Azure'da Active Directory Federasyon Hizmetlerini Dağıtın

Active Directory Federasyon Hizmetleri (AD FS), basitleştirilmiş, güvenli kimlik federasyonu ve web çoklu oturum açma (SSO) özellikleri sağlar. Microsoft Entra ID veya Microsoft 365 ile birleştirilmiş kullanıcılar, tüm bulut kaynaklarına erişmek için şirket içi kimlik bilgilerini kullanarak kimlik doğrulaması yapabilir. Sonuç olarak, hem şirket içindeki hem de buluttaki kaynaklara erişim sağlamak için dağıtımınızın yüksek oranda kullanılabilir bir AD FS altyapısına sahip olması gerekir.

AD FS'yi Azure'da dağıtmak, çok fazla çaba harcamadan yüksek kullanılabilirliğe ulaşmanıza yardımcı olabilir. Azure'da AD FS dağıtmanın çeşitli avantajları vardır:

  • Azure kullanılabilirlik kümelerinin gücü size yüksek oranda kullanılabilir bir altyapı sağlar.
  • Dağıtımların ölçeklendirilmesi kolaydır. Daha fazla performansa ihtiyacınız varsa, Azure'da basitleştirilmiş bir dağıtım işlemi kullanarak daha güçlü makinelere kolayca geçiş yapabilirsiniz.
  • Azure coğrafi olarak yedeklilik, altyapınızın dünya genelinde yüksek oranda kullanılabilir olmasını sağlar.
  • Azure portalı, yüksek oranda basitleştirilmiş yönetim seçenekleriyle altyapınızın yönetilmesini kolaylaştırır.

Tasarım ilkeleri

Aşağıdaki diyagramda, Azure'da AD FS altyapısını dağıtmak için önerilen temel topoloji gösterilmektedir.

Azure'da AD FS altyapısını dağıtmak için önerilen temel topolojiyi gösteren diyagram.

Ağ topolojinizin şu genel ilkelere uygun şekilde izlenmesini öneririz:

  • Etki alanı denetleyicilerinizin performansını etkilememek için AD FS'yi ayrı sunuculara dağıtın.
  • Kullanıcıların şirket ağında değilken AD FS'ye ulaşabilmesi için web uygulaması ara sunucusu (WAP) sunucuları dağıtmanız gerekir.
  • Web uygulaması proxy sunucularını arındırılmış bölgede (DMZ) ayarlamanız ve yalnızca DMZ ile iç alt ağ arasında TCP/443 erişimine izin vermelisiniz.
  • AD FS ve web uygulaması ara sunucularının yüksek kullanılabilirliğini sağlamak için AD FS sunucuları için iç yük dengeleyici ve web uygulaması ara sunucuları için Azure Load Balancer kullanmanızı öneririz.
  • AD FS dağıtımınıza yedeklilik sağlamak için, benzer iş yükleri için bir kullanılabilirlik kümesinde iki veya daha fazla sanal makineyi (VM) gruplandırmanızı öneririz. Bu yapılandırma, planlı veya plansız bir bakım olayı sırasında en az bir VM'nin kullanılabilir olmasını sağlar.
  • Web uygulaması proxy sunucularını ayrı bir DMZ ağına dağıtmanız gerekir. Bir sanal ağı iki alt ağa bölebilir ve ardından web uygulaması proxy sunucularını yalıtılmış bir alt ağa dağıtabilirsiniz. Her alt ağ için ağ güvenlik grubu ayarlarını yapılandırabilir ve yalnızca iki alt ağ arasında gerekli iletişime izin vekleyebilirsiniz.

Ağı dağıt

Ağ oluştururken, aynı sanal ağda iki alt ağ oluşturabilir veya iki farklı sanal ağ oluşturabilirsiniz. İki ayrı sanal ağ oluşturmak, iletişim amacıyla iki ayrı sanal ağ geçidi oluşturmayı gerektirdiğinden tek ağ yaklaşımını kullanmanızı öneririz.

Sanal ağ oluşturma

Sanal ağ oluşturmak için:

  1. Azure hesabınızla Azure portalında oturum açın.

  2. Portalda Sanal ağlar'ı arayın ve seçin.

  3. Sanal ağlar sayfasında + Oluştur'u seçin.

  4. Sanal ağ oluşturbölümünde Temel Bilgiler sekmesine gidin ve aşağıdaki ayarları yapılandırın:

    • Proje ayrıntıları altında aşağıdaki ayarları yapılandırın:

      • Abonelik için aboneliğinizin adını seçin.

