivisione in due subnet. Questo approccio è attualmente più semplice perché due reti virtuali separate richiedono una rete virtuale per il gateway di rete virtuale per le comunicazioni.

Creare una rete virtuale

  1. Accedere al portale di Azure con il proprio account Azure.

  2. Nel portale cercare e selezionare Reti virtuali.

  3. Nella pagina Reti virtuali selezionare Crea.

  4. In Crea rete virtuale immettere o selezionare queste informazioni nella scheda Generale:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare il gruppo di risorse. In alternativa, selezionare Crea nuovo per crearne uno.
    Dettagli istanza
    Nome della rete virtuale Immettere un nome per la rete virtuale.
    Area geografica Scegliere un'area.

  5. Selezionare Avanti. Screenshot showing the basics tab for the Create virtual network page.

  6. Nella scheda Sicurezza abilitare tutti i servizi di sicurezza desiderati e selezionare Avanti.

  7. Nella scheda Indirizzi IP è già stata creata una subnet predefinita che è pronta per l'aggiunta delle macchine virtuali. Per questo esempio, selezionare impostazione predefinita per modificare la subnet.

    1. Nella pagina Modifica subnet rinominare la subnet in INT.
    2. Immettere le informazioni relative all'indirizzo IP e alle dimensioni della subnet in base alle esigenze per definire uno spazio indirizzi IP.
    3. Per Gruppodi sicurezza di rete selezionare Crea nuovo.
    4. Per questo esempio, immettere il nome NSG_INT e selezionare OK, quindi selezionare Salva. È stata creata la prima subnet. Screenshot showing how to edit a subnet and add an internal network security group.
    5. Per creare la seconda subnet, selezionare + Aggiungi una subnet.
    6. Nella pagina Aggiungi una subnet immettere la Rete perimetrale per il nome della seconda subnet e immettere le informazioni necessarie per definire uno spazio indirizzi IP.
    7. Per Gruppodi sicurezza di rete selezionare Crea nuovo.
    8. Immettere il nome NSG_DMZ, selezionare OK, quindi selezionare Aggiungi. Screenshot showing how to add a new subnet that includes a network security group.

  8. Selezionare Rivedi e crea e, se tutto sembra corretto, selezionare Crea.

È ora disponibile una rete virtuale che include due subnet, ognuna con un gruppo di sicurezza di rete associato.

Screenshot showing the new subnets and their network security groups.

Proteggere la rete virtuale

Un gruppo di sicurezza di rete (NSG) contiene un elenco di regole dell'elenco di controllo di accesso (ACL) che consentono o rifiutano il traffico di rete alle istanze di VM in una rete virtuale. I gruppi di sicurezza di rete possono essere associati a subnet o singole istanze di macchine virtuali in una subnet. Quando un gruppo di sicurezza di rete viene associato a una subnet, le regole ACL si applicano a tutte le istanze di macchine virtuali nella subnet.

I gruppi di sicurezza di rete associati alle subnet includono automaticamente alcune regole predefinite in ingresso e in uscita. Non è possibile eliminare le regole di sicurezza predefinite, ma è possibile eseguirne l'override con regole con una priorità più alta. È anche possibile aggiungere altre regole in ingresso e in uscita in base al livello di sicurezza desiderato.

Aggiungere ora un paio di regole a ognuno dei due gruppi di sicurezza. Per il primo esempio, aggiungere una regola di sicurezza in ingresso al gruppo di sicurezza NSG_INT.

  1. Nella pagina Subnet della rete virtuale selezionare NSG_INT.

  2. A sinistra selezionare Regole di sicurezza in ingresso e quindi + Aggiungi.

  3. In Aggiungi regola di sicurezza in ingresso immettere o selezionare queste informazioni:

    Impostazione Valore
    Source 10.0.1.0/24.
    Intervalli di porte di origine Lasciare (o selezionare) l'asterisco. L'asterisco (*) consente il traffico su qualsiasi porta. Per questo esempio, scegliere l'asterisco per tutte le regole create.
    Destinazione 10.0.0.0/24.
    Service selezionare HTTPS.
    Le impostazioni per Intervalli di porte di destinazione e Protocollo vengono compilate automaticamente in base al servizio specificato.
    Azione Scegliere Consenti.
    Priorità 1010.
    Le regole vengono elaborate in ordine di priorità; minore è il numero, maggiore è la priorità.
    Nome AllowHTTPSFromDMZ.
    Descrizione Consentire la comunicazione HTTPS dalla rete perimetrale.

