Förbereda nätverksinfrastrukturen för att konfigurera extranätsåtkomst

Gäller för: Azure, Office 365, Power BI, Windows Intune

Om du vill slutföra alla uppgifter med hjälp av följande procedurer måste du först loggas in på datorerna som medlem i gruppen Administratörer eller ha delegerats motsvarande behörigheter.

checklista: Förbered nätverksinfrastrukturen för att konfigurera extranätsåtkomst

Distributionsuppgift	Länkar till ämnen i det här avsnittet	Fullbordad
1. Förbered två datorer som kör operativsystemet Windows Server 2008, Windows Server 2008 R2 eller Windows Server 2012 som ska konfigureras som federationsserverproxy. Om du använder AD FS i Windows Server 2012 R2 måste proxydatorerna också köra Windows Server 2012 R2 och du måste distribuera webbprogramproxy – en ny rolltjänst för fjärråtkomst som kan användas för att konfigurera AD FS för extranätsåtkomst. Beroende på hur många användare du har kan du använda befintliga webb- eller proxyservrar eller använda en dedikerad dator.	Ej tillämpligt
2. Lägg till namnet på federationstjänsten i företagsnätverket (klustrets DNS-namn som du skapade tidigare på NLB-värden i företagsnätverket) och dess associerade kluster-IP-adress till värdfilerna på varje federationsserverproxy eller proxydator för webbprogram i perimeternätverket.	Lägg till klustrets DNS-namn och IP-adress i värdfilen på proxydatorn
3. Skapa ett nytt kluster-DNS-namn och kluster-IP-adress på NLB-värden i perimeternätverket och lägg sedan till federationsserverdatorerna i NLB-klustret. Om du använder Windows Server-teknik för dina aktuella NLB-värdar väljer du lämplig länk till höger baserat på operativsystemversionen. Viktig Klustrets DNS-namn som används för det nya NLB-klustret måste matcha namnet på federationstjänsten i företagsnätverket. Not Det här steget är valfritt i en testdistribution av den här SSO-lösningen med en enda AD FS-federationsserver.	Information om hur du skapar och konfigurerar NLB-kluster på Windows Server 2003 och Windows Server 2003 R2 finns i Checklista: Aktivera och konfigurera belastningsutjämning för nätverk. Information om hur du skapar och konfigurerar NLB-kluster på Windows Server 2008 finns i Skapa kluster för utjämning av nätverksbelastning. Information om hur du skapar och konfigurerar NLB-kluster på Windows Server 2008 R2 finns i Skapa kluster för utjämning av nätverksbelastning. Mer information om nätverksbelastning i Windows Server 2012 eller Windows Server 2012 R2 finns i Översikt över utjämning av nätverksbelastning.
4. Skapa en ny resurspost för NLB-klustret i perimeternätverkets DNS som pekar klustrets DNS-namn på NLB-klustret till dess kluster-IP-adress.	Lägg till en värdpost (A) i perimeter-DNS för en ADFS-aktiverad webbserver
5. Använd samma serverautentiseringscertifikat som det som används av federationsservrarna i företagsnätverket. Om du använder AD FS i Windows Server 2008 eller Windows Server 2012 måste du installera det här certifikatet på standardwebbplatsen för federationsserverproxydatorn. Om du använder AD FS i Windows Server 2012 R2 måste du importera certifikatet till arkivet Personliga certifikat på den dator som ska fungera som webbprogramproxy.	Importera ett serverautentiseringscertifikat till proxydatorn

Lägg till klustrets DNS-namn och IP-adress i värdfilen på proxydatorn

För att federationsserverproxyn eller webbprogramproxyn ska fungera som förväntat i perimeternätverket måste du lägga till en post i värdfilen på varje federationsserverproxy eller webbprogramproxydator som pekar på klustrets DNS-namn som värdhanteras av NLB i företagsnätverket (till exempel fs.fabrikam.com) och dess IP-adress (till exempel 172.16.1.3). Genom att lägga till den här posten i värdfilen kan federationsserverproxyn eller webbprogramproxyn dirigera ett klientinitierat anrop till en federationsserver antingen inom perimeternätverket eller utanför perimeternätverket.

Så här lägger du till klustrets DNS-namn och IP-adress i värdfilen på proxyn

1. Gå till katalogmappen %systemroot%\Winnt\System32\Drivers och leta reda på värdar fil.

2. Starta Anteckningar och öppna sedan filen värdar.

3. Lägg till IP-adressen och värdnamnet för en federationsserver i värdar fil, som du ser i följande exempel:

   172.16.1.3fs.fabrikam.com

4. Spara och stäng filen.

Viktig

Om klustrets IP-adress på NLB-värden i företagsnätverket ändras måste du uppdatera den lokala värdfilen på varje federationsserverproxy eller webbprogramproxy.