      • Kaynak grubu için mevcut bir kaynak grubunun adını seçin veya Yeni oluştur'u seçerek yeni bir grup oluşturun.

    • Örnek ayrıntıları için aşağıdaki ayarları yapılandırın:

      • Sanal ağ adıiçin sanal ağınız için bir ad girin.

      • Bölge alanında, sanal ağınızı oluşturmak istediğiniz bölgeyi seçin.

  5. sonrakiseçin.

  6. Güvenlik sekmesinde, kullanmak istediğiniz güvenlik hizmetini etkinleştirin ve İleri'yi seçin.

  7. IP adresleri sekmesinde, düzenlemek istediğiniz alt ağın adını seçin. Bu örnekte, hizmetin otomatik olarak oluşturduğu varsayılan alt ağı düzenliyoruz.

  8. Alt ağı düzenle sayfasında alt ağı INT olarak yeniden adlandırın.

  9. Bir IP adresi alanı tanımlamak için alt ağınızın IP adresi ve Alt ağ boyutu bilgilerini girin.

  10. Ağ güvenlik grubuiçin Yenioluştur seçin.

  11. Bu örnekte, NSG_INT adını girin ve Tamam'ı ve ardından Kaydet'i seçin. Artık ilk alt ağınız var.

    Alt ağı düzenlemeyi ve iç ağ güvenlik grubu eklemeyi gösteren ekran görüntüsü.

  12. İkinci alt ağınızı oluşturmak için +alt ağ ekle'yi seçin.

  13. alt ağ ekle sayfasında, ikinci alt ağ adı için DMZ girin, ardından birIP adresi alanı tanımlamak için boş alanlara alt ağınızla ilgili bilgileri girin.

  14. Ağ güvenlik grubuiçin Yenioluştur seçin.

  15. NSG_DMZ adını girin, Tamam'ı ve ardından Ekle'yi seçin.

    Ağ güvenlik grubu içeren yeni bir alt ağın nasıl ekleneceğini gösteren ekran görüntüsü.

  16. Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin.

Artık her birinin ilişkili bir ağ güvenlik grubuna sahip iki alt ağı içeren bir sanal ağınız var.

Yeni alt ağları ve ağ güvenlik gruplarını gösteren ekran görüntüsü.

Sanal ağın güvenliğini sağlama

Ağ güvenlik grubu (NSG), bir sanal ağdaki VM örneklerinize yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. NSG'leri alt ağlarla veya bu alt ağ içindeki tek tek VM örnekleriyle ilişkilendirebilirsiniz. NSG bir alt ağ ile ilişkili olduğunda ACL kuralları bu alt ağdaki tüm VM örnekleri için geçerli olur.

Alt ağlarınızla ilişkili NSG'ler otomatik olarak bazı varsayılan gelen ve giden kuralları içerir. Varsayılan güvenlik kurallarını silemezsiniz, ancak bunları daha yüksek önceliğe sahip kurallarla geçersiz kılabilirsiniz. Ayrıca, istediğiniz güvenlik düzeyine göre daha fazla gelen ve giden kuralı ekleyebilirsiniz.

Şimdi, iki güvenlik grubumuzun her birine birkaç kural ekleyin. İlk örnekte, NSG_INT güvenlik grubuna bir gelen güvenlik kuralı ekleyelim.

  1. Sanal ağınızın Alt Ağlar sayfasında NSG_INT'ı seçin.

  2. Sol tarafta, Gelen güvenlik kuralları'nı ve ardından + Ekle'yi seçin.

  3. 'daGelen güvenlik kuralı ekle 'yi ekleyin ve kuralı aşağıdaki bilgilerle yapılandırın.

    • Kaynak alanına 10.0.1.0/24 girin.

    • Kaynak bağlantı noktası aralıklarıiçin, bağlantı noktalarında trafiğe izin vermek istemiyorsanız boş bırakın veya herhangi bir bağlantı noktasında trafik için yıldız işareti (*) seçin.

    • Hedef alanına 10.0.0.0/24 girin.

    • Hizmet için HTTPS'yi seçin. Hizmet, seçtiğiniz hizmete bağlı olarak Hedef bağlantı noktası aralıkları ve Protokolü için bilgi alanlarını otomatik olarak doldurur.

    • Eylem için İzin Ver'i seçin.

    • Öncelik alanına1010 girin.

    • Ad alanına İzin VerHTTPSFromDMZ girin.

    • Açıklama için DMZ'den HTTPS iletişimine izin ver girin.

  4. bitirdikten sonra Ekle'yi seçin.

