共用方式為


準備用於設定外部網路存取的網路基礎結構

適用于:Azure、Office 365、Power BI、Windows Intune

若要使用以下程序完成所有工作,您必須先以 Administrators 群組成員身分登入電腦或已取得相等權限的委派。

Checklist檢查清單:準備網路基礎結構以設定外部網路存取

部署工作 本節主題之連結 已完成

1.準備兩部執行 Windows Server 2008、Windows Server 2008 R2 或Windows Server 2012作業系統,以設定為同盟伺服器 Proxy。 如果您在 Windows Server 2012 R2 中使用 AD FS,Proxy 電腦也必須執行 Windows Server 2012 R2,且您必須部署 Web Application Proxy (可用來設定 AD FS 以供外部網路存取的新遠端存取角色服務)。 根據您擁有的使用者人數,可以使用現有的 Web 或 Proxy 伺服器,或使用專屬的電腦。

N/A

Checkbox

2.將公司網路中同盟服務的名稱新增 (您稍早在公司網路 NLB 主機上建立的叢集 DNS 名稱,) 及其相關聯的叢集 IP 位址新增至周邊網路中每個同盟伺服器 Proxy 或 Web 應用程式 Proxy 電腦上的主機檔案。

將叢集 DNS 名稱及 IP 位址加入至 Proxy 電腦上的主機檔案

Checkbox

3.在周邊網路中 NLB 主機上建立新的叢集 DNS 名稱和叢集 IP 位址,然後將同盟伺服器電腦新增至 NLB 叢集。 如果您目前的 NLB 主機使用 Windows Server 技術,請根據您的作業系統版本,選擇右側的適當連結。

重要

用於這個新 NLB 叢集的叢集 DNS 名稱必須符合公司網路中的 Federation Service 名稱。

注意

在具有單一 AD FS 同盟伺服器的這個 SSO 方案的測試部署中,這個步驟是選用的。

若要在 Windows Server 2003 和 Windows Server 2003 R2 上建立和設定 NLB 叢集,請參閱檢查清單:啟用和設定網路負載平衡

若要在 Windows Server 2008 上建立和設定 NLB 叢集,請參閱建立網路負載平衡叢集

若要在 Windows Server 2008 R2 上建立及設定 NLB 叢集,請參閱建立網路負載平衡叢集

如需 Windows Server 2012 或 Windows Server 2012 R2 中 NLB 的詳細資訊,請參閱網路負載平衡概觀

Checkbox

4.在周邊網路 DNS 中為 NLB 叢集建立新的資源記錄,將 NLB 叢集的叢集 DNS 名稱指向其叢集 IP 位址。

將主機 (A) 記錄加入至啟用 ADFS 的 Web 伺服器的周邊 DNS

Checkbox

5.使用與公司網路中同盟伺服器所使用的相同伺服器驗證憑證。 如果您在 Windows Server 2008 或 Windows Server 2012 中使用 AD FS,必須將此憑證安裝在同盟伺服器 Proxy 電腦的預設網站上。 如果您在 Windows Server 2012 R2 中使用 AD FS,必須將此憑證匯入即將當做 Web Application Proxy 之電腦的個人憑證存放區。

將伺服器驗證憑證匯入 Proxy 電腦

Checkbox

將叢集 DNS 名稱及 IP 位址加入至 Proxy 電腦上的主機檔案

若要讓同盟伺服器 Proxy 或 Web Application Proxy 在周邊網路中正常運作,您必須將項目新增至每部指向公司網路 (如 fs.fabrikam.com) 中 NLB 主控之叢集 DNS 名稱和其 IP 位址 (如 172.16.1.3) 的同盟伺服器 Proxy 或 Web Application Proxy 電腦主機檔案。 將此項目新增至主機檔案,可讓同盟伺服器 Proxy 或 Web Application Proxy 把用戶端起始的呼叫適當地路由傳送到周邊網路內部或外部的同盟伺服器。

若要將叢集 DNS 名稱及 IP 位址加入至 Proxy 上的主機檔案

  1. 瀏覽至 %systemroot%\Winnt\System32\Drivers 目錄資料夾並找出 hosts 檔案。

  2. 啟動記事本,然後開啟 hosts 檔案。

  3. hosts 檔案中新增同盟伺服器的 IP 位址和主機名稱,如以下範例所示:

