在 Azure 中部署 Active Directory 同盟服務
Active Directory 同盟服務 (AD FS) 提供簡化、安全的身分識別同盟及網頁單一登入 (SSO) 等功能。 與 Microsoft Entra ID 或 Microsoft 365 同盟的使用者可以使用內部部署認證進行驗證,以存取所有雲端資源。 因此,您的部署必須具有高可用性 AD FS 基礎結構,以確保存取內部部署和雲端中的資源。
在 Azure 中部署 AD FS 有助於達到高可用性,而不需要太多努力。 在 Azure 中部署 AD FS 有幾個優點:
- Azure 可用性設定組的強大功能提供您高可用性的基礎結構。
- 部署很容易調整。 如果您需要更多效能,您可以使用 Azure 中簡化的部署程式,輕鬆地移轉至功能更強大的機器。
- Azure 異地備援可確保您的基礎結構在全球具有高可用性。
- Azure 入口網站 可讓您的基礎結構更容易使用高度簡化的管理選項來管理。
設計原則
下圖顯示在 Azure 中部署 AD FS 基礎結構的建議基本拓撲。
我們建議您的網路拓撲遵循下列一般原則:
- 在不同的伺服器上部署AD FS,以避免影響域控制器的效能。
- 您必須部署 Web 應用程式 Proxy (WAP) 伺服器,讓使用者可以在不在公司網路上時連線到 AD FS。
- 您應該在非軍事區域 (DMZ) 中設定 Web 應用程式 Proxy 伺服器,只允許 DMZ 與內部子網之間的 TCP/443 存取。
- 若要確保 AD FS 和 Web 應用程式 Proxy 伺服器的高可用性,我們建議針對 AD FS 伺服器使用內部負載平衡器,併為 Web 應用程式 Proxy 伺服器使用 Azure Load Balancer。
- 若要為AD FS部署提供備援,建議您在可用性設定組中將兩部以上的虛擬機(VM)分組,以用於類似的工作負載。 此組態可確保在計劃或非計劃維護事件期間,至少有一部 VM 可用。
- 您應該在不同的 DMZ 網路中部署 Web 應用程式 Proxy 伺服器。 您可以將一個虛擬網路分成兩個子網路,然後在隔離的子網路中部署 Web 應用程式 Proxy 伺服器。 您可以為每個子網路設定網路安全性群組設定,並且只允許兩個子網路之間必要的通訊。
部署網路
建立網路時,您可以在相同的虛擬網路中建立兩個子網,或建立兩個不同的虛擬網路。 我們建議使用單一網路方法,因為建立兩個不同的虛擬網路也需要建立兩個不同的虛擬網路網關來進行通訊。
建立虛擬網路
若要建立虛擬網路:
使用您的 Azure 帳戶登入 Azure 入口網站 。
在入口網站中,搜尋並選取 [虛擬網路]。
在 [虛擬網路] 頁面上,選取 [+ 建立]。
在 [建立虛擬網络] 中,移至 [ 基本] 索引 標籤並設定下列設定:
在 [項目詳細資料] 底下設定下列設定:
針對 [ 訂用帳戶],選取您的訂用帳戶名稱。
針對 [資源群組],選取現有資源群組的名稱,或選取 [ 新建 ] 來建立新的資源群組。
針對 實例詳細資料設定下列設定:
針對 [虛擬網络名稱],輸入虛擬網路的名稱。
針對 [ 區域],選取您要建立虛擬網路的區域。
選取 [下一步]。
在 [ 安全性] 索引標籤中,啟用您想要使用的任何安全性服務,然後選取 [ 下一步]。
在 [ IP 位址] 索引 標籤上,選取您要編輯的子網名稱。 在此範例中,我們會編輯 服務自動建立的預設 子網。
在 [編輯子網路] 頁面上,將子網路重新命名為 INT。
輸入子網的 IP位址 和 子網大小 資訊,以定義 IP位址空間。
針對 [網路安全性群組],選取 [建立新的]。
在此範例中,請輸入名稱 NSG_INT,選取 [確定],然後選取 [儲存]。 您現在有第一個子網。