    Gelen güvenlik kuralının nasıl ekleneceğini gösteren ekran görüntüsü. Yeni gelen güvenlik kuralı artık NSG_INTkural listesinin en üstüne eklenir.

  5. Aşağıdaki tabloda gösterilen değerlerle bu adımları yineleyin. Oluşturduğunuz yeni kurala ek olarak, iç ve DMZ alt ağınızın güvenliğini sağlamaya yardımcı olmak için listelenen öncelik sırasına aşağıdaki ek kuralları eklemeniz gerekir.

    NSG Kural türü Source Destination Service Action Priority Name Description
    NSG_INT Outbound Any Hizmet Etiketi/İnternet Özel (80/Herhangi biri) Deny 100 DenyInternetOutbound İnternet erişimi yok.
    NSG_DMZ Inbound Any Any Özel (Yıldız işareti (*)/Herhangi biri) Allow 1010 AllowHTTPSFromInternet İnternet'ten DMZ'ye HTTPS'ye izin verin.
    NSG_DMZ Outbound Any Hizmet Etiketi/İnternet Özel (80/Herhangi biri) Deny 100 DenyInternetOutbound HTTPS'nin İnternet'e bağlantısı dışındaki her şey engellenir.

  6. Her yeni kuralın değerlerini girmeyi tamamladıktan sonra Ekle'yi seçin ve her NSG için iki yeni güvenlik kuralı eklenene kadar sonrakine geçin.

Yapılandırmadan sonra NSG sayfaları aşağıdaki ekran görüntüsüne benzer olmalıdır:

Güvenlik kuralları ekledikten sonra NSG'lerinizi gösteren ekran görüntüsü.

Note

Sanal ağ, X.509 kullanıcı sertifikalarını kullanan clientTLS kimlik doğrulaması gibi istemci kullanıcı sertifikası kimlik doğrulaması gerektiriyorsa, gelen erişim için TCP bağlantı noktası 49443'i etkinleştirmeniz gerekir.

Yerel sistemlere bağlantı oluşturma

DC'yi Azure'da dağıtmak için şirket içi bağlantınız olmalıdır. Aşağıdaki seçeneklerden birini kullanarak şirket içi altyapınızı Azure altyapınıza bağlayabilirsiniz:

  • Point-to-site
  • Sanal Ağ sitesinden siteye
  • ExpressRoute

Kuruluşunuz noktadan siteye veya Sanal Ağ siteden siteye bağlantı gerektirmiyorsa ExpressRoute kullanmanızı öneririz. ExpressRoute, Azure veri merkezleriyle şirket içinde veya ortak konum ortamında bulunan altyapı arasında özel bağlantılar oluşturmanıza olanak tanır. ExpressRoute bağlantıları da genel İnternet'e bağlanmaz ve bu da onları daha güvenilir, daha hızlı ve daha güvenli hale getirir. ExpressRoute ve ExpressRoute kullanarak çeşitli bağlantı seçenekleri hakkında daha fazla bilgi edinmek için ExpressRoute teknik genel bakışokuyun.

Kullanılabilirlik kümeleri oluşturma

Her rol (DC/AD FS ve WAP) için her birinde en az iki makine içeren kullanılabilirlik kümeleri oluşturun. Bu yapılandırma, her rol için daha yüksek kullanılabilirlik elde etmek için yardımcı olur. Kullanılabilirlik kümelerini oluştururken aşağıdaki etki alanlarından hangisini kullanmak istediğinize karar vermeniz gerekir:

  • Bir hata etki alanında, VM'ler aynı güç kaynağını ve fiziksel ağ anahtarını paylaşır. En az iki arıza alanı öneririz. Varsayılan değer 2'dir ve bu dağıtım için as-is bırakabilirsiniz.

  • Güncelleştirme alanında, bir güncelleştirme sırasında makineler birlikte yeniden başlatılır. İki veya daha fazla güncelleştirme alanı öneririz. Varsayılan değer 5'tir ve bu dağıtım için as-is bırakabilirsiniz.

Kullanılabilirlik kümeleri oluşturmak için:

  1. Azure portalında Kullanılabilirlik kümelerini arayın ve seçin, ardından + Oluştur'u seçin.

  2. Kullanılabilirlik kümesi oluşturbölümünde Temel Bilgiler sekmesine gidin ve aşağıdaki bilgileri girin:

    • Proje ayrıntıları altında:

      • Abonelik için aboneliğinizin adını seçin.

      • Kaynak grubu için mevcut bir kaynak grubunu seçin veya Yeni oluştur'u seçerek yeni bir grup oluşturun.

