Preparar sua infraestrutura de rede para configurar o acesso à extranet

Aplica-se a: Azure, Office 365, Power BI, Windows Intune

Para concluir todas as tarefas usando os procedimentos a seguir, primeiro você deve ser conectado aos computadores como membro do grupo Administradores ou ter sido delegada permissões equivalentes.

lista de verificaçãolista de verificação lista de verificação: preparar sua infraestrutura de rede para configurar o acesso à extranet

Tarefa de implantação	Links para tópicos nesta seção	Concluído
1. Prepare dois computadores que executam o sistema operacional Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 para serem configurados como proxy de servidor de federação. Se você estiver usando o AD FS no Windows Server 2012 R2, seus computadores proxy também deverão executar o Windows Server 2012 R2 e você deverá implantar o Proxy de Aplicativo Web – um novo serviço de função de Acesso Remoto que pode ser usado para configurar o AD FS para acesso à extranet. Dependendo do número de usuários que você tem, você pode usar servidores Web ou proxy existentes ou usar um computador dedicado.	N/A	caixa de seleçãocaixa de seleção
2. Adicione o nome do Serviço de Federação na rede corporativa (o nome DNS do cluster criado anteriormente no host NLB na rede corporativa) e seu endereço IP de cluster associado aos arquivos de hosts em cada proxy de servidor de federação ou computador proxy de aplicativo Web na rede de perímetro.	Adicionar o nome DNS do cluster e o endereço IP ao arquivo de hosts no computador proxy	caixa de seleçãocaixa de seleção
3. Crie um novo nome DNS do cluster e um endereço IP do cluster no host NLB na rede de perímetro e adicione os computadores do servidor de federação ao cluster NLB. Se você estiver usando a tecnologia do Windows Server para seus hosts NLB atuais, escolha o link apropriado para a direita com base na versão do sistema operacional. Importante O nome DNS do cluster usado para esse novo cluster NLB deve corresponder ao nome do Serviço de Federação na rede corporativa. Nota Esta etapa é opcional em uma implantação de teste dessa solução de SSO com um único servidor de federação do AD FS.	Para criar e configurar clusters NLB no Windows Server 2003 e no Windows Server 2003 R2, consulte Checklist: Habilitar e configurar o Balanceamento de Carga de Rede. Para criar e configurar clusters NLB no Windows Server 2008, consulte Criando clusters de balanceamento de carga de rede. Para criar e configurar clusters NLB no Windows Server 2008 R2, consulte Criando clusters de balanceamento de carga de rede. Para obter mais informações sobre o NLB no Windows Server 2012 ou no Windows Server 2012 R2, consulte visão geral do balanceamento de carga de rede.	caixa de seleçãocaixa de seleção
4. Crie um novo registro de recurso para o cluster NLB no DNS de rede de perímetro que aponta o nome DNS do cluster NLB para seu endereço IP do cluster.	Adicionar um registro de host (A) ao DNS de perímetro para um servidor Web habilitado para ADFS	caixa de seleçãocaixa de seleção
5. Use o mesmo certificado de autenticação de servidor que o usado pelos servidores de federação na rede corporativa. Se você estiver usando o AD FS no Windows Server 2008 ou no Windows Server 2012, deverá instalar esse certificado no Site Padrão do computador proxy do servidor de federação. Se você estiver usando o AD FS no Windows Server 2012 R2, deverá importar esse certificado para o repositório de Certificados Pessoais no computador que funcionará como proxy de aplicativo Web.	Importar um certificado de autenticação de servidor para o computador proxy	caixa de seleçãocaixa de seleção

Adicionar o nome DNS do cluster e o endereço IP ao arquivo de hosts no computador proxy

Para que o proxy do servidor de federação ou o Proxy de Aplicativo Web funcione conforme o esperado na rede de perímetro, você deve adicionar uma entrada ao arquivo de hosts em cada proxy de servidor de federação ou computador Proxy de Aplicativo Web que aponte para o nome DNS do cluster hospedado pelo NLB na rede corporativa (por exemplo, fs.fabrikam.com) e seu endereço IP (por exemplo, 172.16.1.3). Adicionar essa entrada ao arquivo de hosts permite que o proxy do servidor de federação ou o Proxy de Aplicativo Web roteiem corretamente uma chamada iniciada pelo cliente para um servidor de federação dentro da rede de perímetro ou fora da rede de perímetro.