若要建立您的第二個子網路,請選取 [+ 新增子網路]。
在 [新增子網] 頁面上,輸入 DMZ 作為第二個子網名稱,然後在空白欄位中輸入子網的相關信息,以定義 IP 位址空間。
針對 [網路安全性群組],選取 [建立新的]。
輸入名稱 NSG_DMZ,選取 [確定],然後選取 [新增]。
選取 [檢閱 + 建立],然後選取 [建立]。
您現在有一個虛擬網路,其中包含兩個子網路,每個子網路都有一個相關聯的網路安全性群組。
保護虛擬網路
網路安全組 (NSG) 包含允許或拒絕虛擬網路中 VM 實例的網路流量 存取控制 清單 (ACL) 規則清單。 您可以讓 NSG 與子網路或該子網路內的個別 VM 執行個體產生關聯。 當 NSG 與子網路相關聯時,ACL 規則會套用到該子網路中的所有 VM 執行個體。
與您的子網路相關聯的 NSG 會自動包含一些預設的輸入和輸出規則。 您無法刪除預設安全性規則,但您可以使用優先順序較高的規則來覆寫這些規則。 而且,您可以根據您想要的安全性層級來新增更多輸入和輸出規則。
現在,在我們的兩個安全性群組中新增幾個規則。 在第一個範例中,我們在 NSG_INT 安全性群組中新增一個輸入安全性規則。
在虛擬網路的 [子網路] 頁面上,選取 [NSG_INT]。
在左側,選取 [輸入安全性規則],然後選取 [+ 新增]。
在 [新增輸入安全性規則] 中,使用下列資訊設定規則:
針對 [ 來源],輸入 10.0.1.0/24。
針對 [來源埠範圍],如果您不想允許流量,或選取星號 , 以允許任何埠上的流量,請將它保留空白。
針對 [ 目的地],輸入 10.0.0.0/24。
針對 [ 服務],選取 [ HTTPS]。 服務會根據您選擇的服務,自動填入目的地埠範圍和通訊協定的資訊欄位。
在 [動作] 中,選取 [允許]。
針對 [ 優先順序],輸入 1010。
針對 [ 名稱],輸入 AllowHTTPSFromDMZ。
針對 [描述],輸入 [允許來自 DMZ 的 HTTPS 通訊]。
完成之後,請選取 [ 新增]。
新的輸入安全性規則現在會新增至 NSG_INT 的規則清單頂端。以下表顯示的值重複這些步驟。 除了您建立的新規則之外,還必須以列出的優先順序額外新增下列規則,以協助保護您的內部和 DMZ 子網路。
NSG 規則類型 來源 Destination 服務 動作 優先順序 名稱 描述 NSG_INT 輸出 任何 服務標籤/網際網路 自訂 (80/任何) 拒絕 100 DenyInternetOutbound 無法存取網際網路。 NSG_DMZ 傳入 任意 任意 自訂 (星號 (*)/任何) 允許 1010 AllowHTTPSFromInternet 允許來自網際網路的 HTTPS 到 DMZ。 NSG_DMZ 輸出 任何 服務標籤/網際網路 自訂 (80/任何) 拒絕 100 DenyInternetOutbound 除了 HTTPS 到網際網路,封鎖其他流量。 輸入每個新規則的值之後,請選取 [新增 ],然後繼續進行下一個,直到每個 NSG 新增兩個新的安全性規則為止。
設定之後, NSG 頁面看起來應該像下列螢幕快照:
注意
如果虛擬網路需要用戶端用戶憑證驗證,例如使用 X.509 使用者憑證進行用戶端TLS 驗證,您必須啟用 TCP 連接埠 49443 以進行輸入存取。
建立內部部署的連線
您需要連線至內部部署,才能在 Azure 中部署 DC。 您可以使用下列其中一個選項,將內部部署基礎結構連線到 Azure 基礎結構:
- 點對站
- 虛擬網路站對站
- ExpressRoute