    • Örnek ayrıntıları altında:

      • Ad alanına kullanılabilirlik kümenizin adını girin. Bu örnek için contosodcset girin.

      • Bölge için, kullanmak istediğiniz bölgeyi seçin.

      • Hata etki alanları için varsayılan değer olan 2'de bırakın.

      • Güncelleştirme etki alanları için varsayılan değer olan 5'te bırakın.

      • Yönetilen diskleri kullanmak için, bu örnek için Hayır (Klasik) seçin.

    Kullanılabilirlik kümelerinin nasıl oluşturulacağını gösteren ekran görüntüsü.

  3. İşiniz bittiğinde Gözden geçir ve oluştur'u seçin ve ardından Oluştur'u.

  4. Contososac2 adlı ikinci bir kullanılabilirlik kümesi oluşturmak için önceki adımları yineleyin.

Sanal makineleri dağıtın

Sonraki adım, altyapınızda farklı rolleri barındıran VM'leri dağıtmaktır. Her kullanılabilirlik kümesinde en az iki makine kullanmanızı öneririz. Bu örnekte, temel dağıtım için dört VM oluşturuyoruz.

VM oluşturmak için:

  1. Azure portalında Sanal makineler'i arayın ve seçin.

  2. Sanal makineler sayfasında + Oluştur'u ve ardından Azure sanal makinesi'ni seçin.

  3. Sanal makine oluşturmabölümünde Temel Bilgiler sekmesine gidin ve aşağıdaki bilgileri girin:

    • Proje ayrıntıları altında:

      • Abonelik için aboneliğinizin adını seçin.

      • Kaynak grubu için mevcut bir kaynak grubunu seçin veya Yeni oluştur'u seçerek yeni bir grup oluşturun.

    • Örnek ayrıntıları altında:

      • Sanal makine adıiçin VM'niz için bir ad girin. Bu örnekteki ilk makine için contosodc1 girin.

      • Bölge için, kullanmak istediğiniz bölgeyi seçin.

      • Kullanılabilirlik seçenekleri için Kullanılabilirlik kümesi'ni seçin.

      • Kullanılabilirlik kümesi için contosodcset'i seçin

      • Güvenlik türü içinStandart'ı seçin.

      • Abonelik için aboneliğinizin adını seçin.

      • Görüntü için, kullanmak istediğiniz görüntüyü seçin, ardından VM oluşturmayı yapılandır'ı ve ardından 1. Nesil'i seçin.

    • Yönetici hesabı altında:

      • Kimlik doğrulama türü içinSSH ortak anahtarı'yı seçin.

      • Kullanıcı adı için, hesap için kullanılacak bir kullanıcı adı girin.

      • Anahtar çifti adıiçin, hesap için kullanılacak bir anahtar çifti adı girin.

    • Belirtilmeyen her şey için varsayılan değerleri bırakabilirsiniz.

  4. İşiniz bittiğinde İleri: Diskler'i seçin. Sanal makine oluşturmanın ilk adımlarını gösteren ekran görüntüsü.

  5. sekmesine aşağıdaki bilgileri girin:

    • Sanal ağ için, önceki bölümde oluşturduğunuz alt ağları içeren sanal ağın adını seçin.

    • Alt ağ için INT alt ağınızı seçin.

    • NIC ağ güvenlik grubu için Yok'a tıklayın.

    • Belirtilmeyen her şey için varsayılan değerleri bırakabilirsiniz. Sanal makine oluşturmaya yönelik Ağ sekmesini gösteren ekran görüntüsü.

  6. Tüm seçimlerinizi yaptıktan sonra "Gözden geçir ve oluştur"seçeneğini seçin, ardından "Oluştur"seçeneğini seçin.

Kalan üç VM'yi oluşturmak için bu tablodaki bilgileri kullanarak bu adımları yineleyin:

Sanal makine adı Subnet Kullanılabilirlik seçenekleri Kullanılabilirlik kümesi Depolama hesabı
contosodc2 INT Kullanılabilirlik kümesi contosodcset contososac2
contosowap1 DMZ Kullanılabilirlik kümesi contosowapset contososac1
contosowap2 DMZ Kullanılabilirlik kümesi contosowapset contososac2

Azure, NSG'yi alt ağ düzeyinde kullanmanıza olanak sağladığından ayarlar NSG'yi belirtmez. Alt ağ veya ağ arabirimi kartı (NIC) nesnesiyle ilişkili tek tek NSG'yi kullanarak makine ağ trafiğini denetleyebilirsiniz. Daha fazla bilgi için bkz. Ağ güvenlik grubu (NSG) nedir.