    172.16.1.3fs.fabrikam.com

  4. 儲存並關閉檔案。

重要

當公司網路中 NLB 主機上的叢集 IP 位址變更時,您必須更新每部同盟伺服器 Proxy 或 Web Application Proxy 上的本機主機檔案。

將資源記錄加入至周邊 NLB 主機上設定之叢集 DNS 名稱的周邊 DNS

若要從周邊網路內部或外部的用戶端供給服務驗證要求,根據 AD FS 的要求,您需要在主控組織區域 (例如 fabrikam.com) 之對外 DNS 伺服器上設定名稱解析。

若要執行這項作業,請針對叢集 DNS 名稱 (例如 "fs.fabrikam.com"),將主機 (A) 資源記錄加入至只服務周邊網路的對外 DNS 伺服器,以指向剛才設定的外部叢集 IP 位址。

若要將資源記錄加入至周邊 NLB 主機上設定之叢集 DNS 名稱的周邊 DNS

  1. 在周邊網路的 DNS 伺服器上開啟 DNS 嵌入式管理單元。 按一下 [開始] 並指向 [系統管理工具],然後按 [DNS]

  2. 在主控台樹狀目錄中的適用正向對應區域 (例如 fabrikam.com) 上按一下滑鼠右鍵,然後按一下 [新增主機 (A 或 AAAA)]

  3. 在 [名稱] 中,僅輸入在周邊網路中 NLB 主機上指定之叢集 DNS 名稱的名稱 (此名稱應該與 Federation Service 之名稱的 DNS 名稱相同)。 例如,對於 FQDN fs.fabrikam.com,請輸入 fs

  4. 在 [IP 位址] 中,輸入在周邊網路中 NLB 主機上指定之新叢集 IP 位址的 IP 位址。 例如,192.0.2.3

  5. 按一下 [新增主機]

將伺服器驗證憑證匯入 Proxy 電腦

在取得公司網路中某部同盟伺服器使用的伺服器驗證憑證後,您必須手動將該憑證安裝至以下任一項目:

  1. 如果您在 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 中使用 AD FS,即是組織中每部同盟伺服器 Proxy 的預設網站

  2. 如果您在 Windows Server 2012 R2 中使用 AD FS,即是組織中每部 Web Application Proxy 的個人存放區。

由於此憑證必須受 AD FS 用戶端和 Microsoft 雲端服務信任,因此請使用公開 (第三方) CA 或隸屬於公開信任之根的 SSL 憑證 (如 VeriSign 或 Thawte)。 如需從公用 CA 安裝憑證的相關資訊,請參閱 IIS 7.0:要求網際網路伺服器憑證

注意

此伺服器驗證憑證的主體名稱必須符合您稍早在 NLB 主機上建立之叢集 DNS 名稱的 FQDN (例如 fs.fabrikam.com)。 如果尚未安裝 Internet Information Services (IIS),您必須先安裝 IIS 才能完成這項工作。 首次安裝 IIS 時,如果在安裝伺服器角色期間出現提示,建議您使用預設的功能選項。

將伺服器驗證憑證匯入同盟伺服器 Proxy 上的預設網站

  1. 按一下 [開始]、依序指向 [所有程式]、[系統管理工具],然後按一下 [Internet Information Services (IIS) 管理員]

  2. 在主控台樹狀目錄中,按一下 [ComputerName]

  3. 在中央窗格中,按兩下 [伺服器憑證]

  4. 按一下 [動作] 窗格中的 [匯入]

  5. 在 [ 匯入憑證 ] 對話方塊中,按一下 [...] 按鈕。

  6. 瀏覽至 pfx 憑證檔案的位置、將其醒目提示,然後按一下 [開啟]

  7. 輸入憑證的密碼,然後按一下 [確定]

將伺服器驗證憑證匯入 Web Application Proxy 上的個人存放區

  1. 您可以使用匯入 憑證 中的步驟來完成這項工作。

後續步驟

現在您已備妥 Web Application Proxy 或同盟伺服器 Proxy 的網路基礎結構,下一個步驟是根據使用的 AD FS 版本完成以下主題或以下檢查清單中的工作:

另請參閱

概念

檢查清單:使用 AD FS 實作和管理單一登入