Preparar a infraestrutura da rede para configurar o acesso à extranet
Aplica-se a: Azure, Office 365, Power BI, Windows Intune
Para concluir todas as tarefas usando os seguintes procedimentos, primeiro você deve ter feito logon nos computadores como membro do grupo dos Administradores ou deve ter recebido permissões equivalentes.
Lista de verificação: preparar sua infraestrutura de rede para configurar o acesso à extranet
Tarefa de implantação | Links para tópicos desta seção | Concluído |
---|---|---|
1. Prepare dois computadores que executam o Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 sistema operacional a ser configurado como proxy de servidor de federação. Se você está usando o AD FS no Windows Server 2012 R2, seus computadores de proxy devem também executar o Windows Server 2012 R2 e você deve implantar o Proxy de Aplicativo Web - um novo serviço de função de Acesso Remoto que possa ser usado para configurar o seu AD FS para acesso à extranet. Dependendo do número de usuários existentes, você poderá usar os servidores Web ou proxy existentes ou um computador dedicado. |
N/D |
|
2. Adicione o nome do Serviço de Federação na rede corporativa (o nome DNS do cluster criado anteriormente no host NLB na rede corporativa) e seu endereço IP de cluster associado aos arquivos de hosts em cada proxy de servidor de federação ou computador proxy de aplicativo Web na rede de perímetro. |
Adicionar o nome DNS de cluster e o endereço IP ao arquivo de hosts no computador proxy |
|
3. Crie um novo nome DNS de cluster e um endereço IP de cluster no host NLB na rede de perímetro e adicione os computadores do servidor de federação ao cluster NLB. Se estiver usando a tecnologia do Windows Server para os hosts NLB atuais, escolha o link apropriado à direita com base na versão do seu sistema operacional. Importante O nome DNS de cluster usado para esse novo cluster NLB deve corresponder ao nome do Serviço de Federação na rede corporativa. Observação Esta etapa é opcional em uma implantação de teste desta solução SSO com um servidor de federação AD FS único. |
Para criar e configurar clusters NLB no Windows Server 2003 e Windows Server 2003 R2, consulte Checklist: Habilitando e configurando o Balanceamento de Carga de Rede. Para criar e configurar clusters NLB no Windows Server 2008, consulte Criando clusters de balanceamento de carga de rede. Para criar e configurar clusters NLB no Windows Server 2008 R2, consulte Criando clusters de balanceamento de carga de rede. Para obter mais informações sobre o NLB no Windows Server 2012 ou Windows Server 2012 R2, consulte a visão geral do Balanceamento de Carga de Rede. |
|
4. Crie um novo registro de recurso para o cluster NLB no DNS de rede de perímetro que aponta o nome DNS de cluster do cluster NLB para seu endereço IP de cluster. |
Adicione um registro de host (A) ao DNS do perímetro para um servidor Web ativado por ADFS. |
|
5. Use o mesmo certificado de autenticação de servidor que aquele usado pelos servidores de federação na rede corporativa. Se você estiver usando o AD FS no Windows Server 2008 ou Windows Server 2012, você deve instalar este certificado no Site Padrão do computador do proxy do servidor de federação. Se você estiver usando o AD FS no Windows Server 2012 R2, você deve importar este certificado no repositório de Certificados Pessoais no computador que funcionará como seu Proxy de Aplicativo Web. |
Importe um certificado de autenticação do servidor para o computador proxy |
Adicionar o nome DNS de cluster e o endereço IP ao arquivo de hosts no computador proxy
Para que o proxy do servidor de federação ou Proxy de Aplicativo Web funcione como esperado na rede de perímetro, você deve adicionar uma entrada ao arquivo dos hosts em cada proxy de servidor de federação ou Proxy de Aplicativo Web que aponte ao nome DNS do cluster pelo NLB na rede corporativa (por exemplo, fs.fabrikam.com) e seu endereço IP (por exemplo, 172.16.1.3). Adicionar esta entrada aos arquivos hosts permite ao proxy do servidor de federação ou Proxy de Aplicativo Web encaminhar corretamente uma chamada iniciada pelo cliente para um servidor de federação ou dentro da rede de perímetro ou fora dela.
Para adicionar o nome DNS de cluster e o endereço IP ao arquivo de hosts no proxy
Navegue para a pasta do diretório %systemroot%\Winnt\System32\Drivers e localize o arquivo dos hosts.
Inicie o Bloco de Notas e, depois, abra o arquivo dos hosts.