  4. Dopo aver effettuato le scelte, selezionare Aggiungi.

    Screenshot showing how to add an inbound security rule. La nuova regola di sicurezza in ingresso viene ora aggiunta all'inizio dell'elenco di regole per NSG_INT.

  5. Ripetere questi passaggi con i valori mostrati nella tabella seguente. Oltre alla nuova regola creata, è necessario aggiungere le regole aggiuntive seguenti nell'ordine di priorità elencato per proteggere la subnet interna e perimetrale.

    NSG Tipo di regola Source (Sorgente) Destination Service Azione Priorità Nome Descrizione
    NSG_INT In uscita Qualsiasi Tag del servizio/Internet Personalizzato (80/Qualsiasi) Nega 100 DenyInternetOutbound Nessun accesso a Internet.
    NSG_DMZ In ingresso Qualsiasi Qualsiasi Personalizzato (Asterisco (*)/Qualsiasi) Consenti 1010 AllowHTTPSFromInternet Consentire HTTPS da Internet alla rete perimetrale.
    NSG_DMZ In uscita Qualsiasi Tag del servizio/Internet Personalizzato (80/Qualsiasi) Nega 100 DenyInternetOutbound Qualsiasi traffico, ad eccezione di quello da HTTPS a Internet, è bloccato.

    Dopo aver immesso i valori per ogni nuova regola, selezionare Aggiungi e procedere con la successiva fino a quando non vengono aggiunte due nuove regole di sicurezza per ogni gruppo di sicurezza di rete.

Dopo la configurazione, le pagine del gruppo di sicurezza di rete sono simili a quelle dell'esempio seguente:

Screenshot showing your NSGs after you added security rules.

Nota

Se è necessaria l'autenticazione del certificato utente client (autenticazione clientTLS con certificati utente X.509), AD FS richiede che la porta TCP 49443 sia abilitata per l'accesso in ingresso.

Creare una connessione all'ambiente locale

È necessaria una connessione all'ambiente locale per distribuire il controller di dominio in Azure. Azure offre diverse opzioni per connettere l'infrastruttura locale all'infrastruttura di Azure.

  • Da punto a sito
  • Da sito a sito della rete virtuale
  • ExpressRoute

È consigliabile usare ExpressRoute. ExpressRoute consente di creare connessioni private tra i data center di Azure e l'infrastruttura esistente a livello locale o in un ambiente di condivisione del percorso. Le connessioni ExpressRoute non vengono instradate attraverso la rete Internet pubblica. Queste offrono un livello di sicurezza superiore, maggiore affidabilità, velocità più elevate e minori latenze rispetto alle connessioni Internet tradizionali.

Sebbene sia consigliabile usare ExpressRoute, è possibile scegliere qualsiasi metodo di connessione più adatto per l'organizzazione. Per altre informazioni su ExpressRoute e sulle varie opzioni di connettività con ExpressRoute, vedere Panoramica tecnica relativa a ExpressRoute.

Creare gli account di archiviazione

Per mantenere la disponibilità elevata ed evitare la dipendenza da un singolo account di archiviazione, creare due account di archiviazione. Dividere i computer in ogni set di disponibilità in due gruppi e quindi assegnare a ogni gruppo un account di archiviazione separato.

Per creare i due account di archiviazione, cercare e selezionare Account di archiviazione nel portale di Azure e scegliere + Crea

  1. In Crea un account di archiviazione immettere o selezionare queste informazioni nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare il gruppo di risorse. In alternativa, selezionare Crea nuovo per crearne uno.
    Dettagli istanza
    Storage account name Immettere un nome per l'account di archiviazione. Per questo esempio, immettere contososac1.
    Area geografica Selezionare un'area.
    Prestazioni Selezionare Premium per il livello di prestazioni.
    Tipo di account Premium Selezionare il tipo di account di archiviazione necessario: BLOB in blocchi, condivisioni file o BLOB di pagine.
    Ridondanza Selezionare Archiviazione con ridondanza locale.

