在 Azure 中部署 Active Directory 同盟服務
Active Directory 同盟服務 (AD FS) 提供簡化、安全的身分識別同盟及網頁單一登入 (SSO) 等功能。 與 Microsoft Entra ID 和 Microsoft 365 同盟可讓使用者驗證使用內部部署認證,並且存取所有雲端資源。 因此,擁有高可用性的 AD FS 基礎結構變得很重要,可確保存取內部部署和雲端中的資源。
在 Azure 中部署 AD FS 有助於以最少的努力達到所需的高可用性。 在 Azure 中部署 AD FS 有幾個優點:
- 高可用性 - 利用 Azure 可用性設定組的強大功能,可確保高可用性基礎結構。
- 容易調整 - 需要更多效能嗎? 只需在 Azure 中選取一些選項,即可輕鬆地移轉至功能更強大的機器。
- 跨地理位置備援 - 透過 Azure 異地備援,可以確保您的基礎結構在全球都高度可用。
- 容易管理 - 透過 Azure 入口網站中高度簡化的管理選項,管理您的基礎結構簡單又輕鬆。
設計原則
下圖顯示建議在 Azure 中開始部署 AD FS 基礎結構的基本拓撲。
以下是拓撲各個部分背後的原則:
- DC/AD FS 伺服器:如果您的使用者少於 1,000 個,您可以在網域控制站 (DC) 上安裝 AD FS 角色。 如果您不想對 DC 產生任何效能影響,或如果您的使用者超過 1,000 個,請在不同的伺服器上部署 AD FS。
- WAP 伺服器 - 必須部署 Web 應用程式 Proxy 伺服器,使用者不在公司網路時才能連線到 AD FS。
- DMZ:Web 應用程式 Proxy 伺服器會放在 DMZ 中,而且 DMZ 與內部子網之間只允許 TCP/443 存取。
- 負載平衡器:為了確保 AD FS 和 Web 應用程式 Proxy 伺服器的高可用性,建議為 AD FS 伺服器使用內部負載平衡器,並為 Web 應用程式 Proxy 伺服器使用 Azure 負載平衡器。
- 可用性設定組:若要為 AD FS 部署提供備援,建議您針對類似的工作負載,將兩部以上的虛擬機器 (VM) 群組成可用性設定組。 此組態可確保在計劃或非計劃維護事件期間,至少有一部 VM 可用。
- 儲存體帳戶:我們建議您要有兩個儲存體帳戶。 只有單一儲存體帳戶可能會導致建立單一失敗點。 如果您只有一個儲存體帳戶,可能會導致部署在不太會發生的儲存體帳戶失敗事件中變成無法使用。 兩個儲存體帳戶可協助為每個錯誤行建立一個儲存體帳戶的關聯。
- 網路隔離:Web 應用程式 Proxy 伺服器應該部署在不同的 DMZ 網路中。 您可以將一個虛擬網路分成兩個子網路,然後在隔離的子網路中部署 Web 應用程式 Proxy 伺服器。 您可以為每個子網路設定網路安全性群組設定,並且只允許兩個子網路之間必要的通訊。 根據下列部署案例,提供更多詳細資料。
在 Azure 中部署 AD FS 的步驟
本節概述在 Azure 中部署 AD FS 基礎結構的步驟。
部署網路
如先前所述,您可以在單一虛擬網路中建立兩個子網路,或建立兩個不同的虛擬網路。 本文著重在部署單一虛擬網路,並將其分成兩個子網路。 這種方法目前比較容易,因為兩個不同的虛擬網路需要虛擬網路到虛擬網路閘道進行通訊。
建立虛擬網路
使用您的 Azure 帳戶登入 Azure 入口網站 。
在入口網站中,搜尋並選取 [虛擬網路]。
在 [虛擬網路] 頁面上,選取 [建立]。
在 [建立虛擬網路] 的 [基本] 索引標籤中輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取您的資源群組。 或選取 [建立新的] 建立一個。 [執行個體詳細資料] 虛擬網路名稱 輸入虛擬網路的名稱。 區域 選擇地區。 選取 [下一步] 。
在 [安全性] 索引標籤中,啟用任何您想要的安全性服務,然後選取 [下一步]。