DNS'yi yönetiyorsanız statik BIR IP adresi kullanmanızı öneririz. Azure DNS'yi kullanabilir ve etki alanınızın DNS kayıtlarında Azure FQDN'lerine göre yeni makinelere başvurabilirsiniz. Daha fazla bilgi için bkz. Özel IP adresini statikolarak değiştirme.

Sanal makineler sayfanız, dağıtım tamamlandıktan sonra dört VM'nin tümünü göstermelidir.

DC ve AD FS sunucularını yapılandırma

AD FS'nin gelen isteklerin kimliğini doğrulaması için DC'ye başvurması gerekir. Kimlik doğrulaması için Azure'dan şirket içi DC'ye yüksek maliyetli yolculuktan tasarruf etmek için DC'nin bir çoğaltmasını Azure'da dağıtmanızı öneririz. Yüksek kullanılabilirlik elde etmek için en az iki DC'yi içeren bir kullanılabilirlik kümesi oluşturmak daha iyidir.

Etki alanı denetleyicisi Role Depolama hesabı
contosodc1 Replica contososac1
contosodc2 Replica contososac2

Aşağıdakileri yapmanızı öneririz:

  • İki sunucuyu DNS ile çoğaltma DC'ler olarak terfi ettirme

  • Sunucu yöneticisini kullanarak AD FS rolünü yükleyerek AD FS sunucularını yapılandırın.

İç yük dengeleyiciyi (ILB) oluşturma ve dağıtma

ILB oluşturmak ve dağıtmak için:

  1. Azure portalında Yük Dengeleyiciler'i arayıp seçin ve + Oluştur'u seçin.

  2. Yük dengeleyici oluşturTemel Bilgiler sekmesinde bu bilgileri girin veya seçin:

    • Proje ayrıntıları altında:

      • Abonelik için aboneliğinizin adını seçin.

      • Kaynak grubu için mevcut bir kaynak grubunu seçin veya Yeni oluştur'u seçerek yeni bir grup oluşturun.

    • Örnek ayrıntıları altında:

      • Ad alanına yük dengeleyicinizin adını girin.

      • Bölge için, kullanmak istediğiniz bölgeyi seçin.

      • Tür için İç'i seçin.

    • Varsayılan olarak SKU ve Katman'ı bırakın ve ardından yük dengeleyici oluşturma hakkında Temel Bilgiler sekmesini gösterenİleri: Ön Uç IP Yapılandırması Ekran Görüntüsü'ne tıklayın.

  3. + Ön uç IP yapılandırması ekleöğesini seçin, ardından Ön uç IP yapılandırması ekle sayfasında bu bilgileri girin veya seçin.

    • Ad alanına bir ön uç IP yapılandırma adı girin.

    • Sanal ağ için AD FS'nizi dağıtmak istediğiniz sanal ağı seçin.

    • Alt ağ için, önceki bölümde oluşturduğunuz iç alt ağ olan INT'yi seçin.

    • Atama için Statik'i seçin.

    • IP adresi için IP adresinizi girin.

    • Kullanılabilirlik bölgesini varsayılan olarak bırakın ve Ekle'yi seçin. Yük dengeleyici oluşturduğunuzda ön uç IP yapılandırması eklemeyi gösteren ekran görüntüsü.

  4. İleri: Arka uç havuzlarıseçin, ardından + Arka uç havuzu ekleseçeneğini seçin.

  5. Arka uç havuzu ekle sayfasında, Adı alanına arka uç havuzu için bir ad girin. IP yapılandırmaları alanında + Ekle'yi seçin.

  6. Arka uç havuzu ekle sayfasında, arka uç havuzuyla hizalamak için bir VM seçin, Ekle'yi ve ardından Kaydet'yi seçin. Yük dengeleyici oluşturduğunuzda arka uç havuzunun nasıl ekleneceğini gösteren ekran görüntüsü.

  7. Sonraki: Gelen Kuralları öğesini seçin.

  8. Gelen kuralları sekmesinde Yük dengeleme kuralı ekle'yi seçin, ardından Yük dengeleme kuralı ekle sayfasına aşağıdaki bilgileri girin:

    • Ad alanına kural için bir ad girin.

    • Ön uç IP adresiiçin daha önce oluşturduğunuz adresi seçin.

    • Arka uç havuzu için daha önce oluşturduğunuz arka uç havuzunu seçin.

    • Protokol için TCP'yi seçin.

    • Bağlantı noktası için 443 girin.

    • Arka uç bağlantı noktası için Yeni oluştur'u seçin ve sistem durumu araştırması oluşturmak için aşağıdaki değerleri girin:

      • Ad alanına sistem durumu yoklamasının adını girin.