  2. Continuare con le schede rimanenti. Quando si è pronti, selezionare Crea nella scheda Rivedi.

    Screenshot showing how to create storage accounts.

  3. Ripetere i passaggi precedenti per creare un secondo account di archiviazione con il nome contososac2.

Creare set di disponibilità

Per ogni ruolo (Controller di dominio/AD FS e WAP), creare set di disponibilità contenenti almeno due computer ciascuno. Questa configurazione consente di ottenere una maggiore disponibilità per ogni ruolo. Durante la creazione dei set di disponibilità, è necessario prendere una decisione sui domini seguenti:

  • Domini di errore: le macchine virtuali nello stesso dominio di errore condividono la stessa alimentazione e lo stesso commutatore di rete fisico. Sono consigliabili almeno due domini di errore. Il valore predefinito è 2 ed è possibile lasciarlo così come è per questa distribuzione.
  • Domini di aggiornamento: i computer appartenenti allo stesso dominio di aggiornamento vengono riavviati insieme nel corso di un aggiornamento. Sono consigliabili almeno due domini di aggiornamento. Il valore predefinito è 5 ed è possibile lasciarlo così come è per questa distribuzione.

Per creare i set di disponibilità, cercare e selezionare Set di disponibilità nel portale di Azure e scegliere + Crea

  1. In Crea set di disponibilità immettere o selezionare queste informazioni nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare il gruppo di risorse. In alternativa, selezionare Crea nuovo per crearne uno.
    Dettagli istanza
    Nome Immettere un nome per il set di disponibilità. Per questo esempio, immettere contosodcset.
    Area geografica Selezionare un'area.
    Domini di errore 2
    Domini di aggiornamento 5
    Usare i dischi gestiti Per questo esempio, selezionare No (Classico).

    Screenshot showing how to create availability sets.

  2. Dopo aver effettuato tutte le scelte, selezionare Rivedi e crea e, se tutto sembra corretto, selezionare Crea.

  3. Ripetere i passaggi precedenti per creare un secondo set di disponibilità con il nome contososac2.

Distribuire le macchine virtuali

Il passaggio successivo consiste nel distribuire macchine virtuali che ospitano i diversi ruoli nell'infrastruttura. È consigliabile usare almeno due computer in ogni set di disponibilità. Per questo esempio vengono quindi create quattro macchine virtuali per la distribuzione di base.

Per creare le macchine virtuali, cercare e selezionare Macchine virtuali nel portale di Azure.

  1. Nella pagina Macchine virtuali selezionare + Crea, quindi scegliere Macchina virtuale di Azure.

  2. In Crea macchina virtuale immettere o selezionare queste informazioni nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare il gruppo di risorse. In alternativa, selezionare Crea nuovo per crearne uno.
    Dettagli istanza
    Virtual machine name Immettere un nome per la macchina virtuale. Per il primo computer immettere contosodc1.
    Area geografica Selezionare un'area.
    Opzioni di disponibilità Selezionare Set di disponibilità.
    Set di disponibilità Selezionare contosodcset.
    Tipo di sicurezza Selezionare Standard.
    Immagine Selezionare l'immagine dell'utente, quindi Configura generazione macchina virtuale e selezionare Gen 1. Per questo esempio, è necessario usare un'immagine Gen 1.
    Account amministratore
    Tipo di autenticazione selezionare Chiave pubblica SSH.
    Username Immettere un nome utente.
    Nome della coppia di chiavi Immettere un nome per la coppia di chiavi.

    Per qualsiasi elemento non specificato, è possibile lasciare le impostazioni predefinite e, quando si è pronti, selezionare Avanti: Dischi. Screenshot showing the first steps in how to create a virtual machine.

  3. Nella scheda Dischi in Avanzate deselezionare Usa dischi gestiti e quindi selezionare l'account di archiviazione contososac1 creato in precedenza. Quando si è pronti, selezionare Avanti: Reti. Screenshot showing the Disks tab for how to create a virtual machine.

  4. Nella scheda Rete immettere o selezionare queste informazioni:

    Impostazione Valore
    Rete virtuale Selezionare la rete virtuale che contiene le subnet create in precedenza.
    Subnet Per questa prima macchina virtuale selezionare la subnet INT.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno.