在 [IP 位址] 索引標籤上,已建立一個預設子網路並準備好新增 VM。 在此範例中,請選取 [預設] 以編輯子網路。
- 在 [編輯子網路] 頁面上,將子網路重新命名為 INT。
- 視需要輸入 [IP 位址] 和 [子網路大小] 資訊,以定義 [IP 位址空間]。
- 針對 [網路安全性群組],選取 [建立新的]。
- 在此範例中,請輸入名稱 NSG_INT,選取 [確定],然後選取 [儲存]。 您建立了您的第一個子網路。
- 若要建立您的第二個子網路,請選取 [+ 新增子網路]。
- 在 [新增子網路] 頁面上,輸入第二個子網路名稱 DMZ,並視需要輸入資訊,以定義 [IP 位址空間]。
- 針對 [網路安全性群組],選取 [建立新的]。
- 輸入名稱 NSG_DMZ,選取 [確定],然後選取 [新增]。
選取 [檢閱 + 建立],如果一切看起來都沒問題,請選取 [建立]。
您現在有一個虛擬網路,其中包含兩個子網路,每個子網路都有一個相關聯的網路安全性群組。
保護虛擬網路
網路安全性群組 (NSG) 包含存取控制清單 (ACL) 規則清單,這些規則用來允許或拒絕虛擬網路中 VM 執行個體的網路流量。 NSG 可與子網路或該子網路內的個別 VM 執行個體相關聯。 當 NSG 與子網路相關聯時,ACL 規則會套用到該子網路中的所有 VM 執行個體。
與您的子網路相關聯的 NSG 會自動包含一些預設的輸入和輸出規則。 您無法刪除預設安全性規則,但您可以使用優先順序較高的規則來覆寫這些規則。 而且,您可以根據您想要的安全性層級來新增更多輸入和輸出規則。
現在,在我們的兩個安全性群組中新增幾個規則。 在第一個範例中,我們在 NSG_INT 安全性群組中新增一個輸入安全性規則。
在虛擬網路的 [子網路] 頁面上,選取 [NSG_INT]。
在左側,選取 [輸入安全性規則],然後選取 [+ 新增]。
在 [新增輸入安全性規則] 中,輸入或選取此資訊:
設定 值 來源 10.0.1.0/24。 來源連接埠範圍 保留 (或選取) 星號。 星號 (*) 允許任何連接埠的流量。 在此範例中,請為您建立的所有規則選擇星號。 Destination 10.0.0.0/24。 服務 選取 [HTTPS] 。
[目的地連接埠範圍] 和 [通訊協定] 的設定會根據指定的 [服務] 自動填入。動作 選擇 [允許]。 優先順序 1010。
規則會依優先順序進行處理;數字越小,優先順序越高。名稱 AllowHTTPSFromDMZ。 描述 允許來自 DMZ 的 HTTPS 通訊。 選擇之後,選取 [新增]。
新的輸入安全性規則現在會新增至 NSG_INT 的規則清單頂端。以下表顯示的值重複這些步驟。 除了您建立的新規則之外,還必須以列出的優先順序額外新增下列規則,以協助保護您的內部和 DMZ 子網路。
NSG 規則類型 來源 Destination 服務 動作 優先順序 名稱 描述 NSG_INT 輸出 任何 服務標籤/網際網路 自訂 (80/任何) 拒絕 100 DenyInternetOutbound 無法存取網際網路。 NSG_DMZ 傳入 任意 任意 自訂 (星號 (*)/任何) 允許 1010 AllowHTTPSFromInternet 允許來自網際網路的 HTTPS 到 DMZ。 NSG_DMZ 輸出 任何 服務標籤/網際網路 自訂 (80/任何) 拒絕 100 DenyInternetOutbound 除了 HTTPS 到網際網路,封鎖其他流量。 輸入每個新規則的值之後,選取 [新增],然後繼續進行下一個,直到每個 NSG 都新增兩個新的安全性規則為止。
設定之後,[NSG] 頁面看起來會像下列範例:
注意
如果需要用戶端使用者憑證驗證 (使用 X.509 使用者憑證的 clientTLS 驗證),AD FS 會要求啟用 TCP 連接埠 49443 供輸入存取。
建立內部部署的連線