如果您的組織不需要點對站或 虛擬網絡 站對站聯機,建議您使用 ExpressRoute。 ExpressRoute 可讓您在 Azure 資料中心與內部部署或共置環境中的基礎結構之間建立私人連線。 ExpressRoute 連線也不會連線到公用因特網,因此更可靠、更快速且更安全。 若要深入了解 ExpressRoute 和使用 ExpressRoute 的各種連線選項,請參閱 ExpressRoute 技術概觀。
建立可用性設定組
針對每個角色 (DC/AD FS 和 WAP),建立可用性設定組,每個設定組至少包含兩部電腦。 此設定有助於每個角色達到更高的可用性。 建立可用性設定組時,您必須決定要使用下列哪一個網域:
在容錯網域中,VM 會共用相同的電源和實體網路交換器。 我們建議至少要有兩個容錯網域。 預設值為 2 ,您可以保留此部署的預設值。
在更新網域中,計算機會在更新期間一起重新啟動。 我們建議至少要有兩個更新網域。 默認值為 5,您可以依預設保留此部署。
若要建立可用性設定組:
在 Azure 入口網站 中搜尋並選取 [可用性設定組],然後選取 [+ 建立]。
在 [建立可用性設定組] 中,移至 [ 基本] 索引 卷標,然後輸入下列資訊:
在 [項目詳細資料] 底下:
針對 [ 訂用帳戶],選取您的訂用帳戶名稱。
針對 [ 資源群組],選取現有的資源群組或 [新建 ] 以建立新的資源群組。
在 [執行個體詳細資料] 下方:
針對 [ 名稱],輸入可用性設定組的名稱。 在此範例中,請輸入 contosodcset。
針對 [ 區域],選取您想要使用的區域。
針對 容錯網域,請將它保留為預設值 2。
針對 [更新網域],將它保留為預設值 5。
針對 [使用受控磁碟],針對此範例選取 [否] [傳統]。
完成之後,請選取 [檢閱 + 建立],然後選取 [建立]。
重複上述步驟,建立名為 contososac2 的第二個可用性設定組。
部署虛擬機器
下一步是在基礎結構中部署裝載不同角色的 VM。 我們建議每個可用性設定組中至少要有兩部機器。 在此範例中,我們會為基本部署建立四個 VM。
若要建立 VM:
在 Azure 入口網站 中搜尋並選取 [虛擬機]。
在 [虛擬機器] 頁面上,選取 [+ 建立],然後選擇 [Azure 虛擬機器]。
在 [建立虛擬機] 中,移至 [ 基本] 索引 卷標,然後輸入下列資訊:
在 [項目詳細資料] 底下:
針對 [ 訂用帳戶],選取您的訂用帳戶名稱。
針對 [ 資源群組],選取現有的資源群組或 [新建 ] 以建立新的資源群組。
在 [執行個體詳細資料] 下方:
針對 [虛擬機名稱],輸入 VM 的名稱。 針對此範例中的第一部計算機,輸入 contosodc1。
針對 [ 區域],選取您想要使用的區域。
針對 [ 可用性選項],選取 [ 可用性設定組]。
針對 [可用性設定組],選取 contosodcset
針對 [安全性類型],選取 [標準]。
針對 [ 訂用帳戶],選取您的訂用帳戶名稱。
針對 [ 映射],選取您想要使用的映像,然後選取 [ 設定 VM 產生 ],然後選取 [ Gen 1]。
在 [系統管理員帳戶] 底下:
針對 [ 驗證類型],選取 [ SSH 公鑰]。
針對 [ 用戶名稱],輸入要用於帳戶的用戶名稱。
針對 [ 金鑰組名稱],輸入要用於帳戶的金鑰組名稱。
針對未指定的任何專案,您可以保留預設值。
當您完成時,請選取 [下一步:磁碟]。
在 [ 網络] 索引 標籤中,輸入下列資訊:
針對 虛擬網路,選取包含您在上一節中建立之子網的虛擬網路名稱。
針對 [ 子網],選取您的 INT 子網。
針對 [NIC 網路安全性群組],選取 [無]。
針對未指定的任何項目,您可以保留預設值。
![顯示如何建立虛擬機之 [網络] 索引標籤的螢幕快照。](media/how-to-connect-fed-azure-adfs/create-vm-networking-tab.png)