    Per qualsiasi elemento non specificato, è possibile lasciare le impostazioni predefinite. Screenshot showing the Networking tab for how to create a virtual machine.

Dopo aver effettuato tutte le scelte, selezionare Rivedi e crea e, se tutto sembra corretto, selezionare Crea.

Ripetere questi passaggi usando le informazioni contenute in questa tabella per creare le tre macchine virtuali rimanenti:

Virtual machine name Subnet Opzioni di disponibilità Set di disponibilità Storage account
contosodc2 INT Set di disponibilità contosodcset contososac2
contosowap1 Rete perimetrale Set di disponibilità contosowapset contososac1
contosowap2 Rete perimetrale Set di disponibilità contosowapset contososac2

Come si può notare, non viene specificato alcun gruppo di sicurezza di rete perché Azure consente di usare il gruppo di sicurezza di rete a livello di subnet. È quindi possibile controllare il traffico di rete del computer usando il singolo gruppo di sicurezza di rete associato alla subnet o all'oggetto scheda di interfaccia di rete. Per altre informazioni, vedere Che cos'è un gruppo di sicurezza di rete.

Se si gestisce il DNS, è consigliabile usare un indirizzo IP statico. È possibile usare il DNS di Azure e fare riferimento ai nuovi computer in base ai relativi FQDN di Azure nei record DNS per il dominio. Per altre informazioni, vedere Passare da un indirizzo IP privato a statico.

La pagina Macchine virtuali dovrebbe visualizzare tutte e quattro le macchine virtuali al termine della distribuzione.

Configurare il controller di dominio o il server AD FS

Per eseguire l'autenticazione di tutte le richieste in ingresso, AD FS deve contattare il controller di dominio. Per risparmiare il costoso passaggio da Azure al controller di dominio locale per l'autenticazione, è consigliabile distribuire una replica del controller di dominio in Azure. Per ottenere la disponibilità elevata, è preferibile creare un set di disponibilità di almeno due controller di dominio.

Controller di dominio Ruolo Storage account
contosodc1 Replica contososac1
contosodc2 Replica contososac2
  • Promuovere i due server come controller di dominio di replica con DNS
  • Configurare i server AD FS installando il ruolo AD FS con Server Manager

Creare e distribuire il bilanciamento del carico interno

Per creare e distribuire un bilanciamento del carico interno, cercare e selezionare Servizi di bilanciamento del carico nel portale di Azure e scegliere + Crea.

  1. In Crea servizio di bilanciamento del carico immettere o selezionare queste informazioni nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare il gruppo di risorse. In alternativa, selezionare Crea nuovo per crearne uno.
    Dettagli istanza
    Nome Immettere un nome per il bilanciamento del carico.
    Area geografica Selezionare un'area.
    Tipo Poiché questo bilanciamento del carico viene posizionato davanti ai server AD FS ed è destinato solo alle connessioni di rete interne, selezionare Interno.

    Lasciare lo SKU e il livello predefiniti e quindi selezionare Avanti : Configurazione IP front-endScreenshot showing the Basics tab for how to create a load balancer.

  2. Selezionare + Aggiungi una configurazioneIP front-end, quindi immettere o selezionare queste informazioni nella pagina Aggiungere configurazione IP front-end.

    Impostazione valore
    Nome Immettere un nome per la configurazione IP front-end.
    Rete virtuale Selezionare la rete virtuale in cui si distribuisce AD FS.
    Subnet Scegliere la subnet interna INT.
    Assegnazione Scegliere Statico.
    Indirizzo IP Immettere l'indirizzo IP.

    Lasciare la zona di disponibilità predefinita e quindi selezionare Aggiungi. Screenshot showing how to add a frontend IP configuration when you create a load balancer.

  3. Selezionare Avanti: Pool back-end e quindi + Aggiungi un pool back-end.

  4. Nella pagina Aggiungi pool back-end immettere un nome e quindi nell'area Configurazioni IP selezionare + Aggiungi.

  5. Nella pagina Aggiungi pool back-end selezionare una macchina virtuale da allineare al pool back-end, selezionare Aggiungi, quindi selezionare Salva. Screenshot showing how to add a backend pool when you create a load balancer.

  6. Selezionare Avanti: Regole in ingresso.

  7. Nella scheda Regole in ingresso selezionare Aggiungi una regola di bilanciamento del carico, quindi immettere o selezionare queste informazioni nella pagina Aggiungi regola di bilanciamento del carico.