Adicione o endereço IP e o nome do host de um servidor de federação no arquivo dos hosts, como mostrado no seguinte exemplo:
172.16.1.3fs.fabrikam.com
Salve e feche o arquivo.
Importante
Se alguma vez o endereço IP do cluster no host NLB na rede corporativa mudar, você deve atualizar o arquivo dos hosts locais em cada proxy do servidor de federação ou Proxy de Aplicativo Web.
Adicionar um registro de recurso ao DNS de perímetro ao nome DNS de cluster configurado no host NLB de perímetro
Para servir pedidos de autenticação de clientes na rede de perímetro ou fora dela, o AD FS requer que a resolução do nome seja configurada nos servidores DNS do lado externo que hospedam a zona da organização (por exemplo, fabrikam.com).
Para fazer isso, configure um Registro de Recurso de Host (A) ao servidor DNS voltado para o exterior que atende apenas a rede de perímetro do nome DNS de cluster (por exemplo, “fs.fabrikam.com”) para apontar para o endereço IP de cluster externo que acabou de ser configurado.
Para adicionar um registro de recurso ao DNS de perímetro ao nome DNS de cluster configurado no host NLB de perímetro
Em um servidor DNS para a rede de perímetro, abra o snap-in DNS. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em DNS.
Na árvore de console, clique com o botão direito do mouse na zona de pesquisa direta aplicável (por exemplo, fabrikam.com) e, em seguida, clique em Novo Host (A ou AAAA).
Em Nome, digite somente o nome do DNS do cluster que você especificou no host NLB na rede de perímetro (este deverá ser o mesmo nome DNS que o nome do Serviço de Federação). Por exemplo, para o FQDN fs.fabrikam;com, digite fs.
Em Endereço IP, digite o endereço IP concernente ao endereço IP do cluster novo que você especificou no host NLB na rede de perímetro. Por exemplo, 192.0.2.3.
Clique em Adicionar Host.
Importe um certificado de autenticação do servidor para o computador proxy
Depois de obter um certificado de autenticação do servidor usado por um dos servidores de federação na rede corporativa, você deve instalar manualmente o certificado em:
O Site Padrão para cada proxy do servidor de federação na sua organização, se você estiver usando o AD FS no Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012.
O Repositório Pessoal de cada Proxy de Aplicativo Web na sua organização, se você estiver usando o AD FS no Windows Server 2012 R2.
como os clientes do AD FS e serviços de nuvem da Microsoft devem confiar nesse certificado, use um certificado SSL emitido por uma autoridade de certificação pública (de terceiros) ou por uma autoridade de certificação subordinada a uma raiz confiável publicamente, por exemplo, VeriSign ou Thawte. Para obter informações sobre como instalar um certificado de uma AC pública, consulte o IIS 7.0: Solicitar um Certificado do Servidor da Internet.
Observação
O nome de entidade desse certificado de autenticação de servidor deve corresponder ao FQDN do nome DNS do cluster (por exemplo, fs.fabrikam.com) que você criou anteriormente no host NLB. Se o IIS (Serviços de Informações da Internet) não foi instalado, você deverá instalá-lo primeiro para concluir a tarefa. Ao instalar o IIS pela primeira vez, é recomendável usar opções de recurso padrão quando perguntado durante a instalação da função de servidor.
Para importar um certificado de autenticação para o Site Padrão no proxy do servidor de federação
Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Gerenciador de Serviços de Informação da Internet (IIS).
Na árvore de console, clique em ComputerName.
No painel central, clique duas vezes em Certificados de Servidor.
No painel Ações, clique em Importar.
Na caixa de diálogo Importar Certificado, clique no botão ...
Navegue para o local do arquivo do certificado pfx, realce-o e, em seguida, clique em Abrir.
Digite uma senha para o certificado e, em seguida, clique em OK.
Para importar o certificado de autenticação do servidor para o Repositório Pessoal do Proxy de Aplicativo Web
- Você pode usar as etapas em Importar um Certificado para concluir essa tarefa.
Próxima etapa
Agora que você preparou a infraestrutura da sua rede para Proxies de Aplicativos Web ou proxies do servidor de federação, a próxima etapa é completar as tarefas dos seguintes tópicos ou da seguinte lista de verificação, dependendo da versão de AD FS que você pretenda usar:
Consulte Também
Conceitos
Lista de verificação: usar o AD FS para implementar e gerenciar o logon único