Para adicionar o nome DNS do cluster e o endereço IP ao arquivo de hosts no proxy

1. Navegue até a pasta do diretório %systemroot%\Winnt\System32\Drivers e localize os hosts arquivo.

2. Inicie o Bloco de Notas e, em seguida, abra os hosts arquivo.

3. Adicione o endereço IP e o nome do host de um servidor de federação no hosts arquivo, conforme mostrado no exemplo a seguir:

   172.16.1.3fs.fabrikam.com

4. Salve e feche o arquivo.

Importante

Se o endereço IP do cluster no host NLB na rede corporativa for alterado, você deverá atualizar o arquivo de hosts locais em cada proxy de servidor de federação ou Proxy de Aplicativo Web.

Adicionar um registro de recurso ao DNS de perímetro para o nome DNS do cluster configurado no host NLB de perímetro

Para atender solicitações de autenticação de clientes na rede de perímetro ou fora da rede de perímetro, o AD FS requer que a resolução de nomes seja configurada em servidores DNS voltados para o externo que hospedam a zona da organização (por exemplo, fabrikam.com).

Para fazer isso, adicione um Registro de Recurso do Host (A) ao servidor DNS voltado para externo que serve apenas à rede de perímetro para o nome DNS do cluster (por exemplo, "fs.fabrikam.com") para apontar para o endereço IP do cluster externo que acabou de ser configurado.

Para adicionar um registro de recurso ao DNS de perímetro para o nome DNS do cluster configurado no host NLB de perímetro

1. Em um servidor DNS para a rede de perímetro, abra o snap-in DNS. Clique em Iniciar, aponte para de Ferramentas Administrativas e clique em DNS.

2. Na árvore de console, clique com o botão direito do mouse na zona de pesquisa de encaminhamento aplicável (por exemplo, fabrikam.com) e clique em Novo Host (A ou AAAA).

3. No Name, digite apenas o nome do DNS do cluster especificado no host NLB na rede de perímetro (esse deve ser o mesmo nome DNS que o nome do Serviço de Federação). Por exemplo, para o fs.fabrikam.com FQDN, digite fs.

4. Em endereço IP, digite o endereço IP do novo endereço IP do cluster especificado no host NLB na rede de perímetro. Por exemplo, 192.0.2.3.

5. Clique em Adicionarde Host.

Importar um certificado de autenticação de servidor para o computador proxy

Depois de obter um certificado de autenticação de servidor usado por um dos servidores de federação na rede corporativa, você deve instalar manualmente esse certificado em:.

1. O Site Padrão para cada proxy de servidor de federação em sua organização, se você estiver usando o AD FS no Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012

2. O Repositório Pessoal de cada Proxy de Aplicativo Web em sua organização, se você estiver usando o AD FS no Windows Server 2012 R2.

Como esse certificado deve ser confiável por clientes do AD FS e dos serviços de nuvem da Microsoft, use um certificado SSL emitido por uma AC pública (de terceiros) ou por uma AC subordinada a uma raiz publicamente confiável; por exemplo, VeriSign ou Thawte. Para obter informações sobre como instalar um certificado de uma AC pública, consulte IIS 7.0: Solicitar um certificado de servidor da Internet.

Nota

O nome da entidade desse certificado de autenticação de servidor deve corresponder ao FQDN do nome DNS do cluster (por exemplo, fs.fabrikam.com) criado anteriormente no host NLB. Se o IIS (Serviços de Informações da Internet) não tiver sido instalado, você deverá instalar o IIS primeiro para concluir essa tarefa. Ao instalar o IIS pela primeira vez, recomendamos que você use as opções de recurso padrão quando solicitado durante a instalação da função de servidor.

Para importar um certificado de autenticação de servidor para o Site Padrão no proxy do servidor de federação

1. Clique em Iniciar, aponte para Todos os Programas, aponte para de Ferramentas Administrativas e clique em Gerente dos Serviços de Informações da Internet (IIS).

2. Na árvore de console, clique em ComputerName.

3. No painel central, clique duas vezes Certificados do Servidor.

4. No painel Ações, clique em Importar.

5. Na caixa de diálogo Importar Certificado, clique no botão ....

6. Navegue até o local do arquivo de certificado pfx, realce-o e clique em Abrir.

7. Digite uma senha para o certificado e clique em OK.

Para importar um certificado de autenticação de servidor para o Repositório Pessoal do Proxy de Aplicativo Web

1. Você pode usar as etapas em Importar um certificado para concluir essa tarefa.

Próxima etapa

Agora que você preparou sua infraestrutura de rede para proxies de aplicativo Web ou proxies de servidor de federação, a próxima etapa é concluir as tarefas no tópico a seguir ou na seguinte lista de verificação, dependendo de qual versão do AD FS você deseja usar:

• Configurar o acesso à extranet para o AD FS no Windows Server 2012 R2

• lista de verificação : configurar o acesso à extranet para o AD FS em versões herdadas do Windows Server

Consulte Também

Conceitos

Lista de verificação: use o AD FS para implementar e gerenciar o logon único