完成所有選擇之後,請選取 [ 檢閱 + 建立],然後選取 [ 建立]。
使用下表中的資訊重複這些步驟,建立其餘三部 VM:
| 虛擬機器名稱 | 子網路 | 可用性選項 | 可用性設定組 | 儲存體帳戶 |
|---|---|---|---|---|
| contosodc2 | INT | 可用性設定組 | contosodcset | contososac2 |
| contosowap1 | DMZ | 可用性設定組 | contosowapset | contososac1 |
| contosowap2 | DMZ | 可用性設定組 | contosowapset | contososac2 |
這些設定不會指定 NSG,因為 Azure 可讓您在子網層級使用 NSG。 您可以使用與子網或網路介面卡 (NIC) 對象相關聯的個別 NSG 來控制機器網路流量。 如需詳細資訊,請參閱什麼是網路安全性群組 (NSG)。
如果您要管理 DNS,建議您使用靜態 IP 位址。 您可以使用 Azure DNS,並在網域的 DNS 記錄中依其 Azure FQDN 來參考新機器。 如需詳細資訊,請參閱將私人 IP 位址變更為靜態。
您的 [虛擬機器] 頁面應該會在部署完成之後顯示這四個 VM。
設定 DC 和 AD FS 伺服器
若要驗證任何內送要求,AD FS 必須連絡 DC。 若要省下從 Azure 到內部部署 DC 進行驗證的距離成本,建議您在 Azure 中部署 DC 的複本。 為了達到高可用性,最好建立一個至少有兩個 DC 的可用性設定組。
| 網域控制站 | 角色 | 儲存體帳戶 |
|---|---|---|
| contosodc1 | 複本 | contososac1 |
| contosodc2 | 複本 | contososac2 |
建議您執行下列動作:
將兩部伺服器升級為具備 DNS 的複本 DC
使用伺服器管理員安裝 AD FS 角色,以設定 AD FS 伺服器。
建立和部署內部負載平衡器 (ILB)
若要建立及部署 ILB:
在 Azure 入口網站 中搜尋並選取 [負載平衡器],然後選擇 [+ 建立]。
在 [建立負載平衡器] 的 [基本] 索引標籤中輸入或選取此資訊:
在 [項目詳細資料] 底下:
針對 [ 訂用帳戶],選取您的訂用帳戶名稱。
針對 [ 資源群組],選取現有的資源群組或 [新建 ] 以建立新的資源群組。
在 [執行個體詳細資料] 下方:
在 [ 名稱] 中,輸入負載平衡器的名稱。
針對 [ 區域],選取您想要使用的區域。
針對 [ 類型],選取 [ 內部]。
將 SKU 和階層保留為預設值,然後選取 [下一步:前端 IP 組態]
![顯示如何建立負載平衡器的 [基本] 索引標籤的螢幕快照。](media/how-to-connect-fed-azure-adfs/add-load-balancer-basics.png)
選取 [+ 新增前端 IP 設定],然後在 [新增前端 IP 設定] 頁面中輸入或選取此資訊。
針對 [ 名稱],輸入前端IP組態名稱。
針對 [虛擬網络],選取您要在其中部署 AD FS 的虛擬網路。
針對 [ 子網],選取 [INT],這是您在上一節中建立的內部子網。
針對 [指派],選取 [ 靜態]。
針對 [IP 位址],輸入您的 IP 位址。
讓 [可用性區域] 保留為預設值,然後選取 [新增]。
選取 [下一步:後端集區],然後選取 [+ 新增後端集區]。
在 [新增後端集區] 頁面上,在 [名稱] 字段中輸入後端集區的名稱。 在 [ IP 組態 ] 區域中,選取 [ + 新增]。
在 [新增後端集區] 頁面上,選取要與後端集區一致的 VM,選取 [新增],然後選取 [儲存]。