您需要連線至內部部署,才能在 Azure 中部署 DC。 Azure 提供各種選項,可將內部部署基礎結構連線至 Azure 基礎結構。
- 點對站
- 虛擬網路站對站
- ExpressRoute
我們建議您使用 ExpressRoute。 ExpressRoute 可讓您在 Azure 資料中心與內部部署或共置環境中的基礎結構之間建立私人連線。 ExpressRoute 連線不會經過公用網際網路。 相較於透過網際網路的一般連線,ExpressRoute 連線更加可靠、速度更快、延遲更少且更為安全。
雖然我們建議您使用 ExpressRoute,但您可以選擇最適合組織的任何連線方法。 若要深入了解 ExpressRoute 和使用 ExpressRoute 的各種連線選項,請參閱 ExpressRoute 技術概觀。
建立儲存體帳戶
若要維護高可用性並避免依賴單一儲存體帳戶,請建立兩個儲存體帳戶。 將每個可用性設定組中的機器分成兩個群組,然後為每個群組指派個別的儲存體帳戶。
若要建立兩個儲存體帳戶,請在 Azure 入口網站中搜尋並選取 [儲存體帳戶],然後選擇 [+ 建立]
在 [建立儲存體帳戶] 的 [基本] 索引標籤中輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取您的資源群組。 或選取 [建立新的] 建立一個。 [執行個體詳細資料] 儲存體帳戶名稱 輸入儲存體帳戶的名稱。 在此範例中,請輸入 contososac1。 區域 選取您的區域。 績效 針對效能等級,選取 [進階]。 進階帳戶類型 選取您需要的儲存體帳戶類型:區塊 Blob、檔案共用或分頁 Blob。 備援性 選取 [本地備援儲存體 (LRS)]。 繼續完成其餘索引標籤。 準備好時,在 [檢閱] 索引標籤上選取 [建立]。
重複上述步驟,建立名為 contososac2 的第二個儲存體帳戶。
建立可用性設定組
針對每個角色 (DC/AD FS 和 WAP),建立可用性設定組,每個設定組至少包含兩部電腦。 此設定有助於每個角色達到更高的可用性。 建立可用性設定組時,您必須決定下列網域:
- 容錯網域:位於同一個容錯網域中的 VM,會共用同一個電源及實體網路交換器。 我們建議至少要有兩個容錯網域。 預設值為 2,您可以為此部署保留預設值。
- 更新網域:屬於同一個更新網域的機器會在更新期間一起重新啟動。 我們建議至少要有兩個更新網域。 預設值為 5,您可以為此部署保留預設值。
若要建立可用性設定組,請在 Azure 入口網站中搜尋並選取 [可用性設定組],然後選擇 [+ 建立]
在 [建立可用性設定組] 的 [基本] 索引標籤中輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取您的資源群組。 或選取 [建立新的] 建立一個。 [執行個體詳細資料] 名稱 輸入可用性設定組的名稱。 在此範例中,請輸入 contosodcset。 區域 選取您的區域。 容錯網域 2 更新網域 5 使用受控磁碟 在此範例中,請選取 [無 (傳統)]。 
做出所有選擇之後,選取 [檢閱 + 建立],如果一切看起來都沒問題,請選取 [建立]。
重複上述步驟,建立名為 contososac2 的第二個可用性設定組。
部署虛擬機器
下一步是在基礎結構中部署裝載不同角色的 VM。 我們建議每個可用性設定組中至少要有兩部機器。 在此範例中,我們會為基本部署建立四個 VM。
若要建立 VM,請在 Azure 入口網站中搜尋並選取 [虛擬機器]。
在 [虛擬機器] 頁面上,選取 [+ 建立],然後選擇 [Azure 虛擬機器]。