    Impostazione valore
    Nome Immettere un nome per la regola.
    Indirizzo IP front-end IP Selezionare l'indirizzo IP front-end creato in un passaggio precedente.
    Pool back-end Selezionare il pool back-end creato in un passaggio precedente.
    Protocollo Selezionare TCP.
    Port Immettere 443.
    Porta back-end Immettere 443.
    Probe di integrità Selezionare Crea nuovo e quindi immettere questi valori per creare un probe di integrità:
    Nome: nome del probe di integrità
    Protocollo: HTTP
    Porta: 80 (HTTP)
    Percorso: /AD FS/probe
    Intervallo: 5 (valore predefinito): intervallo in cui il bilanciamento del carico interno esegue il probe dei computer nel pool back-end
    Selezionare Salva.

  8. Selezionare Salva per salvare la regola in ingresso. Screenshot showing how to add load balancing rules.

  9. Selezionare Rivedi e crea e, se tutto sembra corretto, selezionare Crea.

Dopo aver selezionato Crea e aver avviato la distribuzione del bilanciamento del carico interno, è possibile visualizzarlo nell'elenco dei servizi di bilanciamento del carico.

Screenshot showing the new load balancer you just created.

Aggiornare il server DNS con il bilanciamento del carico interno

Usando il server DNS interno, creare un record A per il bilanciamento del carico interno. Il record A deve essere per il servizio federativo con l'indirizzo IP che punta all'indirizzo IP del bilanciamento del carico interno. Ad esempio, se l'indirizzo IP del bilanciamento del carico interno è 10.3.0.8 e il servizio federativo installato è fs.contoso.com, creare un record A per fs.contoso.com che punta a 10.3.0.8.

Questa impostazione garantisce che tutti i dati trasmessi a fs.contoso.com arrivino al bilanciamento del carico interno e vengano indirizzati in modo appropriato.

Avviso

Se si usa il database interno di Windows (WID) per il database AD FS, impostare questo valore invece di puntare temporaneamente al server AD FS primario, altrimenti la registrazione del proxy dell'applicazione Web non riesce. Dopo aver registrato correttamente tutti i server del proxy dell'applicazione Web, modificare questa voce DNS in modo che punti al bilanciamento del carico.

Nota

Se la distribuzione usa anche IPv6, creare un record AAAA corrispondente.

Configurare i server del proxy dell'applicazione Web in modo da raggiungere i server AD FS

Per assicurarsi che i server del proxy dell'applicazione Web siano in grado di raggiungere i server AD FS dietro il bilanciamento del carico interno, creare un record nel file %systemroot%\system32\drivers\etc\hosts per il bilanciamento del carico interno. Il nome distinto (DN) deve essere il nome del servizio federativo, ad esempio fs.contoso.com. E la voce IP deve essere l'indirizzo IP del bilanciamento del carico interno (10.3.0.8, come illustrato nell'esempio).

Avviso

Se si usa il database interno di Windows per il database AD FS, impostare questo valore invece di puntare temporaneamente al server AD FS primario, altrimenti la registrazione del proxy dell'applicazione Web non riesce. Dopo aver registrato correttamente tutti i server del proxy dell'applicazione Web, modificare questa voce DNS in modo che punti al bilanciamento del carico.

Installazione del ruolo proxy dell'applicazione Web

Dopo aver verificato che i server del proxy dell'applicazione Web sono in grado di raggiungere i server AD FS dietro il bilanciamento del carico interno, è possibile installare successivamente i server del proxy dell'applicazione Web. I server del proxy dell'applicazione Web non devono essere aggiunti al dominio. Installare i ruoli proxy dell'applicazione Web nei due server del proxy dell'applicazione Web selezionando il ruolo Accesso remoto. Server manager consente di completare l'installazione di WAP.

Per altre informazioni su come distribuire WAP, vedere Installare e configurare il server del proxy dell'applicazione Web.