      • Protokol için HTTP girin.

      • Bağlantı noktası alanına 80 girin.

      • Yol alanına /adfs/probe girin.

      • Aralık için varsayılan değer olan 5'te bırakın.

      • İşiniz bittiğinde Kaydet'i seçin.

    • İşiniz bittiğinde, gelen kuralı kaydetmek için Kaydet'i seçin.

  9. Gelen kuralını kaydetmek için Kaydet'i seçin. Yük dengeleme kurallarının nasıl ekleneceğini gösteren ekran görüntüsü.

  10. Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin.

Oluştur'u seçtikten ve ILB dağıtıldıktan sonra, bunu aşağıdaki ekran görüntüsünde gösterildiği gibi yük dengeleyiciler listesinde görebilirsiniz.

Yeni oluşturduğunuz yük dengeleyiciyi gösteren ekran görüntüsü.

DNS sunucusunu ILB ile güncelleştirme

İç DNS sunucunuzu kullanarak ILB için bir A kaydı oluşturun. Bu ayar, fs.contoso.com iletilen tüm verilerin uygun yolu kullanarak ILB'de sonlanmasını sağlar. A kaydı, ILB'nin IP adresine işaret eden IP adresiyle federasyon hizmeti için olmalıdır. Örneğin, ILB IP adresi 10.3.0.8 ise ve yüklenen federasyon hizmeti fs.contoso.com ise, 10.3.0.8'e işaret eden fs.contoso.com için bir A kaydı oluşturun.

Warning

AD FS veritabanınız için Windows İç Veritabanı (WID) kullanıyorsanız, bu değeri geçici olarak birincil AD FS sunucunuza işaret etmek üzere ayarlayın. Bu geçici ayar değişikliğini yapmazsanız web uygulaması ara sunucusu kayıt başarısız olur. Tüm web uygulaması proxy sunucularını başarıyla kaydettikten sonra, bu DNS girişini yük dengeleyiciye işaret eden şekilde değiştirin.

Note

Dağıtımınız da IPv6 kullanıyorsa, karşılık gelen bir AAAA kaydı oluşturun.

Web uygulaması proxy sunucularını AD FS sunucularına ulaşacak şekilde yapılandırma

Web uygulaması proxy sunucularının ILB'nin arkasındaki AD FS sunucularına ulaşabildiğinden emin olmak için, ILB için %systemroot%\system32\drivers\etc\hosts dosyasında bir kayıt oluşturun. Ayırt edici ad (DN), fs.contoso.com gibi federasyon hizmeti adı olmalıdır. AYRıCA IP girişi, ILB'nin IP adresi olmalıdır ve bu örnekte 10.3.0.8'dir.

Warning

AD FS veritabanınız için Windows İç Veritabanı (WID) kullanıyorsanız, bu değeri geçici olarak birincil AD FS sunucunuza işaret etmek üzere ayarlayın. Aksi takdirde web uygulaması proxy'si kayıtta başarısız olur. Tüm web uygulaması proxy sunucularını başarıyla kaydettikten sonra, bu DNS girişini yük dengeleyiciye işaret eden şekilde değiştirin.

Web uygulaması proxy rolünü yükleme

Web uygulaması proxy sunucularının ILB'nin arkasındaki AD FS sunucularına erişebildiğinden emin olduktan sonra, web uygulaması proxy sunucularını yükleyebilirsiniz. Web uygulaması proxy sunucularının etki alanına katılması gerekmez. Uzaktan Erişim rolünü seçerek web uygulaması proxy rollerini iki web uygulaması ara sunucusuna yükleyin. Sunucu yöneticisi WAP yüklemesini tamamlamanız için size yol gösterir.

WAP dağıtma hakkında daha fazla bilgi için bkz. Web uygulaması ara sunucusunu yükleme ve yapılandırma.

İnternet'e yönelik (genel) yük dengeleyici oluşturma ve dağıtma

İnternet'e yönelik yük dengeleyiciyi oluşturmak ve dağıtmak için:

  1. Azure portalında Yük dengeleyiciler'i ve ardından Oluştur'u seçin.

  2. Yük dengeleyici oluşturbölümünde Temel Bilgiler sekmesine gidin ve aşağıdaki ayarları yapılandırın:

    • Proje ayrıntıları altında:

      • Abonelik için aboneliğinizin adını seçin.

      • Kaynak grubu için mevcut bir kaynak grubunu seçin veya Yeni oluştur'u seçerek yeni bir grup oluşturun.