在 [建立虛擬機器] 的 [基本] 索引標籤中輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取您的資源群組。 或選取 [建立新的] 建立一個。 [執行個體詳細資料] 虛擬機器名稱 輸入 VM 的名稱。 對第一部機器,輸入 contosodc1。 區域 選取您的區域。 可用性選項 選取 [可用性設定組]。 可用性設定組 選取 [contosodcset]。 安全性類型 選取 [標準]。 映像 選取您的映像。 然後選取 [設定 VM 世代],然後選取 [第 1 代]。 在此範例中,您必須使用第 1 代映像。 系統管理員帳戶 驗證類型 選取 [SSH 公開金鑰]。 使用者名稱 輸入使用者名稱。 金鑰組名稱 輸入金鑰組名稱。 針對未指定的任何項目,您可以保留預設值,準備好時請選取 [下一頁 : 磁碟]。
在 [磁碟] 索引標籤的 [進階] 下,取消選取 [使用受控磁碟],然後選取您先前建立的 contososac1 儲存體帳戶。 準備好時,選取 [下一頁 : 網路功能]。
在 [網路功能] 索引標籤中,輸入或選取此資訊:
設定 值 虛擬網路 選取包含您先前建立之子網路的虛擬網路。 子網路 針對第一個 VM,選取您的 INT 子網路。 NIC 網路安全性群組 選取 [無]。 針對未指定的任何項目,您可以保留預設值。
做出所有選擇之後,選取 [檢閱 + 建立],如果一切看起來都沒問題,請選取 [建立]。
使用下表中的資訊重複這些步驟,建立其餘三部 VM:
| 虛擬機器名稱 | 子網路 | 可用性選項 | 可用性設定組 | 儲存體帳戶 |
|---|---|---|---|---|
| contosodc2 | INT | 可用性設定組 | contosodcset | contososac2 |
| contosowap1 | DMZ | 可用性設定組 | contosowapset | contososac1 |
| contosowap2 | DMZ | 可用性設定組 | contosowapset | contososac2 |
您可能會發現,因為 Azure 可讓您在子網路層級使用 NSG,因此未指定任何 NSG。 然後,您可以使用與子網路或 NIC 物件相關聯的個別 NSG 來控制機器網路流量。 如需詳細資訊,請參閱什麼是網路安全性群組 (NSG)。
如果您要管理 DNS,建議您使用靜態 IP 位址。 您可以使用 Azure DNS,並在網域的 DNS 記錄中依其 Azure FQDN 來參考新機器。 如需詳細資訊,請參閱將私人 IP 位址變更為靜態。
您的 [虛擬機器] 頁面應該會在部署完成之後顯示這四個 VM。
設定 DC/AD FS 伺服器
若要驗證任何內送要求,AD FS 必須連絡 DC。 若要省下從 Azure 到內部部署 DC 進行驗證的距離成本,建議您在 Azure 中部署 DC 的複本。 為了達到高可用性,最好建立一個至少有兩個 DC 的可用性設定組。
| 網域控制站 | 角色 | 儲存體帳戶 |
|---|---|---|
| contosodc1 | 複本 | contososac1 |
| contosodc2 | 複本 | contososac2 |
- 將兩部伺服器升級為具備 DNS 的複本 DC
- 使用伺服器管理員安裝 AD FS 角色,以設定 AD FS 伺服器。
建立和部署內部負載平衡器 (ILB)
若要建立和部署 ILB,請在 Azure 入口網站中搜尋並選取 [負載平衡器],然後選擇 [+ 建立]。
在 [建立負載平衡器] 的 [基本] 索引標籤中輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取您的資源群組。 或選取 [建立新的] 建立一個。 [執行個體詳細資料] 名稱 輸入負載平衡器的名稱。 區域 選取您的區域。 類型 由於此負載平衡器會放在 AD FS 伺服器前面,而且僅供內部網路連線使用,因此請選取 [內部]。 讓 [SKU] 和 [階層] 保留為預設值,然後選取 [下一頁 : 前端 IP 設定]
選取 [+ 新增前端 IP 設定],然後在 [新增前端 IP 設定] 頁面中輸入或選取此資訊。