Creare e distribuire il bilanciamento del carico con connessione Internet (pubblico)

  1. Nel portale di Azure selezionare Servizi di bilanciamento del carico e quindi scegliere Crea.

  2. In Crea servizio di bilanciamento del carico immettere o selezionare queste informazioni nella scheda Informazioni di base:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Resource group Selezionare il gruppo di risorse. In alternativa, selezionare Crea nuovo per crearne uno.
    Dettagli istanza
    Nome Immettere un nome per il bilanciamento del carico.
    Area geografica Selezionare un'area.
    Tipo Poiché questo bilanciamento del carico richiede un indirizzo IP pubblico, selezionare Pubblico.

    Lasciare lo SKU e il livello predefiniti e quindi selezionare Avanti : Configurazione IP front-end

    Screenshot showing how to add public-facing load balancing rules.

  3. Selezionare + Aggiungi una configurazioneIP front-end, quindi immettere o selezionare queste informazioni nella pagina Aggiungere configurazione IP front-end.

    Impostazione valore
    Nome Immettere un nome per la configurazione IP front-end.
    Tipo di IP Selezionare l'indirizzo IP.
    Indirizzo IP pubblico Selezionare un indirizzo IP pubblico nell'elenco a discesa oppure crearne uno nuovo in base alle esigenze, quindi selezionare Aggiungi.

    Screenshot showing how to add a frontend IP configuration when you create a public load balancer.

  4. Selezionare Avanti: Pool back-end e quindi + Aggiungi un pool back-end.

  5. Nella pagina Aggiungi pool back-end immettere un nome e quindi nell'area Configurazioni IP selezionare + Aggiungi.

  6. Nella pagina Aggiungi pool back-end selezionare una macchina virtuale da allineare al pool back-end, selezionare Aggiungi, quindi selezionare Salva. Screenshot showing how to add a backend pool when you create a public load balancer.

  7. Selezionare Avanti: Regole in ingresso, selezionare Aggiungi una regola di bilanciamento del carico, quindi immettere o selezionare queste informazioni nella pagina Aggiungi regola di bilanciamento del carico.

    Impostazione valore
    Nome Immettere un nome per la regola.
    Indirizzo IP front-end IP Selezionare l'indirizzo IP front-end creato in un passaggio precedente.
    Pool back-end Selezionare il pool back-end creato in un passaggio precedente.
    Protocollo Selezionare TCP.
    Port Immettere 443.
    Porta back-end Immettere 443.
    Probe di integrità Selezionare Crea nuovo e quindi immettere questi valori per creare un probe di integrità:
    Nome: nome del probe di integrità
    Protocollo: HTTP
    Porta: 80 (HTTP)
    Percorso: /AD FS/probe
    Intervallo: 5 (valore predefinito): intervallo in cui il bilanciamento del carico interno esegue il probe dei computer nel pool back-end
    Selezionare Salva.

  8. Selezionare Salva per salvare la regola in ingresso. Screenshot showing how to create an inbound rule.

  9. Selezionare Rivedi e crea e, se tutto sembra corretto, selezionare Crea.

Dopo aver selezionato Crea e aver avviato la distribuzione del bilanciamento del carico interno pubblico, è possibile visualizzarlo nell'elenco dei servizi di bilanciamento del carico.

Screenshot showing how to save an inbound rule.

Assegnare un'etichetta DNS all'IP pubblico

Usare la funzionalità Cerca risorse e cercare gli Indirizzi IP pubblici. Usare la procedura seguente per configurare l'etichetta DNS per l'indirizzo IP pubblico.

  1. Selezionare la risorsa, in Impostazioni selezionare Configurazione.
  2. In Specificare un'etichetta DNS (facoltativo) aggiungere una voce nel campo di testo (ad esempio fs.contoso.com) che si risolve nell'etichetta DNS del bilanciamento del carico esterno (ad esempio contosofs.westus.cloudapp.azure.com).
  3. Selezionare Salva per completare l'assegnazione di un'etichetta DNS.

Testare l'accesso ad AD FS

Il modo più semplice per testare AD FS consiste nell'usare la pagina IdpInitiatedSignon.aspx. A tale scopo, è necessario abilitare IdpInitiatedSignOn nelle proprietà di AD FS. Per verificare la configurazione di AD FS, seguire questa procedura.

  1. In PowerShell eseguire il cmdlet seguente nel server AD FS per impostarlo su abilitato. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
  2. Da qualsiasi computer esterno accedere a https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.
  3. Verrà visualizzata la pagina AD FS seguente:

Screenshot of test login page.