    • Örnek ayrıntıları altında:

      • Ad alanına yük dengeleyicinizin adını girin.

      • Bölge için, kullanmak istediğiniz bölgeyi seçin.

      • Tür için Genel'i seçin.

    • Varsayılan olarak SKU ve Katman'ı bırakın ve ardından İleri : Ön Uç IP Yapılandırması'nı seçin

    Genel kullanıma yönelik yük dengeleme kurallarının nasıl ekleneceğini gösteren ekran görüntüsü.

  3. + Ön uç IP yapılandırması ekleöğesini seçin, ardından Ön uç IP yapılandırması ekle sayfasında bu bilgileri girin veya seçin.

    • Ad alanına bir ön uç IP yapılandırma adı girin.

    • IP türü olarakIP adresi'ne tıklayın.

    • Genel IP Adresiiçin, açılan listeden kullanmak istediğiniz genel IP adresini seçin veya yeni bir ip adresi oluşturmak için oluştur'u seçin ve ardından Ekleöğesini seçin.

    Genel yük dengeleyici oluştururken ön uç IP yapılandırması eklemeyi gösteren ekran görüntüsü.

  4. İleri: Arka uç havuzlarıseçin, ardından + Arka uç havuzu ekleseçeneğini seçin.

  5. Arka uç havuzu ekle sayfasında, Adı alanına arka uç havuzu için bir ad girin. IP yapılandırmaları alanında + Ekle'yi seçin.

  6. Arka uç havuzu ekle sayfasında, arka uç havuzuyla hizalamak için bir VM seçin, Ekle'yi ve ardından Kaydet'yi seçin. Genel yük dengeleyici oluşturduğunuzda arka uç havuzunun nasıl ekleneceğini gösteren ekran görüntüsü.

  7. İleri: Gelen Kurallar'i seçin, ardından Yük dengeleme kuralı ekleyin. Yük dengeleme kuralı ekle sayfasında aşağıdaki ayarları yapılandırın:

    • Ad alanına kural için bir ad girin.

    • Ön uç IP adresiiçin daha önce oluşturduğunuz adresi seçin.

    • Arka uç havuzu için daha önce oluşturduğunuz arka uç havuzunu seçin.

    • Protokol için TCP'yi seçin.

    • Bağlantı noktası için 443 girin.

    • Arka uç bağlantı noktası için 443 girin.

    • Durum araştırması için aşağıdaki değerleri girin:

      • Ad alanına sistem durumu yoklamasının adını girin.

      • Protokol için HTTP girin.

      • Bağlantı noktası alanına 80 girin.

      • Yol alanına /adfs/probe girin.

      • Aralık için varsayılan değer olan 5'te bırakın.

      • İşiniz bittiğinde Kaydet'i seçin.

    • İşiniz bittiğinde, gelen kuralı kaydetmek için Kaydet'i seçin.

  8. Gözden Geçir + oluştur’u ve sonra da Oluştur’u seçin.

Oluştur'u seçtikten ve genel ILB dağıtıldıktan sonra yük dengeleyicilerin listesini içermelidir.

Gelen bir kuralın nasıl kaydedileceğini gösteren ekran görüntüsü.

Genel IP'ye DNS etiketi atama

Genel IP için DNS etiketini yapılandırmak için:

  1. Azure portalında Genel IP adreslerini arayın ve düzenlemek istediğiniz IP adresini seçin.

  2. Ayarlar'ın altında Yapılandırma'yı seçin.

  3. DNS etiketi sağla (isteğe bağlı)altında, metin alanına (fs.contoso.com gibi) dış yük dengeleyicinin DNS etiketine çözümleyen bir girdi ekleyin (contosofs.westus.cloudapp.azure.com gibi).

  4. DNS etiketi atamayı tamamlamak için Kaydet'i seçin.

AD FS oturum açma işlemini test edin

AD FS'yi test etmenin en kolay yolu IdpInitiatedSignOn.aspx sayfasını kullanmaktır. Bunu yapmak için AD FS özelliklerinde IdpInitiatedSignOn'ı etkinleştirmeniz gerekir.

IdpInitiatedSignOn özelliğinin etkinleştirilip etkinleştirilmediğini denetlemek için:

  1. PowerShell'de, ad FS sunucusunda aşağıdaki cmdlet'i çalıştırarak etkin olarak ayarlayın.

    Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true

  2. Herhangi bir dış makineden https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspxerişimine ulaşın.

  3. Aşağıdaki AD FS sayfasını görmeniz gerekir:

    Test oturum açma sayfasının ekran görüntüsü.