設定 值 名稱 輸入前端 IP 設定名稱。 虛擬網路 選取您要部署 AD FS 的虛擬網路。 子網路 選擇內部子網路 INT。 指派 選擇 [靜態]。 IP 位址 輸入您的 IP 位址。 讓 [可用性區域] 保留為預設值,然後選取 [新增]。
選取 [下一頁 : 後端集區],然後選取 [+ 新增後端集區]。
在 [新增後端集區] 頁面上,輸入 [名稱],然後在 [IP 設定] 區域中,選取 [+ 新增]。
在 [新增後端集區] 頁面上,選取要與後端集區一致的 VM,選取 [新增],然後選取 [儲存]。
選取 [下一頁 : 輸入規則]。
在 [輸入規則] 索引標籤上,選取 [新增負載平衡規則],然後在 [新增負載平衡規則] 頁面中輸入或選取此資訊。
設定 值 名稱 輸入規則的名稱。 前端 IP 位址 選取您在先前步驟中建立的前端 IP 位址。 後端集區 選取您在先前步驟中建立的後端集區。 通訊協定 選取 [TCP]。 連接埠 輸入 443。 後端連接埠 輸入 443。 健全狀況探查 選取 [建立新的],然後輸入下列值以建立健全狀態探查:
名稱:健全狀態探查的名稱
通訊協定:HTTP
連接埠:80 (HTTP)
路徑:/adfs/probe
間隔:5 (預設值) - ILB 探查後端集區中機器的間隔
選取 [儲存]。選取 [儲存] 以儲存輸入規則。
選取 [檢閱 + 建立],如果一切看起來都沒問題,請選取 [建立]。
選取 [建立] 且 ILB 部署之後,您就可以在負載平衡器清單中看到它。
以 ILB 更新 DNS 伺服器
使用內部 DNS 伺服器,為 ILB 建立 A 記錄。 A 記錄應該是給其 IP 位址指向 ILB 之 IP 位址的同盟服務使用。 例如,如果 ILB IP 位址為 10.3.0.8 且安裝的同盟服務為 fs.contoso.com,請為 fs.contoso.com 建立指向 10.3.0.8 的 A 記錄。
此設定可確保傳送至 fs.contoso.com 的所有資料最終都會到達 ILB,並適當地路由傳送。
警告
如果您為 AD FS 資料庫使用 Windows 內部資料庫 (WID),請改為將此值設定為暫時指向您的主要 AD FS 伺服器,否則 Web 應用程式 Proxy 會註冊失敗。 成功註冊所有 Web 應用程式 Proxy 伺服器之後,請將此 DNS 項目變更為指向負載平衡器。
注意
如果您的部署也使用 IPv6,請建立對應的 AAAA 記錄。
設定 Web 應用程式 Proxy 伺服器以連線 AD FS 伺服器
若要確保 Web 應用程式 Proxy 伺服器能夠連線到 ILB 後方的 AD FS 伺服器,請在 ILB 的 %systemroot%\system32\drivers\etc\hosts 檔案中建立記錄。 分辨名稱 (DN) 應該是同盟服務名稱,例如 fs.contoso.com。 而 IP 項目應該是 ILB 的 IP 位址 (如範例所示的 10.3.0.8)。
警告
如果您為 AD FS 資料庫使用 Windows 內部資料庫 (WID),請改為將此值設定為暫時指向您的主要 AD FS 伺服器,否則 Web 應用程式 Proxy 會註冊失敗。 成功註冊所有 Web 應用程式 Proxy 伺服器之後,請將此 DNS 項目變更為指向負載平衡器。
安裝 Web 應用程式 Proxy 角色
確定 Web 應用程式 Proxy 伺服器能夠連線到 ILB 後方的 AD FS 伺服器之後,接下來可以安裝 Web 應用程式 Proxy 伺服器。 Web 應用程式 Proxy 伺服器不需要加入網域。 選取 [遠端存取] 角色,在兩部 Web 應用程式 Proxy 伺服器上安裝 Web 應用程式 Proxy 角色。 伺服器管理員會引導您完成 WAP 安裝。
如需如何部署 WAP 的詳細資訊,請參閱安裝和設定 Web 應用程式 Proxy 伺服器。