選取 [ 下一步:輸入規則]。
在 [ 輸入規則] 索引標籤上,選取 [新增負載平衡規則],然後在 [ 新增負載平衡規則 ] 頁面中輸入下列資訊:
針對 [ 名稱],輸入規則的名稱。
針對 [ 前端 IP 位址],選取您稍早建立的位址。
針對 [ 後端集區],選取您稍早建立的後端集區。
在 [通訊協定] 中,選取 [TCP]。
針對 [ 埠],輸入 443。
針對 [後端埠],選取 [新建],然後輸入下列值來建立健康情況探查:
針對 [ 名稱],輸入健康情況探查的名稱。
針對 [ 通訊協定],輸入 HTTP。
針對 [ 埠],輸入 80。
針對 [路徑],輸入 /adfs/probe。
在 [間隔] 中,將它保留為預設值 5。
完成之後,選取儲存。
當您完成時,請選取 [ 儲存 ] 以儲存輸入規則。
選取 [儲存] 以儲存輸入規則。
選取 [檢閱 + 建立],然後選取 [建立]。
選取 [ 建立 ] 並部署 ILB 之後,您可以在負載平衡器清單中看到它,如下列螢幕快照所示。
以 ILB 更新 DNS 伺服器
使用內部 DNS 伺服器,為 ILB 建立 A 記錄。 此設定可確保傳輸至 fs.contoso.com 的所有數據最終都會使用適當的路由在 ILB。 A 記錄應該是給其 IP 位址指向 ILB 之 IP 位址的同盟服務使用。 例如,如果 ILB IP 位址為 10.3.0.8 且安裝的同盟服務為 fs.contoso.com,請為 fs.contoso.com 建立指向 10.3.0.8 的 A 記錄。
警告
如果您使用AD FS 資料庫的 Windows 內部資料庫 (WID),請將此值設定為暫時指向您的主要AD FS 伺服器。 如果您未進行此暫存設定變更,Web 應用程式 Proxy 會失敗註冊。 成功註冊所有 Web 應用程式 Proxy 伺服器之後,請將此 DNS 專案變更為指向負載平衡器。
注意
如果您的部署也使用 IPv6,請建立對應的 AAAA 記錄。
設定 Web 應用程式 Proxy 伺服器以連線 AD FS 伺服器
若要確保 Web 應用程式 Proxy 伺服器能夠連線到 ILB 後方的 AD FS 伺服器,請在 ILB 的 %systemroot%\system32\drivers\etc\hosts 檔案中建立記錄。 分辨名稱 (DN) 應該是同盟服務名稱,例如 fs.contoso.com。 而IP專案應該是ILB的IP位址,在此範例中為10.3.0.8。
警告
如果您使用AD FS 資料庫的 Windows 內部資料庫 (WID),請將此值設定為暫時指向您的主要AD FS 伺服器。 如果沒有,Web 應用程式 Proxy 會失敗註冊。 成功註冊所有 Web 應用程式 Proxy 伺服器之後,請將此 DNS 專案變更為指向負載平衡器。
安裝 Web 應用程式 Proxy 角色
確定 Web 應用程式 Proxy 伺服器能夠連線到 ILB 後方的 AD FS 伺服器之後,接下來可以安裝 Web 應用程式 Proxy 伺服器。 Web 應用程式 Proxy 伺服器不需要加入網域。 選取 [遠端存取] 角色,在兩部 Web 應用程式 Proxy 伺服器上安裝 Web 應用程式 Proxy 角色。 伺服器管理員會引導您完成 WAP 安裝。
如需如何部署 WAP 的詳細資訊,請參閱安裝和設定 Web 應用程式 Proxy 伺服器。
建立和部署網際網路對應 (公用) 負載平衡器
若要建立及部署因特網面向的負載平衡器:
在 Azure 入口網站中,選取 [負載平衡器],然後選擇 [建立]。
在 [建立負載平衡器] 中,移至 [ 基本] 索引 卷標並設定下列設定:
在 [項目詳細資料] 底下:
針對 [ 訂用帳戶],選取您的訂用帳戶名稱。