Lägg till en resurspost i perimeter-DNS för klustrets DNS-namn som konfigurerats på perimeter-NLB-värden

För att kunna hantera autentiseringsbegäranden från klienter antingen i perimeternätverket eller utanför perimeternätverket kräver AD FS att namnmatchning konfigureras på externa DNS-servrar som är värdar för organisationens zon (till exempel fabrikam.com).

Det gör du genom att lägga till en värdresurspost (A) till den externt riktade DNS-servern som endast hanterar perimeternätverket för klustrets DNS-namn (till exempel "fs.fabrikam.com") för att peka på den externa kluster-IP-adress som just har konfigurerats.

Så här lägger du till en resurspost i perimeter-DNS för klustrets DNS-namn som konfigurerats på perimeter-NLB-värden

1. Öppna DNS-snapin-modulen på en DNS-server för perimeternätverket. Klicka på Starta, peka på Administrationsverktygoch klicka sedan på DNS-.

2. Högerklicka på den aktuella uppslagszonen (till exempel fabrikam.com) i konsolträdet och klicka sedan på ny värd (A eller AAAA).

3. I Namnskriver du bara namnet på klustrets DNS-namn som du angav på NLB-värden i perimeternätverket (detta bör vara samma DNS-namn som namnet på federationstjänsten). För FQDN-fs.fabrikam.com skriver du till exempel fs.

4. I IP-adressanger du IP-adressen för den nya kluster-IP-adressen som du angav på NLB-värden i perimeternätverket. Till exempel 192.0.2.3.

5. Klicka på Lägg till värd.

Importera ett serverautentiseringscertifikat till proxydatorn

När du har fått ett certifikat för serverautentisering som används av en av federationsservrarna i företagsnätverket måste du installera certifikatet manuellt på någon av följande:.

1. Standardwebbplatsen för varje federationsserverproxy i din organisation, om du använder AD FS i Windows Server 2008, Windows Server 2008 R2 eller Windows Server 2012

2. Personlig lagring för varje webbprogramproxy i din organisation, om du använder AD FS i Windows Server 2012 R2.

Eftersom det här certifikatet måste vara betrott av klienter för AD FS- och Microsoft-molntjänster använder du ett SSL-certifikat som utfärdas av en offentlig (tredje part) CA eller av en certifikatutfärdare som är underordnad en offentligt betrodd rot. till exempel VeriSign eller Thawte. Information om hur du installerar ett certifikat från en offentlig certifikatutfärdare finns i IIS 7.0: Begära ett Internet Server-certifikat.

Not

Ämnesnamnet för det här serverautentiseringscertifikatet måste matcha FQDN för klustrets DNS-namn (till exempel fs.fabrikam.com) som du skapade tidigare på NLB-värden. Om Internet Information Services (IIS) inte har installerats måste du först installera IIS för att slutföra den här uppgiften. När du installerar IIS för första gången rekommenderar vi att du använder standardalternativen när du uppmanas att installera serverrollen.

Importera ett serverautentiseringscertifikat till standardwebbplatsen på federationsserverproxyn

1. Klicka på Starta, peka på Alla program, peka på Administrationsverktygoch klicka sedan på IIS-hanteraren (Internet Information Services).

2. I konsolträdet klickar du på ComputerName.

3. Dubbelklicka på servercertifikat i mittenfönstret.

4. I fönstret Åtgärder klickar du på Importera.

5. I dialogrutan Importera certifikat klickar du på knappen ....

6. Bläddra till platsen för pfx-certifikatfilen, markera den och klicka sedan på Öppna.

7. Skriv ett lösenord för certifikatet och klicka sedan på OK.

Importera ett certifikat för serverautentisering till det personliga arkivet för webbprogramproxyn

1. Du kan använda stegen i Importera ett certifikat för att slutföra den här uppgiften.

Nästa steg

Nu när du har förberett nätverksinfrastrukturen för antingen webbaserade proxyservrar eller federationsserverproxyservrar är nästa steg att slutföra uppgifterna i antingen följande avsnitt eller i följande checklista, beroende på vilken version av AD FS du vill använda:

• Konfigurera extranätsåtkomst för AD FS på Windows Server 2012 R2

• Checklista: Konfigurera extranätsåtkomst för AD FS i äldre versioner av Windows Server

Se även

Begrepp

checklista: Använd AD FS för att implementera och hantera enkel inloggning