建立和部署網際網路對應 (公用) 負載平衡器
在 Azure 入口網站中,選取 [負載平衡器],然後選擇 [建立]。
在 [建立負載平衡器] 的 [基本] 索引標籤中輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取您的資源群組。 或選取 [建立新的] 建立一個。 [執行個體詳細資料] 名稱 輸入負載平衡器的名稱。 區域 選取您的區域。 類型 由於此負載平衡器需要公用 IP 位址,因此請選取 [公用]。 讓 [SKU] 和 [階層] 保留為預設值,然後選取 [下一頁 : 前端 IP 設定]
選取 [+ 新增前端 IP 設定],然後在 [新增前端 IP 設定] 頁面中輸入或選取此資訊。
設定 值 名稱 輸入前端 IP 設定名稱。 IP 類型 選取 [IP 位址]。 公用 IP 位址 從下拉式清單中選取 [公用 IP 位址],或視需要建立新的位址,然後選取 [新增]。 
選取 [下一頁 : 後端集區],然後選取 [+ 新增後端集區]。
在 [新增後端集區] 頁面上,輸入 [名稱],然後在 [IP 設定] 區域中,選取 [+ 新增]。
在 [新增後端集區] 頁面上,選取要與後端集區一致的 VM,選取 [新增],然後選取 [儲存]。
選取在 [下一頁 : 輸入規則],選取 [新增負載平衡規則],然後在 [新增負載平衡規則] 頁面中輸入或選取此資訊。
設定 值 名稱 輸入規則的名稱。 前端 IP 位址 選取您在先前步驟中建立的前端 IP 位址。 後端集區 選取您在先前步驟中建立的後端集區。 通訊協定 選取 [TCP]。 連接埠 輸入 443。 後端連接埠 輸入 443。 健全狀況探查 選取 [建立新的],然後輸入下列值以建立健全狀態探查:
名稱:健全狀態探查的名稱
通訊協定:HTTP
連接埠:80 (HTTP)
路徑:/adfs/probe
間隔:5 (預設值) - ILB 探查後端集區中機器的間隔
選取 [儲存]。選取 [儲存] 以儲存輸入規則。
選取 [檢閱 + 建立],如果一切看起來都沒問題,請選取 [建立]。
選取 [建立] 且公用 ILB 部署之後,您就可以在負載平衡器清單中看到它。
對公用 IP 指派 DNS 標籤
使用 [搜尋資源] 功能,並搜尋 [公用 IP 位址]。 使用下列步驟設定公用 IP 的 DNS 標籤。
- 選取您的資源,在 [設定] 下,選取 [組態]。
- 在 [提供 DNS 標籤 (選用)] 下,在解析為外部負載平衡器 DNS 標籤 (例如 contosofs.westus.cloudapp.azure.com fs.contoso.com) 的文字欄位中新增項目 (例如 fs.contoso.com)。
- 選取 [儲存] 以完成指派 DNS 標籤。
測試 AD FS 登入
測試 AD FS 最簡單的方式是使用 IdpInitiatedSignon.aspx 頁面。 若要這樣做,您必須在 AD FS 屬性啟用 IdpInitiatedSignOn。 使用下列步驟來驗證您的 AD FS 設定。
- 在 PowerShell 中,在 AD FS 伺服器上執行下列 Cmdlet,將其設定為啟用。
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true - 從任何外部電腦存取
https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx。 - 您應該會看到下列 AD FS 頁面:
成功登入時,它會提供成功訊息,如下所示:
在 Azure 中部署 AD FS 的範本
此範本會部署一個六部電腦的設定,網域控制站、AD FS 和 WAP 各兩部。
部署此範本時,您可以使用現有的虛擬網路或建立新的虛擬網路。 下表列出可用來自訂部署的各種參數,包括如何在部署程序中使用參數的描述。
| 參數 | 描述 |