針對 [ 資源群組],選取現有的資源群組或 [新建 ] 以建立新的資源群組。
在 [執行個體詳細資料] 下方:
在 [ 名稱] 中,輸入負載平衡器的名稱。
針對 [ 區域],選取您想要使用的區域。
針對 [ 類型],選取 [ 公用]。
讓 [SKU] 和 [階層] 保留為預設值,然後選取 [下一頁 : 前端 IP 設定]
選取 [+ 新增前端 IP 設定],然後在 [新增前端 IP 設定] 頁面中輸入或選取此資訊。
針對 [ 名稱],輸入前端IP組態名稱。
針對 [IP 類型],選取 [ IP 位址]。
針對 [公用IP 位址],從下拉式清單中選取您想要使用的公用IP位址,或選取 [建立] 來建立新的IP位址,然後選取[新增]。
選取 [下一步:後端集區],然後選取 [+ 新增後端集區]。
在 [新增後端集區] 頁面上,在 [名稱] 字段中輸入後端集區的名稱。 在 [ IP 組態 ] 區域中,選取 [ + 新增]。
在 [新增後端集區] 頁面上,選取要與後端集區一致的 VM,選取 [新增],然後選取 [儲存]。
選取 [下一步:輸入規則],然後選取 [ 新增負載平衡規則]。 在 [ 新增負載平衡規則 ] 頁面中,設定下列設定:
針對 [ 名稱],輸入規則的名稱。
針對 [ 前端 IP 位址],選取您稍早建立的位址。
針對 [ 後端集區],選取您稍早建立的後端集區。
在 [通訊協定] 中,選取 [TCP]。
針對 [ 埠],輸入 443。
針對 [ 後端埠],輸入 443。
針對 [健康情況探查],輸入下列值:
針對 [ 名稱],輸入健康情況探查的名稱。
針對 [ 通訊協定],輸入 HTTP。
針對 [ 埠],輸入 80。
針對 [路徑],輸入 /adfs/probe。
在 [間隔] 中,將它保留為預設值 5。
完成之後,選取儲存。
當您完成時,請選取 [ 儲存 ] 以儲存輸入規則。
選取 [檢閱 + 建立],然後選取 [建立]。
選取 [ 建立 ] 和公用 ILB 部署之後,它應該包含負載平衡器清單。
對公用 IP 指派 DNS 標籤
若要設定公用IP的 DNS 標籤:
在 Azure 入口網站 中,搜尋 [公用IP 位址],然後選取您要編輯的IP位址。
在 [設定] 底下,選取 [設定]。
在 [提供 DNS 標籤 (選用)] 下,在解析為外部負載平衡器 DNS 標籤 (例如 contosofs.westus.cloudapp.azure.com fs.contoso.com) 的文字欄位中新增項目 (例如 fs.contoso.com)。
選取 [儲存] 以完成指派 DNS 標籤。
測試 AD FS 登入
測試 AD FS 最簡單的方式是使用 IdpInitiatedSignOn.aspx 頁面。 若要這樣做,您必須在 AD FS 屬性啟用 IdpInitiatedSignOn。
若要檢查您是否已啟用 IdpInitiatedSignOn 屬性:
在 PowerShell 中,在 AD FS 伺服器上執行下列 Cmdlet,將其設定為啟用。
Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true從任何外部電腦存取
https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx。您應該會看到下列 AD FS 頁面:
嘗試登入。 如果您成功登入,您應該會看到訊息出現,如下列螢幕快照所示。
在 Azure 中部署 AD FS 的範本
此範本會部署六部計算機設定,每個計算機各有兩部域控制器、AD FS 和 WAP。
部署此範本時,您可以使用現有的虛擬網路或建立新的虛擬網路。 下表列出可用來自定義部署的參數。
| 參數 | 描述 |
|---|---|