Al termine dell'accesso, viene visualizzato un messaggio di operazione riuscita, come illustrato di seguito:

Screenshot that shows the test success message.

Modello per la distribuzione di AD FS in Azure

Il modello distribuisce una configurazione a sei computer, due per controller di dominio, due per AD FS e due per WAP.

Modello di distribuzione di AD FS in Azure

È possibile usare una rete virtuale esistente o creare una nuova rete virtuale durante la distribuzione di questo modello. Questa tabella elenca i vari parametri disponibili per personalizzare la distribuzione, inclusa una descrizione di come usare i parametri nel processo di distribuzione.

Parametro Descrizione
Location Area in cui distribuire le risorse, ad esempio Stati Uniti orientali
StorageAccountType Tipo di account di archiviazione creato
VirtualNetworkUsage Indica se viene creata una nuova rete virtuale o se usarne una esistente
VirtualNetworkName Nome della rete virtuale da creare, obbligatorio per l'utilizzo di una rete virtuale esistente o nuova
VirtualNetworkResourceGroupName Specifica il nome del gruppo di risorse in cui risiede la rete virtuale esistente. Quando si usa una rete virtuale esistente, questa opzione è un parametro obbligatorio in modo che la distribuzione possa trovare l'ID della rete virtuale esistente.
VirtualNetworkAddressRange Intervallo di indirizzi della nuova rete virtuale, obbligatorio se si crea una nuova rete virtuale
InternalSubnetName Nome della subnet interna, obbligatorio nelle opzioni di utilizzo di entrambe le reti virtuali, nuove o esistenti
InternalSubnetAddressRange Intervallo di indirizzi della subnet interna, che contiene i controller di dominio e i server AD FS, obbligatorio se si crea una nuova rete virtuale
DMZSubnetAddressRange Intervallo di indirizzi della subnet della rete perimetrale, che contiene i server del proxy dell'applicazione Windows, obbligatorio se si crea una nuova rete virtuale
DMZSubnetName Il nome della subnet interna, obbligatorio sia in caso di uso di una rete virtuale esistente che con una rete virtuale nuova
ADDC01NICIPAddress Indirizzo IP interno del primo controller di dominio, questo indirizzo IP viene assegnato staticamente al controller di dominio e deve essere un indirizzo IP valido nella subnet interna
ADDC02NICIPAddress Indirizzo IP interno del secondo controller di dominio, questo indirizzo IP viene assegnato staticamente al controller di dominio e deve essere un indirizzo IP valido nella subnet interna
AD FS01NICIPAddress Indirizzo IP interno del primo server AD FS, questo indirizzo IP viene assegnato staticamente al server AD FS e deve essere un indirizzo IP valido nella subnet interna
AD FS02NICIPAddress Indirizzo IP interno del secondo server AD FS, questo indirizzo IP viene assegnato staticamente al server AD FS e deve essere un indirizzo IP valido nella subnet interna
WAP01NICIPAddress Indirizzo IP interno del primo server WAP, questo indirizzo IP viene assegnato staticamente al server WAP e deve essere un indirizzo IP valido nella subnet della rete perimetrale
WAP02NICIPAddress Indirizzo IP interno del secondo server WAP, questo indirizzo IP viene assegnato staticamente al server WAP e deve essere un indirizzo IP valido nella subnet della rete perimetrale
AD FSLoadBalancerPrivateIPAddress Indirizzo IP interno del bilanciamento del carico AD FS, questo indirizzo IP viene assegnato staticamente al bilanciamento del carico e deve essere un indirizzo IP valido nella subnet interna
ADDCVMNamePrefix Prefisso del nome della macchina virtuale per i controller di dominio
ADFSVMNamePrefix Prefisso del nome della macchina virtuale per i server AD FS
WAPVMNamePrefix Prefisso del nome della macchina virtuale per i server WAP
ADDCVMSize Dimensione della macchina virtuale dei controller di dominio
ADFSVMSize Dimensioni della macchina virtuale dei server AD FS
WAPVMSize Dimensioni della macchina virtuale dei server WAP
AdminUserName Nome dell'amministratore locale delle macchine virtuali
AdminPassword Password dell'account amministratore locale delle macchine virtuali

Passaggi successivi