|---|---|
| Location | 要部署資源的區域,例如美國東部 |
| StorageAccountType | 建立的儲存體帳戶類型 |
| VirtualNetworkUsage | 指出要建立新的虛擬網路或使用現有的虛擬網路 |
| VirtualNetworkName | 要建立的虛擬網路名稱,無論使用現有或新的虛擬網路都需要此名稱 |
| VirtualNetworkResourceGroupName | 指定現有的虛擬網路所在的資源群組名稱。 當您使用現有的虛擬網路時,此選項是必要參數,讓部署可以找到現有虛擬網路的識別碼。 |
| VirtualNetworkAddressRange | 新虛擬網路的位址範圍,如果建立新的虛擬網路,則為必填 |
| InternalSubnetName | 內部子網路的名稱,使用兩種虛擬網路 (新的或現有的) 都需要此名稱 |
| InternalSubnetAddressRange | 內部子網路的位址範圍,其中包含網域控制站和 AD FS 伺服器,如果建立新的虛擬網路,則為必填 |
| DMZSubnetAddressRange | DMZ 子網路的位址範圍,其中包含 Windows 應用程式 Proxy 伺服器,如果建立新的虛擬網路,則為必填 |
| DMZSubnetName | 內部子網路的名稱,使用兩種虛擬網路 (新的或現有的) 都需要此名稱 |
| ADDC01NICIPAddress | 第一個網域控制站的內部 IP 位址,此 IP 位址會以靜態方式指派給 DC,而且必須是內部子網路內的有效 IP 位址 |
| ADDC02NICIPAddress | 第二個網域控制站的內部 IP 位址,此 IP 位址會以靜態方式指派給 DC,而且必須是內部子網路內的有效 IP 位址 |
| ADFS01NICIPAddress | 第一部 AD FS 伺服器的內部 IP 位址,此 IP 位址會以靜態方式指派給 AD FS 伺服器,而且必須是內部子網路內的有效 IP 位址 |
| ADFS02NICIPAddress | 第二部 AD FS 伺服器的內部 IP 位址,此 IP 位址會以靜態方式指派給 AD FS 伺服器,而且必須是內部子網路內的有效 IP 位址 |
| WAP01NICIPAddress | 第一部 WAP 伺服器的內部 IP 位址,此 IP 位址會以靜態方式指派給 WAP 伺服器,而且必須是 DMZ 子網路內的有效 IP 位址 |
| WAP02NICIPAddress | 第二部 WAP 伺服器的內部 IP 位址,此 IP 位址會以靜態方式指派給 WAP 伺服器,而且必須是 DMZ 子網路內的有效 IP 位址 |
| ADFSLoadBalancerPrivateIPAddress | AD FS 負載平衡器的內部 IP 位址,此 IP 位址會以靜態方式指派給負載平衡器,而且必須是內部子網路內的有效 IP 位址 |
| ADDCVMNamePrefix | 網域控制站的 VM 名稱前置詞 |
| ADFSVMNamePrefix | AD FS 伺服器的 VM 名稱前置詞 |
| WAPVMNamePrefix | WAP 伺服器的 VM 名稱前置詞 |
| ADDCVMSize | 網域控制站的 VM 大小 |
| ADFSVMSize | AD FS 伺服器的 VM 大小 |
| WAPVMSize | WAP 伺服器的 VM 大小 |
| AdminUserName | VM 的本機系統管理員的名稱 |
| AdminPassword | VM 的本機系統管理員帳戶的密碼 |
相關連結
下一步
- 整合內部部署身分識別與 Microsoft Entra ID
- 使用 Microsoft Entra Connect 設定和管理 AD FS
- 使用 Azure 流量管理員在 Azure 中部署高可用性跨地區 AD FS