  4. Oturum açmayı deneyin. Başarıyla oturum açarsanız, aşağıdaki ekran görüntüsünde gösterildiği gibi bir ileti görmeniz gerekir.

    Başarılı test iletisini gösteren ekran görüntüsü.

Azure'da AD FS dağıtma şablonu

Şablon, her biri Etki Alanı Denetleyicileri, AD FS ve WAP için iki makine içeren altı makineli bir kurulum dağıtır.

Azure Dağıtım Şablonu 'de AD FS

Bu şablonu dağıtırken mevcut bir sanal ağı kullanabilir veya yeni bir sanal ağ oluşturabilirsiniz. Aşağıdaki tabloda, dağıtımı özelleştirmek için kullanabileceğiniz parametreler listelenir.

Parameter Description
Location Kaynakları dağıtmak istediğiniz bölge.
StorageAccountType Oluşturmak istediğiniz Depolama Hesabının türü.
VirtualNetworkUsage Yeni bir sanal ağ mı oluşturulacağını yoksa var olan bir ağı mı kullanacağınızı gösterir.
VirtualNetworkName Sanal ağın adı. Hem mevcut hem de yeni sanal ağ kullanımında zorunlu.
VirtualNetworkResourceGroupName Mevcut sanal ağın bulunduğu kaynak grubunun adını belirtir. Mevcut bir sanal ağı kullandığınızda, dağıtımın mevcut sanal ağın kimliğini bulabilmesi için bu seçenek zorunlu bir parametredir.
VirtualNetworkAddressRange Yeni sanal ağın adres aralığı. Yeni bir sanal ağ oluşturuyorsanız zorunlu.
InternalSubnetName İç alt ağın adı. Hem yeni hem de mevcut sanal ağ kullanım seçenekleri için zorunlu.
InternalSubnetAddressRange Etki Alanı Denetleyicileri ve AD FS sunucularını içeren iç alt ağın adres aralığı. Yeni bir sanal ağ oluşturuyorsanız zorunlu.
DMZSubnetAddressRange DMZ alt ağı, Windows uygulama ara sunucularını içeren adres aralığı. Yeni bir sanal ağ oluşturuyorsanız zorunlu.
DMZSubnetName Hem yeni hem de mevcut sanal ağ kullanım seçeneklerinde zorunlu olan iç alt ağın adı.
ADDC01NICIPAddress İlk Etki Alanı Denetleyicisi'nin iç IP adresi. Bu IP adresi statik olarak DC'ye atanır ve İç alt ağ içinde geçerli bir IP adresi olmalıdır.
ADDC02NICIPAddress İkinci Etki Alanı Denetleyicisi'nin iç IP adresi. Bu IP adresi statik olarak DC'ye atanır ve İç alt ağ içinde geçerli bir IP adresi olmalıdır.
ADFS01NICIPAddress İlk AD FS sunucusunun iç IP adresi. Bu IP adresi statik olarak AD FS sunucusuna atanır ve İç alt ağ içinde geçerli bir IP adresi olmalıdır.
ADFS02NICIPAddress İkinci AD FS sunucusunun iç IP adresi. Bu IP adresi statik olarak AD FS sunucusuna atanır ve İç alt ağ içinde geçerli bir IP adresi olmalıdır.
WAP01NICIPAddress İlk WAP sunucusunun iç IP adresi. Bu IP adresi statik olarak WAP sunucusuna atanır ve DMZ alt ağı içinde geçerli bir IP adresi olmalıdır.
WAP02NICIPAddress İkinci WAP sunucusunun iç IP adresi. Bu IP adresi statik olarak WAP sunucusuna atanır ve DMZ alt ağı içinde geçerli bir IP adresi olmalıdır.
ADFSLoadBalancerPrivateIPAddress AD FS yük dengeleyicinin iç IP adresi. Bu IP adresi statik olarak yük dengeleyiciye atanır ve İç alt ağ içinde geçerli bir IP adresi olmalıdır.
ADDCVMNamePrefix Etki Alanı Denetleyicileri için VM adı ön eki.
ADFSVMNamePrefix AD FS sunucuları için VM adı ön eki.
WAPVMNamePrefix WAP sunucuları için VM adı ön eki.
ADDCVMSize Etki Alanı Denetleyicilerinin VM boyutu.
ADFSVMSize AD FS sunucularının VM boyutu.
WAPVMSize WAP sunucularının VM boyutu.
AdminUserName VM'lerin yerel Yöneticisinin adı.
AdminPassword VM'lerin yerel Yönetici hesabının parolası.

Sonraki Adımlar

  • Last updated on