| 地點 | 您要將資源部署至的區域。 |
| StorageAccountType | 您要建立的記憶體帳戶類型。 |
| VirtualNetworkUsage | 指出是否要建立新的虛擬網路或使用現有的虛擬網路。 |
| VirtualNetworkName | 虛擬網路的名稱。 在現有或新的虛擬網路使用量上都是必要的。 |
| VirtualNetworkResourceGroupName | 指定現有虛擬網路所在的資源組名。 當您使用現有的虛擬網路時,此選項是必要參數,讓部署可以找到現有虛擬網路的識別碼。 |
| VirtualNetworkAddressRange | 新虛擬網路的位址範圍。 如果建立新的虛擬網路,則為必要。 |
| InternalSubnetName | 內部子網的名稱。 新虛擬網路和現有虛擬網路使用選項的必要專案。 |
| InternalSubnetAddressRange | 內部子網的位址範圍,其中包含域控制器和 AD FS 伺服器。 如果建立新的虛擬網路,則為必要。 |
| DMZSubnetAddressRange | DMZ 子網的位址範圍,其中包含 Windows 應用程式 Proxy 伺服器。 如果建立新的虛擬網路,則為必要。 |
| DMZSubnetName | 內部子網的名稱,這是新的和現有的虛擬網路使用選項的必要名稱。 |
| ADDC01NICIPAddress | 第一個域控制器的內部IP位址。 此IP位址會以靜態方式指派給DC,而且必須是內部子網內的有效IP位址。 |
| ADDC02NICIPAddress | 第二個域控制器的內部IP位址。 此IP位址會以靜態方式指派給DC,而且必須是內部子網內的有效IP位址。 |
| ADFS01NICIPAddress | 第一部 AD FS 伺服器的內部 IP 位址。 此IP位址會靜態指派給AD FS伺服器,而且必須是內部子網內的有效IP位址。 |
| ADFS02NICIPAddress | 第二部 AD FS 伺服器的內部 IP 位址。 此IP位址會靜態指派給AD FS伺服器,而且必須是內部子網內的有效IP位址。 |
| WAP01NICIPAddress | 第一部 WAP 伺服器的內部 IP 位址。 此IP位址會以靜態方式指派給WAP伺服器,而且必須是 DMZ 子網內的有效IP位址。 |
| WAP02NICIPAddress | 第二個 WAP 伺服器的內部 IP 位址。 此IP位址會以靜態方式指派給WAP伺服器,而且必須是 DMZ 子網內的有效IP位址。 |
| ADFSLoadBalancerPrivateIPAddress | AD FS 負載平衡器的內部IP位址。 此IP位址會靜態指派給負載平衡器,而且必須是內部子網內的有效IP位址。 |
| ADDCVMNamePrefix | 域控制器的 VM 名稱前置詞。 |
| ADFSVMNamePrefix | AD FS 伺服器的 VM 名稱前置詞。 |
| WAPVMNamePrefix | WAP 伺服器的 VM 名稱前置詞。 |
| ADDCVMSize | 域控制器的 VM 大小。 |
| ADFSVMSize | AD FS 伺服器的 VM 大小。 |
| WAPVMSize | WAP 伺服器的 VM 大小。 |
| AdminUserName | VM 的本機系統管理員名稱。 |
| AdminPassword | VM 本機系統管理員帳戶的密碼。 |
相關連結
下一步
- 整合內部部署身分識別與 Microsoft Entra ID
- 使用 Microsoft Entra Connect 設定和管理 AD FS
- 使用 Azure 流量管理員在 Azure 中部署高可用性跨地區 AD FS